Política de privacidad para tu web: qué debes incluir

La política de privacidad es el documento donde informas a los usuarios de tu web sobre cómo tratas sus datos personales. Es obligatoria si tu web recoge algún tipo de dato, aunque sea solo el email de un formulario de contacto.

No basta con poner cualquier texto. El RGPD establece que la información debe ser específica, clara y accesible. A continuación tienes cada apartado que debe incluir una política de privacidad correcta, con una explicación de qué poner en cada uno y un texto de ejemplo adaptable.

1. Identidad del responsable del tratamiento

Debes identificarte claramente: nombre completo o razón social, NIF o CIF, domicilio y datos de contacto. Si tienes DPO, también hay que incluir sus datos.

Ejemplo:
Responsable del tratamiento: [Nombre completo o razón social], con NIF [XXXXXXXX], domicilio en [dirección completa] y correo electrónico de contacto: [email].

2. Finalidad del tratamiento

Para qué vas a usar los datos que recoges. Debes ser específico. "Mejorar nuestros servicios" no es una finalidad válida porque no dice nada concreto.

Las finalidades más habituales en webs de pymes y autónomos:

• Atender consultas y solicitudes de información enviadas a través del formulario de contacto.
• Gestionar la relación contractual con clientes.
• Enviar comunicaciones comerciales a usuarios que han dado su consentimiento.
• Gestionar suscripciones al boletín informativo.
• Elaborar estadísticas anónimas sobre el uso de la web.

Ejemplo:
Los datos facilitados a través del formulario de contacto serán tratados con la finalidad de atender su solicitud y responder a sus consultas. En caso de que haya marcado la casilla correspondiente, también podrán ser utilizados para enviarle información comercial sobre nuestros servicios.

3. Base jurídica del tratamiento

Por qué tienes derecho a tratar esos datos. Las bases jurídicas del RGPD son:

• Consentimiento del interesado: Cuando el usuario ha marcado una casilla o ha dado su permiso de forma activa.
• Ejecución de un contrato: Cuando necesitas los datos para prestar el servicio contratado.
• Obligación legal: Cuando la ley te obliga a tratar o conservar ciertos datos.
• Interés legítimo: Cuando tienes un interés razonable que no perjudica los derechos del usuario.

Ejemplo:
La base jurídica para el tratamiento de sus datos es el consentimiento que usted presta al enviarnos el formulario, de conformidad con el artículo 6.1.a) del RGPD. En el caso de clientes, la base jurídica es la ejecución del contrato de prestación de servicios.

4. Plazo de conservación de los datos

Cuánto tiempo vas a guardar los datos. No se pueden conservar indefinidamente. Debes indicar un criterio:

• Hasta que el usuario solicite la supresión.
• Durante el tiempo necesario para la finalidad para la que se recabaron.
• Durante los plazos legalmente establecidos (por ejemplo, las facturas deben conservarse durante 4 años a efectos fiscales).

Ejemplo:
Los datos se conservarán mientras se mantenga la relación comercial o durante los años necesarios para cumplir con las obligaciones legales. Los datos de suscriptores a la newsletter se conservarán hasta que el usuario solicite la baja.

5. Destinatarios de los datos (cesiones a terceros)

Si compartes los datos con terceros, debes indicarlo. Esto incluye:

• Proveedores de servicios que acceden a los datos como encargados de tratamiento (gestor, plataforma de email marketing, proveedor de hosting...).
• Cesiones a otras empresas para sus propios fines (si las hubiera).

Ejemplo:
Los datos no serán cedidos a terceros salvo obligación legal. Para la prestación de los servicios, podemos contar con proveedores externos que actúan como encargados de tratamiento y que están obligados contractualmente a tratar los datos exclusivamente según nuestras instrucciones.

6. Transferencias internacionales de datos

Si usas herramientas cuyo servidor está fuera de la Unión Europea (Google, Meta, Mailchimp, servicios en la nube de empresas estadounidenses...), debes indicarlo y señalar la garantía que ampara esa transferencia.

Ejemplo:
Algunos de nuestros proveedores de servicios tienen sus servidores en Estados Unidos. Dichas transferencias están amparadas por el Marco de Privacidad de Datos UE-EE.UU. o por cláusulas contractuales tipo aprobadas por la Comisión Europea.

7. Derechos del interesado

Debes informar de los derechos que tiene el usuario y cómo puede ejercerlos:

• Acceso: Conocer qué datos tienes sobre él.
• Rectificación: Corregir datos inexactos.
• Supresión: Solicitar que borres sus datos.
• Oposición: Oponerse a ciertos tratamientos.
• Limitación: Solicitar que restrinjas el tratamiento.
• Portabilidad: Recibir sus datos en un formato estructurado.
• Retirada del consentimiento: Retirar el consentimiento prestado en cualquier momento.

También debes indicar que puede presentar una reclamación ante la AEPD (www.aepd.es).

Ejemplo:
Puede ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad enviando un email a [email] con el asunto "Protección de datos" e indicando su nombre y el derecho que desea ejercer. Tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos en www.aepd.es.

Dónde debe estar la política de privacidad

• Accesible desde el pie de página de todas las páginas de tu web.
• Enlazada desde todos los formularios donde recojas datos.
• Enlazada desde el banner de cookies.

Una nota sobre el lenguaje

El RGPD exige que la información se presente de forma "concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo". Esto significa que puedes —y debes— escribir en un castellano normal, sin abusar de terminología jurídica. Si el usuario medio no entiende tu política de privacidad, no cumple su función.