Requisitos del aviso de privacidad del RGPD para empresas SaaS

Su aviso de privacidad es el artefacto más visible de su programa de cumplimiento del RGPD. Es el documento que sus usuarios, clientes y empleados realmente leen (o al menos recorren con la vista). Es lo primero que comprueban los reguladores. Y es donde la brecha entre lo que dice que hace y lo que realmente hace se vuelve incómodamente visible.

El principio de transparencia del RGPD — consagrado en los artículos 12, 13 y 14 — exige que comunique a las personas de forma clara, concisa y en un lenguaje sencillo qué hace con sus datos personales. Un aviso de privacidad no es una formalidad legal que se redacta una vez y se olvida. Es un documento vivo que debe reflejar con precisión sus actividades de tratamiento actuales, actualizado cada vez que esas actividades cambien.

Para las empresas SaaS, los avisos de privacidad son particularmente matizados. Probablemente tiene múltiples audiencias (visitantes del sitio web, usuarios de prueba gratuita, clientes de pago, clientes empresariales, empleados) y múltiples tipos de tratamiento ocurriendo simultáneamente. Esta guía repasa los elementos obligatorios, las mejores prácticas para SaaS y cómo mantener su aviso preciso a medida que su producto evoluciona.

Aviso de privacidad frente a política de privacidad

Estos términos se usan a menudo indistintamente, pero significan cosas diferentes:

Aviso de privacidad (orientado al exterior): La información que proporciona a los interesados sobre cómo trata sus datos personales. Esto es lo que regula el RGPD en los artículos 13 y 14. Está dirigido hacia fuera — es para las personas cuyos datos usted trata.
Política de privacidad (orientado al interior): Las normas y procedimientos internos de su organización para el manejo de datos personales. Es un documento operativo para su equipo — regula cómo los empleados deben recopilar, almacenar, compartir y eliminar datos personales.

El RGPD exige específicamente el aviso, no la política. Cuando hablamos de “lo que debe estar en su sitio web”, nos referimos al aviso de privacidad. La política interna lo respalda, pero no es lo que se publica.

¿Qué debe incluir un aviso de privacidad?

Cuando recopila datos directamente — Artículo 13

Cuando recopila datos personales directamente del interesado (formularios de registro, formularios de contacto, consentimiento de cookies, creación de cuentas), su aviso de privacidad debe incluir todo lo siguiente en el momento de la recopilación:

1. Identidad y datos de contacto del responsable del tratamiento. El nombre de su empresa, dirección registrada y una forma de contactarle sobre asuntos de protección de datos. Si forma parte de un grupo de empresas, aclare qué entidad es el responsable.

2. Datos de contacto del DPD. Si ha designado un Delegado de Protección de Datos, proporcione su información de contacto. Puede ser una dirección de correo electrónico genérica (dpd@empresa.com) en lugar de una persona nombrada.

3. Finalidades y base legal del tratamiento. Para cada categoría de tratamiento, indique qué hace con los datos y en qué base legal se apoya. No agrupe todo bajo una finalidad vaga — sea específico. “Para prestar el servicio que usted solicitó” es una finalidad. “Para enviarle correos electrónicos de marketing” es una finalidad diferente con una base legal potencialmente distinta.

4. Intereses legítimos (si procede). Si se basa en el interés legítimo como base legal para cualquier actividad de tratamiento, debe describir cuál es ese interés legítimo. “Mejora del producto” no es lo suficientemente específico. “Analizar patrones de uso agregados para identificar y corregir problemas de usabilidad” es mejor.

5. Destinatarios o categorías de destinatarios. ¿Con quién comparte datos personales? Nombre categorías específicas: proveedores de alojamiento en la nube, procesadores de pagos, plataformas de email marketing, servicios de analítica, herramientas de soporte al cliente. No necesariamente debe nombrar a cada proveedor, pero las categorías deben ser significativas — “terceros” solo no es suficiente.

6. Transferencias internacionales y garantías. Si los datos personales se transfieren fuera del EEE, indique qué países y qué garantías se aplican. Haga referencia al mecanismo específico: decisión de adecuación, Cláusulas Contractuales Tipo, Marco de Privacidad de Datos UE-EE. UU. Consulte nuestra guía de transferencias internacionales de datos para más detalles.

7. Plazos de conservación. ¿Cuánto tiempo conserva cada categoría de datos? Proporcione plazos específicos o los criterios utilizados para determinarlos. “El tiempo que sea necesario” no supera la prueba de transparencia. “Durante la vigencia de su cuenta más 30 días” es transparente. Nuestra guía de conservación de datos le ayuda a definir estos plazos.

8. Derechos de los interesados. Informe a las personas de sus derechos según el RGPD: acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición. Explique cómo pueden ejercer estos derechos (dirección de correo electrónico, configuración de la aplicación, formulario de solicitud dedicado).

