Política de privacidad — RGPD, LOPDGDD y AEPD

La política de privacidad es el documento de información permanente mediante el cual el responsable del tratamiento cumple el deber de transparencia que le imponen el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD). Se distingue del registro de actividades de tratamiento del artículo 30 RGPD (documento interno), de la evaluación de impacto del artículo 35 (instrumento técnico) y de la política de cookies (sometida a un régimen específico del artículo 22.2 de la LSSI-CE, tratado en la página dedicada). Esta página presenta el esquema redaccional aplicable a un servicio en línea español dirigido al público general; debe siempre adaptarse a las finalidades y bases jurídicas reales del responsable, puesto que las plantillas genéricas no dispensan del análisis individualizado de los tratamientos.

Marco normativo aplicable

El marco normativo español combina dos planos indisociables. En el plano europeo, el RGPD es directamente aplicable desde el 25 de mayo de 2018 en todos los Estados miembros. Establece el zócalo común: definiciones (art. 4), principios (art. 5), bases jurídicas (art. 6), categorías especiales (art. 9), derechos de las personas (arts. 12 a 22), obligaciones del responsable (arts. 24 a 31) y del encargado (art. 28), seguridad (art. 32), notificación de brechas (arts. 33-34), evaluación de impacto (art. 35), delegado de protección de datos (arts. 37-39), transferencias internacionales (arts. 44 a 50), cooperación entre autoridades (arts. 60 a 67) y sanciones (arts. 77 a 84). En el plano interno, la LOPDGDD desarrolla los márgenes nacionales que el reglamento reserva al legislador estatal — edad de consentimiento (art. 7), bloqueo de datos (art. 32), tratamientos para fines de prevención del fraude (art. 19), datos de menores (art. 84), datos de personas fallecidas (art. 3) — y, sobre todo, su Título X introduce los novedosos derechos digitales (arts. 79 a 97). La AEPD (Agencia Española de Protección de Datos), autoridad de control en el sentido del artículo 51 RGPD, ejerce las potestades de investigación, requerimiento y sanción.

El Comité Europeo de Protección de Datos (CEPD) emite directrices que, sin ser estrictamente vinculantes, son autoridad interpretativa del RGPD: sobre el consentimiento, el interés legítimo, la transparencia, las transferencias internacionales y las brechas de seguridad. Sus pronunciamientos estructuran la práctica europea y orientan la actuación de la AEPD.

Información obligatoria al interesado (arts. 13 y 14 RGPD)

Los artículos 13 (recogida directa) y 14 (recogida indirecta) del RGPD enumeran los extremos que el responsable debe suministrar a la persona concernida. La política de privacidad agrega estas menciones en un formato permanente y accesible. Son obligatorios:

Identidad y datos de contacto del responsable y, en su caso, de su representante en la Unión (art. 27 RGPD para responsables fuera de la UE).
Datos de contacto del delegado de protección de datos, cuando se haya designado (art. 37 RGPD; art. 34 LOPDGDD). Se recomienda una dirección funcional (dpd@…).
Fines del tratamiento — específicos, explícitos y legítimos (principio de limitación de la finalidad, art. 5.1.b). La generalidad (« mejora de servicios ») no satisface el deber.
Base jurídica del tratamiento (art. 6 RGPD) — véase apartado siguiente.
Intereses legítimos perseguidos cuando la base sea el art. 6.1.f, con la posibilidad de obtener el test de ponderación documentado.
Destinatarios o categorías de destinatarios — encargados, partners, autoridades.
Transferencias internacionales — países terceros u organizaciones internacionales, mecanismo aplicable (adecuación, cláusulas tipo, normas corporativas), y medios para obtener una copia de las garantías.
Plazo de conservación o los criterios para determinarlo (duración de la relación, obligaciones legales de archivo, archivo histórico).
Derechos del interesado (arts. 15 a 22 RGPD), incluido el de presentar reclamación ante la AEPD (art. 77) y el de revocar el consentimiento (art. 7.3) sin retroactividad.
Existencia de decisiones automatizadas, incluido el perfilado (art. 22), con información sobre la lógica aplicada y las consecuencias previstas.
Origen de los datos cuando no se recogieron directamente del interesado (art. 14.2.f).

La información debe darse « de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo » (art. 12.1 RGPD). La AEPD recomienda — siguiendo las Directrices WP260 del CEPD sobre transparencia — un formato por capas: capa básica (resumen ejecutivo en formularios y banners) y capa detallada (política completa).

Bases jurídicas del tratamiento (art. 6 RGPD)

Todo tratamiento debe descansar en una de las seis bases del art. 6.1 RGPD:

Consentimiento (art. 6.1.a) — manifestación de voluntad libre, específica, informada e inequívoca, mediante declaración o acto positivo claro (art. 4.11 RGPD). Prohibido el preconsentimiento mediante casillas premarcadas (STJUE Planet49, C-673/17). La retirada debe ser tan sencilla como el otorgamiento (art. 7.3).
Ejecución de un contrato (art. 6.1.b) — necesario para la ejecución del contrato del que el interesado es parte o para medidas precontractuales a petición del mismo.
Obligación legal (art. 6.1.c) — obligación aplicable al responsable (contabilidad, declaraciones fiscales y laborales, prevención del blanqueo).
Intereses vitales (art. 6.1.d) — situación de urgencia vital; rara vez en servicios digitales.
Misión de interés público (art. 6.1.e) — fundada en normativa aplicable al responsable, mayoritariamente en el sector público.
Interés legítimo (art. 6.1.f) — interés legítimo del responsable o de un tercero, ponderado con los derechos y libertades del interesado; exige el test de ponderación (legitimate interest assessment). No disponible para autoridades públicas en el ejercicio de sus funciones.

Para las categorías especiales del art. 9 RGPD (origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos identificativos, datos de salud, vida u orientación sexual), el art. 6 es insuficiente: hay que cumular una excepción del art. 9.2 (consentimiento explícito, ejercicio de derechos laborales, intereses vitales, fundación con fines no lucrativos, datos manifiestamente públicos, ejercicio o defensa de reclamaciones, interés público sustancial, medicina preventiva, salud pública, archivo / investigación / estadística). Las infracciones y condenas penales del art. 10 RGPD solo pueden tratarse bajo el control de la autoridad pública o cuando lo autorice el Derecho de la UE o nacional con garantías apropiadas.

Derechos del interesado (arts. 15 a 22)

El RGPD enumera siete derechos ejercibles por el interesado:

Derecho de acceso (art. 15) — confirmación de la existencia del tratamiento, copia de los datos, información sobre fines, categorías, destinatarios, plazo, derechos, origen y perfilado.
Derecho de rectificación (art. 16) — corrección de datos inexactos o incompletos.
Derecho de supresión (« derecho al olvido ») (art. 17) — bajo condiciones; oponible cuando los datos no son necesarios, el consentimiento se ha retirado, el interesado se opone sin motivo legítimo imperioso, el tratamiento es ilícito, o pesa una obligación legal. Limitaciones: libertad de expresión, obligación legal, interés público en materia de salud, investigación o defensa de un derecho.
Derecho de limitación (art. 18) — bloqueo temporal en cuatro supuestos (exactitud impugnada, tratamiento ilícito, datos ya no necesarios pero útiles para defender derechos, oposición en examen).
Derecho de portabilidad (art. 20) — recepción de los datos en formato estructurado, de uso común y de lectura mecánica; aplicable cuando la base es el consentimiento o el contrato y el tratamiento es automatizado.
Derecho de oposición (art. 21) — oponible a tratamientos basados en interés público o interés legítimo; absoluto frente a la mercadotecnia directa; sujeto a motivos legítimos imperiosos en los demás supuestos.
Derecho relativo a las decisiones automatizadas y al perfilado (art. 22) — derecho a no ser objeto de una decisión exclusivamente automatizada con efectos jurídicos o significativos, salvo necesidad contractual, autorización legal o consentimiento explícito.

