Auditoría de privacidad express: cómo revisar tu negocio en una tarde

No hace falta contratar a nadie ni invertir semanas para saber si tu negocio tiene los mínimos de protección de datos cubiertos. Con unas horas y este checklist, puedes tener un mapa claro de tu situación y saber exactamente dónde tienes que actuar.

Esta auditoría está pensada para autónomos y pymes pequeñas con una actividad típica: web, clientes, puede que algún empleado, herramientas digitales de gestión.

Bloque 1: Tu web

Abre tu web y comprueba lo siguiente:

¿Tienes política de privacidad?
Busca el enlace en el pie de página. Si no está, es una infracción directa si tienes cualquier formulario en la web.

¿La política de privacidad es específica o es texto genérico copiado?
Lee los primeros párrafos. Si menciona tu nombre o el de tu empresa, las herramientas que usas y las finalidades concretas de tu actividad, es una señal de que está personalizada. Si parece texto de plantilla con campos sin rellenar o referencias a actividades que no son las tuyas, hay que rehacerla.

¿Tienes aviso legal?
Debe identificarte con nombre o razón social, NIF, domicilio y contacto.

¿Tienes política de cookies?
Si tu web usa Google Analytics, el píxel de Meta, o cualquier herramienta de terceros, necesitas esta página.

¿Tienes banner de cookies funcional?
Carga la web en modo incógnito (para que no recuerde tus preferencias) y comprueba que el banner aparece antes de que se instale cualquier cookie no técnica. Comprueba que el botón de "rechazar" es igual de visible que el de "aceptar".

¿Tus formularios incluyen cláusula informativa?
En cada formulario (contacto, presupuesto, newsletter) debe haber un texto que informe de quién trata los datos y para qué, y una casilla de consentimiento no premarcada para comunicaciones comerciales si las hubiera.

Resultado: Anota qué falta y priorízalo. La política de privacidad y el aviso legal son los más urgentes.

Bloque 2: Tus clientes y proveedores

¿Dónde guardas los datos de tus clientes?
Puede ser un CRM, una hoja de cálculo, tu gestor de email, papel... Lo importante es saber dónde están.

¿Sabes cuánto tiempo llevas guardándolos y tienes criterio para eliminarlos?
Define un plazo: mientras sean clientes activos más el tiempo necesario por obligación legal (generalmente 4 años para datos fiscales). Si tienes datos de clientes de hace 10 años sin relación activa, hay que revisarlo.

¿Usas herramientas externas que acceden a datos de tus clientes?
Lista las herramientas: plataforma de email marketing, software de facturación, CRM en la nube, herramienta de videollamadas, almacenamiento en la nube...

¿Tienes firmado un contrato de encargado de tratamiento con esas herramientas?
Para plataformas grandes (Google, Mailchimp, HubSpot...) este contrato suele aceptarse automáticamente en los términos de servicio. Para servicios locales (tu gestor, tu asesor), puede que tengas que pedirlo expresamente.

Si no sabes si lo tienes firmado, busca en los términos de servicio de cada herramienta si menciona "Data Processing Agreement" (DPA) o "Acuerdo de Tratamiento de Datos". Si no lo encuentras, contacta con el proveedor.

Bloque 3: Tus empleados (si tienes)

¿Incluiste una cláusula informativa de protección de datos en el contrato de trabajo?
Si no, añádela a los próximos contratos y entrega una hoja informativa a los empleados actuales.

¿Tienes política de uso de medios informáticos?
Si los empleados usan email o dispositivos de la empresa, debe existir una política que indique qué uso está permitido y si las comunicaciones pueden ser monitorizadas.

¿Sabes qué datos de empleados tienes y dónde están?
Nóminas, contratos, partes de baja, evaluaciones... Revisa que están en un lugar seguro y que el acceso está controlado.

Bloque 4: Seguridad básica

No necesitas ser un experto en ciberseguridad. Hay medidas básicas que cualquiera puede implementar:

Contraseñas:

• ¿Usas contraseñas distintas para cada servicio importante?
• ¿Tienes activada la autenticación en dos factores en el email y en las herramientas que acceden a datos de clientes?

Acceso a datos:

• ¿Tienen acceso a los datos de clientes solo las personas que lo necesitan?
• Si un empleado deja la empresa, ¿tienes proceso para revocar sus accesos?

Copias de seguridad:

• ¿Tienes backup de la información crítica?
• ¿El backup está en un lugar distinto al original (no solo en el mismo ordenador)?

Email:

• ¿Cuando mandas emails con datos de varias personas, usas CCO en lugar de CC?

Resultado de la auditoría: cómo priorizarlo

Con esto tienes un mapa de tu situación. Para priorizar las acciones:

Urgente (riesgo de sanción inmediato):

• Web sin política de privacidad o sin aviso legal.
• Formularios sin cláusula informativa.
• Banner de cookies que no funciona correctamente.

Importante (riesgo medio):

• Registro de actividades de tratamiento no documentado.
• Contratos de encargado de tratamiento sin firmar.
• Datos de ex-clientes o ex-empleados sin criterio de eliminación.

Buena práctica (mejora tu posición):

• Política de uso de medios informáticos para empleados.
• Autenticación en dos factores en todas las herramientas críticas.
• Proceso documentado para responder solicitudes de ejercicio de derechos.