9. Derecho a retirar el consentimiento. Si algún tratamiento se basa en el consentimiento, debe informar a las personas de que pueden retirarlo en cualquier momento sin que ello afecte a la licitud del tratamiento anterior a la retirada. Indíqueles cómo retirarlo (enlace de cancelación de suscripción, configuración de la cuenta, contactándole).

10. Derecho a presentar una reclamación. Los interesados tienen derecho a presentar una reclamación ante una autoridad de control. Debe nombrar la autoridad (o autoridades, si opera en varios Estados miembros de la UE) relevante y proporcionar sus datos de contacto o sitio web.

11. Requisito legal o contractual. Indique si la provisión de datos personales es un requisito legal o contractual, si el interesado está obligado a proporcionarlos y las consecuencias de no hacerlo. Para un registro en un SaaS, esto podría ser: “Proporcionar su dirección de correo electrónico es necesario para crear una cuenta. Sin ella, no podemos prestar el servicio”.

12. Toma de decisiones automatizada y elaboración de perfiles. Si toma decisiones basadas únicamente en el tratamiento automatizado (incluida la elaboración de perfiles) que produzcan efectos jurídicos o igualmente significativos, debe informar a los interesados de ese hecho, la lógica implicada y la importancia y consecuencias previstas. Para la mayoría de las empresas SaaS, esto se aplica si utiliza puntuación crediticia automatizada, detección de fraude que bloquea el acceso o moderación de contenido algorítmica.

Cuando los datos no se recopilan directamente — Artículo 14

Cuando obtiene datos personales de una fuente distinta al interesado — de un socio comercial, un intermediario de datos, una fuente pública o de su cliente (como encargado al que se le pide que proporcione transparencia a nivel de responsable) — el artículo 14 añade:

El origen de los datos — ¿De dónde los obtuvo? Nombre la fuente específica o la categoría de fuente.
Las categorías de datos personales — Puesto que no los recopiló directamente de la persona, esta puede no saber qué datos tiene usted. Sea explícito.

La información del artículo 14 debe proporcionarse dentro de un plazo razonable tras la obtención de los datos, y a más tardar en un mes. Si tiene previsto usar los datos para comunicarse con la persona, proporcione el aviso a más tardar en el momento de la primera comunicación.

Mejores prácticas de aviso de privacidad para SaaS

Use avisos por capas

Un aviso de privacidad único y monolítico que cubra cada actividad de tratamiento en una prosa legal densa es técnicamente conforme pero prácticamente inútil. Nadie lo lee, lo que anula el propósito de la transparencia.

Los avisos por capas resuelven esto. El enfoque:

Capa 1: Aviso corto. Un breve resumen que destaca la información más importante — quién es usted, qué recopila, por qué y cómo contactarle. Aparece en el punto de recopilación de datos (página de registro, banner de cookies).
Capa 2: Aviso completo. El aviso de privacidad completo con todos los elementos de los artículos 13/14. Enlazado desde el aviso corto para quien quiera los detalles.
Capa 3: Avisos en el momento oportuno. Avisos contextuales que aparecen cuando se produce un tratamiento específico — por ejemplo, al activar una nueva funcionalidad que usa datos de ubicación, al activar una integración o cuando un usuario se encuentra por primera vez con el seguimiento de analítica.

Escriba en lenguaje sencillo

El artículo 12 exige que la información de privacidad se proporcione de “forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo”. Esto no es aspiracional — es obligatorio.

Directrices:

Use oraciones cortas. Apunte a un nivel de lectura accesible para un público general.
Evite la jerga legal. “Nosotros” y “usted” son mejores que “el responsable” y “el interesado”.
Explique los conceptos técnicos. Si menciona “Cláusulas Contractuales Tipo”, explique brevemente qué son.
Use encabezados y viñetas. Haga el aviso escaneable.
Compruebe la legibilidad. Herramientas como el test de legibilidad de Flesch-Kincaid le dan una medida objetiva.

Proporcione avisos en el momento oportuno en los puntos de recopilación

No dependa únicamente de una página de aviso de privacidad enterrada en el pie de página de su sitio web. Cuando recopile datos, dígalo allí mismo:

Formularios de registro: Texto breve explicando qué hará con su correo electrónico y enlazando al aviso completo.
Consentimiento de cookies: Explicación clara de qué cookies usa y por qué, con controles granulares.
Activación de funcionalidades: Cuando un usuario activa una funcionalidad que introduce un nuevo tratamiento de datos (por ejemplo, conectar una integración de terceros), explique qué datos se compartirán y con quién.
Interacciones de soporte: Si graba llamadas de soporte o conserva transcripciones de chat, informe a los usuarios al inicio.

Gestione los avisos multi-producto con cuidado

Si su empresa ofrece múltiples productos o servicios, decida si:

Mantener un único aviso que cubra todo (más fácil de mantener pero potencialmente abrumador)
Crear avisos específicos por producto (más relevantes para cada usuario pero más para gestionar)
Usar un enfoque modular (un aviso base común con addendas específicos por producto)

El enfoque correcto depende de cuán diferente sea el tratamiento de datos de sus productos. Si comparten infraestructura y proveedores, un único aviso con secciones específicas por producto suele funcionar. Si son fundamentalmente diferentes, avisos separados pueden ser más claros.

