¿Qué debemos saber de la política de privacidad y datos?

La política de privacidad y las prácticas de uso de datos determinan cómo una organización recopila, utiliza, comparte y protege la información personal. Formular las preguntas correctas permite evaluar riesgos legales, reputacionales y operativos, y garantiza el cumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) y otras leyes locales. A continuación se presenta un conjunto completo de preguntas clave organizadas por áreas, con ejemplos, criterios de respuesta y casos ilustrativos.

Preguntas sobre recopilación de datos

• ¿Qué tipos de datos personales se recopilan? (p. ej., identificación, contacto, financieros, salud, biométricos, ubicación)
• ¿Se recogen datos sensibles o de categorías especiales? Si es así, ¿con qué base legal y qué medidas adicionales se aplican?
• ¿Se recogen datos de menores? ¿Cómo se verifica la edad y cómo se solicita el consentimiento parental cuando procede?
• ¿Se recopilan datos por medios automáticos (cookies, sensores, aplicaciones móviles) o por entrada manual? ¿Hay diferencias en el tratamiento?

Ejemplo: una aplicación de salud que solicita datos médicos y ubicación debe justificar la recopilación con una base legal sólida y medidas de seguridad reforzadas.

Preguntas sobre finalidad y uso

• ¿Con qué propósitos específicos se tratarán los datos, como la prestación del servicio, la facturación, la optimización del producto, acciones de marketing, análisis o el cumplimiento de obligaciones legales?
• ¿Los datos se emplearán en procesos de decisión automatizada o en la elaboración de perfiles, y de qué manera podría esto influir en la persona implicada?
• ¿Se destinarán los datos a usos adicionales no contemplados al inicio, y cómo se comunicará esta novedad para solicitar un nuevo consentimiento cuando sea necesario?

Criterio de respuesta razonable: objetivos concretos, acotados y debidamente registrados; perfilado claramente detallado con aclaraciones y alternativas de exclusión cuando pueda incidir en los derechos.

Cuestiones relativas a la base legal y al consentimiento

• ¿Cuál es la base jurídica para cada tratamiento? (consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés público, protección vital)
• Si se basa en consentimiento, ¿es libre, específico, informado e inequívoco? ¿Cómo se documenta y cómo puede revocarse?
• Si se invoca interés legítimo, ¿se ha realizado un test de ponderación documentado entre intereses de la organización y derechos del individuo?

Caso práctico: muchas empresas usan el interés legítimo para analítica; la organización debe conservar el análisis de impacto y ofrecer mecanismos de oposición.

Cuestiones sobre la conservación y la eliminación

• ¿Durante qué periodo se almacenan las diversas categorías de datos y si hay tiempos específicos según la finalidad prevista?
• ¿Qué factores influyen en la duración del resguardo, como exigencias legales, usos habituales del sector o autorización otorgada?
• ¿De qué manera se llevan a cabo la eliminación y el bloqueo de la información cuando se ejerce el derecho al olvido o cuando deja de ser necesaria?

Orientación práctica: la información destinada a facturación y contabilidad suele conservarse durante los periodos exigidos por la normativa fiscal —a menudo por varios años— mientras que los datos utilizados con fines de marketing deben suprimirse en cuanto se retire el consentimiento.

Preguntas sobre acceso, rectificación y derechos del interesado

• ¿Cómo pueden las personas ejercer sus derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y no ser objeto de decisiones automatizadas?
• ¿Qué plazos y procedimientos sigue la organización para responder a solicitudes? ¿Hay formularios y canales accesibles?
• ¿Se exige verificación de identidad para evitar divulgaciones indebidas? ¿Cómo se equilibra seguridad y facilidad de ejercicio de derechos?

Una buena señal es contar con procedimientos divulgados, tiempos de respuesta ajustados a la normativa vigente (por ejemplo, contestar en un plazo máximo de un mes) y diversos canales de atención como correo electrónico, formularios o teléfono.

Cuestiones sobre terceros y el traspaso de datos

• ¿Se comparten datos con terceros? ¿Quiénes son (proveedores, socios, anunciantes, autoridades)?
• ¿Qué contratos o cláusulas existen con terceros para garantizar protección equivalente (cláusulas contractuales tipo, acuerdos de encargado de tratamiento)?
• ¿Se realizan transferencias internacionales de datos? ¿Qué garantías se aplican (decisiones de adecuación, garantías apropiadas, reglas corporativas vinculantes)?

Ejemplo: una plataforma que recurre a servicios en la nube ha de contar con cláusulas de encargado del tratamiento y con garantías adecuadas para realizar transferencias más allá del área económica aplicable.

Consultas acerca de la protección, así como de las medidas técnicas y organizativas aplicadas

• ¿Qué medidas técnicas (cifrado, control de accesos, copias de seguridad) y organizativas (políticas internas, formación, control de subprocesadores) existen?
• ¿Se realizan pruebas de seguridad, auditorías y evaluaciones de vulnerabilidad con regularidad? ¿Con qué frecuencia?
• ¿Qué certificaciones o estándares se cumplen (por ejemplo, ISO 27001) y están las auditorías disponibles para clientes o reguladores?