El plazo de respuesta es de un mes a partir de la recepción de la solicitud (art. 12.3 RGPD), prorrogable dos meses en casos complejos o numerosos, previa información al interesado. La respuesta es gratuita salvo solicitud manifiestamente infundada o excesiva. El art. 12 LOPDGDD precisa los mecanismos de ejercicio: medios sencillos, atención de las solicitudes de los albaceas y herederos en lo aplicable, identificación proporcional.

Derechos digitales del Título X de la LOPDGDD

La LOPDGDD introdujo en su Título X una serie de derechos digitales novedosos, que conviven con los derechos clásicos del RGPD:

Neutralidad de internet (art. 80) — derecho a acceder a la red en condiciones de igualdad y no discriminación.
Derecho de acceso universal a internet (art. 81) — política pública orientada al acceso de la población.
Derecho a la seguridad digital (art. 82) y derecho a la educación digital (art. 83).
Derechos en el ámbito laboral: derecho a la intimidad frente a dispositivos digitales (art. 87), derecho a la desconexión digital (art. 88), uso de videovigilancia y grabación de sonidos en el trabajo (art. 89), uso de sistemas de geolocalización (art. 90), derechos digitales en la negociación colectiva (art. 91).
Derecho al olvido en búsquedas de internet (art. 93) y en redes sociales y servicios equivalentes (art. 94) — derecho a obtener la supresión, modificación o restricción de la difusión.
Derecho a la portabilidad en servicios de redes sociales y servicios equivalentes (art. 95).
Derecho al testamento digital (art. 96) — acceso de los herederos a los contenidos digitales del fallecido bajo condiciones.
Políticas de impulso de los derechos digitales (art. 97).

Estos derechos no son meras declaraciones programáticas: la AEPD los ha venido aplicando en sus resoluciones (en especial el derecho al olvido y la desconexión digital). Su mención en la política de privacidad refuerza la transparencia y orienta al interesado sobre las vías de ejercicio.

Menores y consentimiento digital

El art. 8 RGPD fija un umbral por defecto de 16 años para el consentimiento válido del menor en relación con servicios de la sociedad de la información, permitiendo a los Estados rebajarlo hasta los 13. España ha optado por 14 años mediante el art. 7 LOPDGDD. Por debajo de 14, el tratamiento solo es lícito si lo autoriza el titular de la patria potestad o tutela. El responsable debe realizar « esfuerzos razonables » para verificar el consentimiento parental, atendiendo a los medios tecnológicos disponibles. La AEPD insiste en la proporcionalidad de las medidas de verificación: el principio de minimización prohíbe la imposición de medidas desproporcionadas (almacenamiento de pieza de identidad, base biométrica innecesaria). Para tratamientos dirigidos a menores, deben adoptarse información adaptada al perfil (lenguaje claro, pictogramas) y un nivel reforzado de protección (art. 84 LOPDGDD).

Encargado del tratamiento y subencargos (art. 28 RGPD)

Cuando el responsable encarga a un tercero el tratamiento de datos por su cuenta (hosting, CRM, correo, pasarela de pago), debe celebrar un contrato de encargado conforme al art. 28 RGPD y al art. 33 LOPDGDD: instrucciones documentadas, confidencialidad, medidas de seguridad, asistencia para el ejercicio de derechos, comunicación de brechas, supresión o devolución al término, autorización para subcontratistas. La política de privacidad debe mencionar las categorías de destinatarios encargados — sin necesidad de listar nominalmente a todos los proveedores — y remitir, para el desarrollo, al contrato de encargado del tratamiento. Los subencargos exigen autorización general o específica del responsable (art. 28.2 RGPD).