Versione y comunique los cambios

Cuando su aviso de privacidad cambia, el RGPD no especifica un procedimiento de notificación exacto, pero las buenas prácticas incluyen:

Mantener un historial de versiones con fechas y un resumen de los cambios
Notificar a los usuarios de cambios materiales por correo electrónico o notificación dentro de la aplicación
Dar a los usuarios un período razonable para revisar los cambios antes de que entren en vigor
Mantener las versiones anteriores accesibles como referencia

Errores comunes en los avisos de privacidad

Copiar y pegar de otra empresa. Esto es inquietantemente común — y garantiza la inexactitud. Su aviso de privacidad debe reflejar su tratamiento, no el de otra persona. Si su aviso menciona actividades de tratamiento que no realiza, u omite las que sí realiza, falla en la prueba de precisión.

No actualizar cuando cambia el tratamiento. Lanza una nueva funcionalidad que recopila datos de geolocalización. Cambia de proveedor de analítica. Se expande a un nuevo mercado. Cada uno de estos debería desencadenar una revisión del aviso de privacidad. El aviso que era preciso hace seis meses puede no serlo hoy.

Información obligatoria faltante. Los elementos más comúnmente omitidos: plazos de conservación, bases legales específicas para cada finalidad, descripciones de interés legítimo, mecanismos de transferencia internacional y divulgaciones sobre toma de decisiones automatizada. Compruebe cada elemento obligatorio contra su aviso.

Enterrar el aviso detrás de múltiples clics. Su aviso de privacidad debe ser accesible desde cualquier página de su sitio web — típicamente a través de un enlace en el pie de página. Si los usuarios necesitan navegar por múltiples páginas para encontrarlo, no está cumpliendo con el requisito de “fácil acceso”.

Usar lenguaje vago y genérico. “Podemos compartir sus datos con terceros para fines empresariales” no le dice nada al lector. ¿Quiénes son estos terceros? ¿Qué fines empresariales? Cuanto más específico sea su aviso, más transparente — y más fiable — aparecerá.

No cubrir todas las fuentes de datos. Su sitio web recopila datos. Su producto recopila datos. Sus campañas de marketing recopilan datos. Su equipo de ventas recopila datos. Su departamento de RR. HH. recopila datos. Su aviso de privacidad necesita abordar todos estos — o necesita avisos separados para audiencias separadas (empleados, clientes, visitantes del sitio web).

Mantener su aviso de privacidad actualizado

Desencadenantes para la revisión

Establezca un proceso para que las revisiones del aviso de privacidad se produzcan automáticamente cuando:

Se incorpore un nuevo proveedor que trate datos personales
Una nueva funcionalidad del producto recopile o trate nuevos tipos de datos
Entre en un nuevo mercado geográfico
Cambie un proceso de derechos del interesado
Cambie su base legal para una actividad de tratamiento
Una autoridad de control emita orientación relevante
Su empresa experimente una fusión, adquisición o reestructuración

Cadencia de revisión

Más allá de las revisiones basadas en eventos, programe controles regulares:

Trimestral: Escaneo rápido para verificar la precisión contra el tratamiento actual
Anual: Revisión completa con aportaciones de los equipos de producto, ingeniería, marketing y legal

Documentación

Mantenga un registro de cada versión del aviso de privacidad, los cambios realizados, el motivo de los cambios y la fecha en que se publicó la actualización. Esto demuestra responsabilidad proactiva y le ayuda a rastrear cómo ha evolucionado su tratamiento a lo largo del tiempo.

Cómo GRCTrail monitoriza los avisos de privacidad

GRCTrail le ayuda a mantener su aviso de privacidad alineado con su tratamiento real:

Monitorización del aviso de privacidad. Rastree su aviso de privacidad publicado contra su RAT y actividades de tratamiento. Cuando su tratamiento cambia, GRCTrail señala posibles inconsistencias que necesitan una actualización del aviso.

Alertas de detección de cambios. Reciba notificaciones cuando su aviso de privacidad necesite atención — ya sea por un nuevo proveedor, un nuevo tipo de datos o un cambio de base legal.

Conectado a su RAT. Su aviso de privacidad y su Registro de Actividades de Tratamiento deben contar la misma historia. GRCTrail los mantiene vinculados para que las discrepancias sean visibles de inmediato.

No pierda nunca una actualización del aviso de privacidad →

Guías relacionadas

Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
Gestión del consentimiento — Cuándo y cómo recoger el consentimiento
Registro de Actividades de Tratamiento (RAT) — Documentación de su tratamiento
Las seis bases legales — Elección del fundamento jurídico adecuado
Rol y requisitos del DPD — Cuándo necesita un Delegado de Protección de Datos

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours