Cómo escribir una política de privacidad y un aviso de privacidad de GDPR [Plantilla + Ejemplos]
Uber fue recientemente multado con 10 millones de euros por la Autoridad Holandesa de Protección de Datos (AP) por no revelar cuánto tiempo conserva los datos personales de sus conductores o qué medidas de seguridad específicas toma al enviar esta información a entidades en países fuera del EEE en sus términos y condiciones de privacidad, entre otras infracciones del GDPR.
El Reglamento General de Protección de Datos (GDPR) de la Unión Europea se trata de transparencia: asegurarse de que los ciudadanos de la UE sepan quién está recopilando sus datos personales y por qué. Es por eso que una política de privacidad y un aviso de privacidad son pasos clave para cumplir con el GDPR.
En este artículo, explicamos cómo redactar una política de privacidad efectiva que ayude a su equipo a mantenerse en cumplimiento y un aviso de privacidad que cumpla con los requisitos del GDPR, además de explicar la diferencia entre estos dos términos. También compartimos ejemplos de políticas de privacidad para ayudarlo a escribir la suya propia.
¿Qué es una política de privacidad de GDPR?
Una política de privacidad es un documento interno que describe cómo se manejan y protegen los datos personales para cumplir con las leyes aplicables. Ayuda a los empleados a comprender cuáles son sus roles y responsabilidades en lo que respecta al manejo de datos personales.
¿Necesito una política de privacidad de GDPR?
El GDPR no requiere una política de privacidad interna formal que dicte cómo su equipo maneja los datos personales. Sin embargo, la ley de protección de datos requiere que las organizaciones establezcan medidas de seguridad para proteger los datos personales.
Por esa razón, es una buena idea tener una política de privacidad para aclarar a sus empleados exactamente cuáles son sus roles y responsabilidades en torno a los datos personales y la privacidad de los datos. Una política de privacidad interna de GDPR establece un registro escrito de cosas como la base legal del procesamiento, quién es su oficial de protección de datos (DPO) y cuáles son sus responsabilidades, sus actividades de procesamiento de datos, procesos para la retención de datos y transferencias de datos personales, y más.
Una política de privacidad también puede denominarse “aviso de privacidad”. Dado que ninguno de los términos aparece en el texto del GDPR, a menudo son utilizados indistintamente por las empresas. Sin embargo, técnicamente, una política de privacidad de GDPR se refiere a un documento interno y un aviso de privacidad se refiere a un documento público en el que una organización describe sus actividades de procesamiento de datos. Veamos más de cerca la definición de un aviso de privacidad a continuación.
Lecturas recomendadas
¿Qué necesitas saber sobre los requisitos de cumplimiento de GDPR?
¿Qué es un aviso de privacidad en GDPR?
Mientras que una política de privacidad es un documento interno creado en beneficio de tus empleados y la organización en su totalidad, un aviso de privacidad es un documento externo que explica a los usuarios y clientes cómo tu empresa recopila sus datos personales privados, cómo los procesa, con quién los comparte y con qué fines. Ayuda a tus clientes a tomar decisiones informadas sobre si consentir o no la recopilación de datos.
El RGPD, como la CCPA, requiere un aviso de privacidad que explique las prácticas de privacidad de una organización en un lenguaje sencillo. Una práctica común es tener esta declaración de privacidad disponible públicamente en tu sitio web. También debe dar a los usuarios la opción de optar por no participar en el procesamiento de datos personales.
La siguiente tabla explica la diferencia clave entre una política de privacidad del RGPD y un aviso de privacidad del RGPD.
| Privacy Policy | Privacy Notice | |
| Who is it for? | Internal document for employees | External document for customers |
| Is it required to comply with GDPR and/or CCPA? | Not required by data privacy laws, but recommended to clarify how employees should handle personal data | Required by GDPR and CCPA |
| What requirements must it follow? | No legal requirements | Must be concise, transparent, intelligible, and easily accessible |
Lectura recomendada
CCPA vs RGPD: Conoce las diferencias clave en las leyes de privacidad de datos [Infografía]
Qué incluir en una política de privacidad del RGPD
También conocida como Política de Protección de Datos, una política de privacidad interna explica cómo la organización procesa y protege los datos personales de una manera que cumpla con los requisitos del RGPD. También explica el propósito específico de recopilar esta información — por ejemplo, procesar pedidos de clientes, crear cuentas o perfiles de usuarios, enviar campañas de marketing o realizar encuestas.
No hay requisitos legales sobre cómo debes estructurar tu política de privacidad interna o qué debe incluir. Sin embargo, una política de privacidad efectiva generalmente incluye la siguiente información:
- Qué tipo de datos recopilas de los usuarios, ya sea información de contacto, información de pago, datos demográficos, etc.
- Por qué recopilas datos personales
- Dónde almacenas los datos personales, por cuánto tiempo y cómo los desechas
- Si compartes datos personales con terceros, como proveedores de servicios, socios publicitarios o afiliados comerciales
- Cómo aseguras que los datos que recopilas sean precisos y estén suficientemente protegidos
- Cómo debe responder tu equipo en caso de una violación de datos
- Qué tipos de derechos tienen los sujetos de datos sobre sus datos personales y cómo se espera que responda tu equipo a las solicitudes de los consumidores
- Con qué frecuencia debe revisarse y actualizarse la política de privacidad, y por quién
- Quién dentro de la organización es responsable de supervisar la protección de datos
Es una buena práctica revisar tu política de privacidad al menos una vez al año y asegurarte de que sea fácilmente accesible para los empleados. Considera incluirla en tu base de conocimiento interna y asegurar que los empleados sean notificados cada vez que se realicen cambios.
¿Qué información se incluye en un aviso de privacidad de GDPR?
Un aviso de privacidad típico incluye algunos elementos comunes. Generalmente cubre:
- Qué categorías de datos personales está recopilando
- Por qué está recopilando datos personales de los usuarios (su base legal o base legal según el GDPR)
- Cómo está recopilando datos personales, incluyendo si es el controlador de datos o el procesador de datos (o ambos)
- Cómo usará los datos personales que recopila (por ejemplo, con fines de marketing), cuánto tiempo se conservarán y cómo los eliminará
- Cómo pueden los usuarios optar por no participar y/o solicitar la eliminación de sus datos personales, incluyendo un número de teléfono o dirección que puedan usar para contactarlo
- Qué derechos tienen los sujetos de datos, incluyendo el derecho a presentar una queja ante una autoridad de supervisión
- Si se transfieren datos personales a un tercer país y qué salvaguardias se toman
- Si existe un sistema automatizado de toma de decisiones e información sobre cómo se ha configurado y cuál es su importancia
Ahora que comprende qué información debe incluirse en un aviso de privacidad, discutamos cómo debe presentar esta información.
Cómo cumplir con los requisitos de transparencia del GDPR
El artículo 12 del GDPR establece que los controladores de datos deben proporcionar información relacionada con el procesamiento de datos "de manera concisa, transparente, inteligible y fácilmente accesible, usando un lenguaje claro y sencillo."
Para ayudarlo a redactar un aviso de privacidad conforme al GDPR, desglosaremos cada uno de estos términos a continuación utilizando las pautas de la Comisión Europea sobre el cumplimiento de las obligaciones de transparencia según el GDPR.
"Conciso y transparente"
Este requisito significa que la información debe ser:
- Presentada de manera precisa y comprensible para evitar la fatiga informativa
- Claramente diferenciada de otra información no relacionada con la privacidad, como los términos generales de uso
- Fácil de navegar en un contexto en línea
Por ejemplo, las empresas a menudo proporcionan una declaración de privacidad en capas en línea que permite a los sujetos de datos saltar a una sección en particular. De esa manera, obtienen acceso inmediato a la información que les interesa en lugar de tener que desplazarse por grandes cantidades de texto.
"Inteligible"
Este requisito significa que la información debe ser entendida por los miembros de la audiencia prevista. Esto variará según la audiencia. Las organizaciones deben usar lo que saben sobre su audiencia única para determinar lo que probablemente entenderían.
Por ejemplo, si la audiencia prevista de una organización son profesionales en activo, entonces la organización puede asumir que tienen un nivel más alto de comprensión que una organización cuya audiencia prevista son niños y presentar la información en consecuencia.
Si una organización no está segura sobre el nivel de comprensión de su audiencia prevista y sobre si la información se está presentando de manera efectiva, puede usar paneles de usuarios, pruebas de legibilidad o mantener discusiones con grupos de la industria, grupos de defensa del consumidor y organismos reguladores para averiguarlo.
"Fácilmente accesible"
Este requisito significa que los sujetos de datos no deberían tener que buscar activamente la información. En su lugar, debe serles claro de inmediato dónde y cómo se puede acceder a esta información.
Una forma común de implementar este requisito es hacer que un aviso de privacidad esté disponible públicamente en su sitio web. Puede vincular su aviso de privacidad en un lugar muy visible, como el pie de página de su sitio web más cualquier lugar donde recopile información personal como nombres y datos de contacto. Otras formas de implementarlo incluyen:
- Preguntas frecuentes
- Pop-ups contextuales que se activan cuando un sujeto de datos completa un formulario en línea
- Interfaces digitales interactivas como chatbots
"Lenguaje claro y sencillo"
Estrechamente relacionado con el requisito de inteligibilidad, el requisito de lenguaje claro y sencillo significa que la información debe proporcionarse de la manera más simple posible, usando un lenguaje concreto y definitivo. Las organizaciones deben evitar:
- Estructuras de oraciones y lenguajes complejos
- Términos abstractos o ambiguos que dejen lugar a interpretación
- Calificadores de lenguaje como "puede", "podría", "algunos", "a menudo" y "posible"
- Forma pasiva
- Lenguaje o terminología excesivamente legalista, técnica o especializada
Plantilla de Aviso de Privacidad de GDPR
Use esta plantilla de aviso de privacidad personalizable para explicar cómo su organización procesa y protege los datos personales. Puede publicarla externamente en su sitio web. También puede compartirla internamente con los empleados como una política de privacidad, dependiendo de cómo la personalice.
Plantilla de Aviso de Privacidad
Descargue esta plantilla y modifique el contenido según cómo use los datos, luego colóquela en su sitio web para cumplir con GDPR.
Ejemplos de Avisos de Privacidad de GDPR
Siempre que esté creando documentación para su negocio, puede ser especialmente útil ver ejemplos de cómo lo han hecho otras organizaciones. A continuación, compartimos algunos ejemplos de avisos de privacidad que puede usar como inspiración para redactar los suyos.
Tenga en cuenta que algunas de las siguientes empresas los llaman políticas de privacidad. Sin embargo, cada uno son documentos públicos que describen las actividades de procesamiento de datos de la organización y, por lo tanto, se alinean con el propósito y los elementos típicos que se encuentran en un aviso de privacidad.
1. Moss Adams
Moss Adams proporciona un aviso de privacidad claro y completo que otras organizaciones pueden usar como inspiración cuando comiencen a crear el suyo propio.
Explica claramente cómo la firma recopila, utiliza y divulga información personal y qué derechos tienen los usuarios con respecto a su información personal. Cumple con otros requisitos de GDPR, incluidas las requisitos de consentimiento de cookies, detallando su base legal para el procesamiento de datos, cómo usan cookies y cuándo pueden divulgar o transferir datos, y proporcionando una dirección de correo electrónico para que los usuarios los contacten respecto a sus prácticas de privacidad.
Esta información está desglosada en secciones y subsecciones que utilizan encabezados y listas con viñetas para facilitar la lectura.
2. Amazon.com
Amazon.com estructura su aviso de privacidad como una página de preguntas frecuentes, proporcionando respuestas a preguntas comúnmente formuladas como “¿Para qué propósitos utiliza Amazon su información personal?” y
¿Qué hay de las cookies y otros identificadores?” Cada pregunta listada en la parte superior de los avisos está enlazada para que los usuarios puedan ir a una sección específica o desplazarse desde la parte superior.
Dado que GDPR, al igual que CCPA, fue diseñado para proporcionar a los consumidores una mayor comprensión y control sobre cómo las empresas recopilan y usan su información personal, Amazon dedica una sección de su aviso de privacidad a todas las opciones que los consumidores tienen con respecto a su información. Pueden ajustar sus preferencias de comunicación con el cliente, ajustar sus preferencias de publicidad, editar su historial de navegación y más.