Brechas de seguridad (arts. 33 y 34 RGPD)

En caso de violación de la seguridad que pueda suponer un riesgo para los derechos y libertades de las personas físicas, el responsable debe notificar a la AEPD sin dilación indebida y, a más tardar, dentro de las 72 horas desde que tenga conocimiento (art. 33). Si el riesgo es elevado, debe comunicarlo también al interesado en términos claros y sencillos (art. 34). El responsable mantiene un registro interno de todas las brechas (art. 33.5), tengan o no obligación de notificación. La AEPD ha dictado directrices que detallan los criterios — la Guía para la notificación de brechas y la herramienta Comunica-Brecha del portal de la AEPD facilitan el procedimiento. La omisión de la notificación constituye infracción grave del art. 83.4 RGPD.

Transferencias internacionales (arts. 44 a 50 RGPD)

Las transferencias a países terceros u organizaciones internacionales están sujetas al Capítulo V del RGPD:

Decisiones de adecuación (art. 45) — la Comisión Europea reconoce un nivel de protección adecuado; las transferencias son libres. Países cubiertos: Andorra, Argentina, Canadá (organismos comerciales), Islas Feroe, Guernesey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, República de Corea, Suiza, Reino Unido, Uruguay, y Estados Unidos bajo el Data Privacy Framework desde la Decisión de Ejecución (UE) 2023/1795 de 10 de julio de 2023.
Garantías apropiadas (art. 46) — Cláusulas Contractuales Tipo adoptadas por la Decisión (UE) 2021/914 de 4 de junio de 2021; Normas Corporativas Vinculantes (BCR, art. 47); códigos de conducta; mecanismos de certificación; cláusulas aprobadas por la AEPD; acuerdos administrativos entre autoridades.
Excepciones (art. 49) — consentimiento explícito previa información sobre los riesgos, ejecución de contrato en interés del afectado, motivos importantes de interés público, ejercicio o defensa de reclamaciones, intereses vitales. Excepciones de interpretación restrictiva según el CEPD.

La STJUE de 16 de julio de 2020, Schrems II, C-311/18 invalidó el Privacy Shield UE-EE.UU. y confirmó la validez de las cláusulas tipo, pero exigió a los responsables una evaluación de impacto de las transferencias (Transfer Impact Assessment) que tenga en cuenta el Derecho del país de destino — especialmente las facultades de vigilancia estatal — y la adopción de medidas suplementarias (cifrado, seudonimización, medidas contractuales) cuando las CCT por sí solas no basten. El CEPD ha publicado las Recomendaciones 01/2020 sobre las medidas suplementarias. El Data Privacy Framework de 2023 reintroduce un mecanismo de adecuación para EE.UU., restringido a las entidades autocertificadas; una posible nueva invalidación contenciosa no puede descartarse a medio plazo.

Delegado de Protección de Datos (DPD)

El art. 37 RGPD impone la designación del DPD en tres supuestos: autoridad u organismo público; actividades principales que requieran un seguimiento sistemático a gran escala; actividades principales de tratamiento a gran escala de categorías especiales o datos penales. El art. 34 LOPDGDD añade un listado de actividades en las que la designación es obligatoria con independencia del análisis caso por caso — colegios profesionales, centros educativos, entidades sanitarias, aseguradoras, entidades financieras y de crédito, distribución eléctrica y de gas, servicios de la sociedad de la información que elaboren perfiles a gran escala, operadores que comercialicen datos para mercadotecnia, federaciones deportivas que traten datos de menores. El DPD debe poder actuar con independencia, disponer de recursos, acceder a todos los tratamientos, rendir cuentas al máximo nivel directivo (art. 38) y ejercer las funciones del art. 39 (información, asesoramiento, supervisión, cooperación con la AEPD, punto de contacto). Sus datos de contacto se publican en la política de privacidad y se comunican a la AEPD.