Dato útil: una entidad responsable ha de ser capaz de detallar cómo protege los datos mediante cifrado en tránsito y en reposo, cómo gestiona sus claves y qué procedimiento aplica para responder a incidentes.

Preguntas sobre brechas de seguridad

• ¿Existe un plan de respuesta a incidencias y protocolo para notificar brechas a autoridades y a afectados? ¿Cuánto tiempo tarda la notificación?
• ¿Qué criterios se usan para evaluar la gravedad y el riesgo para los derechos y libertades de las personas?
• ¿Se documentan las lecciones aprendidas y las medidas correctoras tras una brecha?

Ejemplo real genérico: una filtración que expone datos personales debe ser notificada a la autoridad competente dentro del plazo establecido por normativa, y a los afectados si supone alto riesgo.

Cuestiones relacionadas con la anonimización y la seudonimización

• ¿Los datos se procesan mediante anonimización o seudonimización para realizar estudios estadísticos, y qué método se utiliza junto con su grado de posibilidad de revertirlo?
• ¿Se conservan aparte las claves que permiten la reidentificación y quién está autorizado a consultarlas?

Recomendación: la verdaderamente anónima no es reutilizable para identificar personas; la seudonimización reduce riesgos pero sigue considerándose dato personal bajo muchas leyes.

Consultas relacionadas con menores y contenidos destinados a niños

• ¿Cómo se gestiona el consentimiento de menores y la verificación de edad? ¿Qué límites de edad aplica la organización?
• ¿Se limita la recopilación de datos infantiles al mínimo necesario y se evita publicidad dirigida cuando es inapropiada?

Nota normativa: el RGPD determina las edades mínimas para dar consentimiento digital, que por lo general se sitúan en 16 años, aunque los estados miembros pueden rebajarlas hasta los 13.

Cuestiones sobre marketing y fines comerciales

• ¿De qué manera se recaban y administran los consentimientos para enviar comunicaciones comerciales, y qué tan accesibles son las listas de exclusión y las opciones de desuscripción?
• ¿Se comparten datos con terceros o se emplean para elaborar perfiles comerciales, y cómo se notifica esto al usuario junto con los controles disponibles?

Buenas prácticas: brindar opciones detalladas para gestionar cada tipo de comunicación y evitar encubrir las prácticas comerciales tras un lenguaje excesivamente técnico.

Preguntas sobre transparencia y lenguaje de la política

• ¿La política está escrita con un lenguaje sencillo y comprensible, e incluye ejemplos específicos sobre cómo se manejan los datos?
• ¿Se presentan los aspectos esenciales en un formato conciso y se ofrecen accesos rápidos a información clave (clases de datos, propósitos, derechos)?
• ¿Se revisa la política de forma periódica y se informa a los usuarios cuando ocurren modificaciones relevantes?

Indicador de confianza: transparencia activa, resúmenes visuales y preguntas frecuentes que respondan escenarios comunes.

Preguntas sobre responsabilidad, gobernanza y auditoría

• ¿Quién en la organización es responsable de la protección de datos (delegado de protección de datos o responsable equivalente) y cómo contactar con él o ella?
• ¿Se realizan auditorías internas y externas y se mantiene un registro de actividades de tratamiento?
• ¿Existen políticas de formación continua para empleados y evaluación de proveedores?

Señal positiva: designación clara de un responsable de privacidad y disponibilidad de registros para las autoridades cuando así lo soliciten.

Cómo evaluar las respuestas recibidas

• Coherencia: las respuestas deben coincidir con las prácticas técnicas observables (por ejemplo, si dicen no compartir datos y se detectan integraciones con terceros, hay un problema).
• Especificidad: evitar respuestas vagas como «se toman medidas razonables»; preferir medidas concretas y plazos definidos.
• Riesgo residual: evaluar si los controles reducen el riesgo a un nivel aceptable para la actividad y para los afectados.

Ejemplo de señal de alarma: ausencia de un proceso claro para gestionar solicitudes de derechos o falta de cláusulas contractuales con subcontratistas.

Acciones prácticas tras hacer las preguntas

• Requerir la documentación pertinente: políticas internas, acuerdos de tratamiento, evaluaciones de impacto (EIPD), informes de auditoría y registros sobre transferencias.
• Ejecutar comprobaciones: solicitar derechos de acceso y eliminación, examinar cookies y tráfico de red, así como verificar los permisos de aplicaciones móviles.
• Proceder a la escalada: cuando las respuestas resulten insuficientes, presentar una reclamación ante la autoridad competente o recurrir a asesoría legal especializada.

Hacer las preguntas adecuadas sobre política de privacidad y uso de datos permite transformar incertidumbres en decisiones informadas: identificar responsabilidades, mitigar riesgos técnicos y legales, proteger derechos individuales y mantener la confianza. Una evaluación rigurosa combina comprobación documental, pruebas prácticas y criterios claros sobre transparencia, proporcionalidad y seguridad; la calidad de las respuestas revela tanto la madurez de la organización como su compromiso real con la privacidad y el respeto a las personas.