3. The Walt Disney Company
The Walt Disney Company es famosa por su nivel de personalización, ya sea cuando visitas uno de sus sitios web, navegas por su plataforma de streaming o visitas sus parques temáticos. La capacidad de Disney para crear experiencias de usuario tan detalladas se basa en gran medida en su capacidad para recopilar datos relevantes y personalizar tu experiencia en función de tus preferencias y comportamientos pasados.
Todo esto se explica en un lenguaje sencillo en el aviso de privacidad integral de Disney, que incluye secciones sobre los tipos de datos personales que recopilan y con quién los comparten. El aviso de privacidad también incluye una sección específica que explica las protecciones de privacidad para los niños y los derechos de los padres.
Disney también va más allá para hacer que su aviso de privacidad sea accesible para el público en general al vincular términos legales como "controlador de datos" e "información personal" y proporcionar una definición simple.
4. Google
Ya sea que solo uses la búsqueda de Google de vez en cuando o tengas toda una suite de aplicaciones y dispositivos de Google en tu hogar, el aviso de privacidad de Google está diseñado para ayudar a todos los niveles de usuarios a entender cómo se recopilan y procesan sus datos personales.
Las políticas de privacidad pueden ser intimidantes para los lectores no iniciados, y está claro que Google puso mucho cuidado en ayudar a los usuarios a navegar y entender su aviso de privacidad. Incluye una tabla de contenido para que los lectores puedan saltar fácilmente entre secciones y enlaces a otras políticas clave, incluidos los Términos de Servicio de Google.
Google también incluye fragmentos de video útiles a lo largo de su aviso de privacidad que explican rápidamente conceptos clave como qué es el aviso de privacidad, por qué Google recopila datos de usuarios y qué derechos tienen los usuarios sobre sus datos personales.
5. Meta
El aviso de privacidad de Meta es similar al de Google, con una tabla de contenido para facilitar la navegación y videos explicativos repartidos por toda la página. Al igual que Disney, también incluye enlaces emergentes que responden a preguntas clave y explican conceptos básicos de privacidad de datos en términos simples.
Esta disposición facilita a los usuarios entender el enfoque general de Meta hacia la privacidad de datos y encontrar rápidamente respuestas a preguntas específicas, mientras que los enlaces de "Aprender más" permiten a los lectores interesados profundizar en los detalles de las prácticas de privacidad de Meta.
Una cosa que Meta hace particularmente bien es incluir llamados a la acción específicos de "Tomar control" que facilitan a los usuarios ejercer sus derechos de privacidad de datos.
Obtén ayuda para verificar y mantener el cumplimiento del GDPR.
Saber que tus políticas y procedimientos cumplen con los requisitos del GDPR puede ser complicado, especialmente cuando estás tratando de construirlos desde cero.
Con Secureframe, tendrás acceso a una biblioteca de plantillas de políticas que han sido revisadas por ex auditores y expertos en cumplimiento. Obtendrás capacitación sobre GDPR para los empleados, ahorrarás tiempo con la recopilación automática de evidencia y te mantendrás al día con los últimos requisitos del GDPR. Nuestro equipo de expertos también te notificará sobre cualquier cambio en la regulación para que puedas mantenerte en cumplimiento.
Para obtener más información, programa una demostración de nuestra plataforma de automatización de seguridad y cumplimiento.
Preguntas frecuentes
¿Qué es un aviso de privacidad del GDPR?
Un aviso de privacidad del GDPR es un documento externo que explica a los usuarios y clientes cómo tu empresa recopila sus datos personales privados, cómo los procesas, con quién los compartes y para qué fines. Es una forma común de cumplir con el requisito del GDPR de explicar cómo procesas los datos de manera concisa, transparente, inteligible y fácilmente accesible.
¿Qué es la divulgación de privacidad del GDPR?
El GDPR requiere que las empresas divulguen cómo recopilan, usan, almacenan y eliminan los datos personales de los residentes de la UE.
¿Cuál es el requisito del GDPR para el Aviso de Privacidad?
El GDPR requiere que un aviso de privacidad sea:
- En una forma concisa, transparente, inteligible y de fácil acceso
- Escrito en un lenguaje claro y sencillo
- Entregado de manera oportuna
- Proporcionado de forma gratuita