Registro de actividades de tratamiento y evaluación de impacto

El registro de actividades de tratamiento (art. 30 RGPD) es obligatorio para todo responsable y encargado con más de 250 empleados, o que realicen tratamientos que entrañen riesgo, no ocasionales, o de categorías especiales o datos penales. Es un documento interno disponible a requerimiento de la AEPD. Su contenido es: identidad y datos de contacto del responsable; fines; categorías de interesados y de datos; categorías de destinatarios; transferencias internacionales; plazos previstos de supresión; descripción general de las medidas de seguridad. La AEPD ofrece una herramienta gratuita (Facilita) para PYMES con tratamientos de bajo riesgo.

La evaluación de impacto (DPIA, art. 35 RGPD) se exige antes del inicio del tratamiento cuando éste « entrañe un alto riesgo » para los derechos y libertades. La AEPD ha publicado la lista de tipos de operaciones que requieren DPIA (resolución de 27 de junio de 2019), entre otros: perfilado a gran escala, datos biométricos, datos genéticos, geolocalización a gran escala, datos de menores a gran escala, datos de denunciantes, sistemas de IA con efectos significativos. Si el riesgo residual permanece elevado, debe procederse a la consulta previa a la AEPD (art. 36 RGPD).

Sanciones y casuística de la AEPD

Las sanciones del art. 83 RGPD son escalonadas en dos tramos:

Hasta 10 millones de euros o el 2% de la facturación mundial anual del ejercicio anterior, el importe mayor, para infracciones del art. 83.4 — incumplimientos relacionados con responsabilidad del responsable y encargado, codigos de conducta y certificación, organismos de control.
Hasta 20 millones de euros o el 4% de la facturación mundial anual del ejercicio anterior, el importe mayor, para infracciones del art. 83.5 — vulneración de los principios básicos, de los derechos de los interesados, de las normas sobre transferencias o el incumplimiento de una orden de la autoridad de control.

La LOPDGDD complementa con el art. 72 (infracciones muy graves), art. 73 (graves) y art. 74 (leves). La AEPD ha emitido resoluciones sancionadoras de relevancia frente a Google, Vodafone España, Endesa Energía, Iberdrola y otros operadores de telecomunicaciones y energía. Las cifras exactas se publican en la base de resoluciones del portal de la AEPD; es recomendable contrastar antes de citarlas en documentos oficiales. La autoridad complementa las multas con medidas correctivas (apercibimiento, requerimiento, limitación o suspensión de los tratamientos, retirada de certificación).

Estructura recomendada de una política de privacidad

Preámbulo — identidad del responsable, datos del DPD, ámbito.
Datos recogidos — categorías (identificación, navegación, transaccionales, especiales en su caso).
Fines — relación explícita con la base jurídica al lado.
Destinatarios — encargados, partners, autoridades.
Transferencias internacionales — garantías aplicables.
Plazos de conservación — por finalidad.
Derechos del interesado — modalidades de ejercicio, plazos, reclamación AEPD.
Seguridad — medidas técnicas y organizativas.
Cookies y trazadores — remisión a la política específica.
Menores — reglas específicas para < 14 años.
Perfilado / IA — cuando proceda.
Modificaciones — historial de versiones, fecha de entrada en vigor.
Contacto — DPD o punto de contacto, AEPD.

Referencias cruzadas

Política de cookies — art. 22.2 LSSI, Guía AEPD enero 2024, gestión del consentimiento a trazadores.
Términos y condiciones de uso — LSSI, TRLGDCU, contratación electrónica.
Accesibilidad digital — Ley 11/2023, declaración de accesibilidad, articulación con el principio de minimización.
Derecho de desistimiento — TRLGDCU arts. 102-108, articulación con datos transaccionales.
Contrato de encargado del tratamiento — art. 28 RGPD + art. 33 LOPDGDD.
Condiciones generales de la contratación — Ley 7/1998 y TRLGDCU, marco general de los contratos predispuestos.

Bibliografía

Aviso legal: El contenido de este manual es informativo y no constituye asesoramiento jurídico. Última verificación: 12 de mayo de 2026. Consulte a un abogado colegiado en España para decisiones vinculantes.