Una guía práctica de requisitos de una política de privacidad

Esta guía explica requisitos de una política de privacidad de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Una política de privacidad no es una página legal decorativa. Es donde un sitio web explica qué datos personales recopila, por qué los recopila, quién los recibe, cuánto tiempo se conservan y qué derechos tienen las personas.

Para sitios con uso intensivo de analítica, la política de privacidad debe ser lo bastante específica para describir el rastreo, las cookies, los píxeles, los eventos, los proveedores y los usos publicitarios. Un lenguaje vago como "podemos recopilar información para mejorar los servicios" rara vez es suficiente.

Requisitos del aviso de privacidad bajo el RGPD

Los artículos 13 y 14 del RGPD establecen requisitos de transparencia para los datos personales recogidos directamente de las personas o obtenidos indirectamente. Una política de privacidad práctica debería incluir:

• La identidad y los datos de contacto del responsable del tratamiento.
• Los datos de contacto del delegado de protección de datos, si aplica.
• Las categorías de datos personales recopilados.
• Las finalidades del tratamiento.
• La base legal de cada finalidad.
• Los intereses legítimos, si se invocan.
• Los destinatarios o categorías de destinatarios.
• Las transferencias internacionales y sus garantías.
• Los plazos de conservación o sus criterios.
• Los derechos del interesado.
• El derecho a retirar el consentimiento.
• El derecho a presentar una reclamación ante una autoridad de control.
• Si la entrega de datos es obligatoria y las consecuencias de no entregarlos.
• Si se realizan decisiones automatizadas o elaboración de perfiles.

El texto del RGPD es el punto de partida autorizado (artículo 13 del RGPD, artículo 14 del RGPD).

Divulgaciones sobre analítica

Para la analítica web, divulga:

• Qué herramientas de analítica utilizas.
• Qué datos recopilan.
• Si se utilizan cookies o tecnologías similares.
• Si los identificadores son persistentes.
• Si las direcciones IP se almacenan o se truncan.
• Si los datos se comparten con proveedores o plataformas publicitarias.
• Si los datos se utilizan para publicidad entre sitios.
• Cómo pueden los usuarios optar por excluirse o cambiar el consentimiento.
• El plazo de retención de los datos analíticos.

Si usas Google Analytics, Google indica que Analytics utiliza cookies como _ga para distinguir a los visitantes (Privacidad y condiciones de Google). Tu política no debería dar a entender que no se usan identificadores si tu implementación los utiliza.

Si usas analítica privada sin cookies, dilo con claridad, pero no exageres. Explica qué se sigue recopilando, como la URL de la página, el referido, el navegador, el tipo de dispositivo y la ubicación aproximada.

Política de cookies y consentimiento

Muchos sitios web combinan una política de privacidad con una política de cookies separada. Cualquiera de las dos estructuras puede funcionar si los usuarios pueden entender la información.

La divulgación de cookies debería incluir:

• Nombre de la cookie o tecnología.
• Proveedor.
• Finalidad.
• Duración.
• Si es esencial u opcional.
• Si terceros reciben datos.
• Cómo pueden cambiarse las preferencias.

Los reguladores suelen tratar las cookies de analítica como no esenciales salvo que aplique una excepción restringida. La ICO del Reino Unido afirma que las organizaciones necesitan un mecanismo de consentimiento que permita a los usuarios controlar las cookies no esenciales y tecnologías similares (ICO).

Añadidos para la CCPA/CPRA

Si la CCPA aplica, tu aviso también necesita divulgaciones específicas de California. La Fiscalía General de California resume los derechos del consumidor, incluidos el acceso, la supresión, la rectificación, la exclusión de la venta o el intercambio y los límites sobre información personal sensible (OAG de California).

Las empresas cubiertas deberían abordar:

• Categorías de información personal recopilada.
• Fuentes de información personal.
• Finalidades empresariales o comerciales.
• Categorías de terceros con los que se comparte.
• Divulgaciones de venta o intercambio.
• Uso de información personal sensible.
• Métodos para ejercer derechos.
• No discriminación.
• Mecanismos "Do Not Sell or Share" cuando se requieran.

Errores frecuentes en políticas de privacidad

• Listar herramientas que ya no se utilizan.
• Omitir píxeles del gestor de etiquetas añadidos por marketing.
• Decir que los datos son anónimos cuando son seudónimos.
• No mencionar transferencias internacionales.
• Esconder la retención tras "el tiempo que sea necesario".
• Olvidar la repetición de sesiones, los mapas de calor, las pruebas A/B y los widgets de chat.
• Enviar datos personales en URL mientras se afirma una recopilación mínima.
• No explicar la retirada del consentimiento.

Flujo práctico de mantenimiento

Revisa la política de privacidad siempre que:

• Se añada una nueva herramienta de analítica o publicidad.
• Cambie un contenedor del gestor de etiquetas.
• Se apunte a una nueva región.
• Un proveedor cambie de subencargados.
• Cambie un banner de cookies.
• Cambien los ajustes de retención de datos.
• Nuevos eventos recopilen datos relacionados con cuentas o formularios.

Las políticas de privacidad se desvían porque los sitios web se desvían. Mantén un registro sencillo de los puntos de recopilación de datos y compáralo trimestralmente con el aviso publicado.

La mejor política de privacidad es fácil de redactar porque las prácticas de datos son sencillas. Una configuración de analítica privada sin cookies, sin compartir con publicidad, sin almacenamiento completo de IP y con informes agregados es más fácil de explicar, defender y de que los visitantes confíen.

La redacción sobre analítica debe coincidir con la realidad

Evita las afirmaciones absolutas a menos que la implementación las respalde. "Analítica anónima" solo es exacto si los datos no pueden identificar razonablemente a una persona. Muchos sistemas de analítica son seudónimos, no anónimos, porque utilizan identificadores o pueden enlazar la actividad a lo largo del tiempo.

Una redacción más adecuada es específica: "Usamos analítica sin cookies para contar de forma agregada las visitas a páginas, los referidos, el tipo de dispositivo y la ubicación a nivel de país. No usamos cookies de analítica ni vendemos datos analíticos." Después verifica la configuración con regularidad.

Haz que la política coincida con el inventario de etiquetas

Antes de publicar, compara la política con un rastreo en vivo de tu sitio. Lista cada script, iframe, cookie, clave de almacenamiento local, píxel de rastreo, widget de chat, proveedor de fuentes, herramienta de formularios y servicio de medios incrustado. Después comprueba si cada elemento aparece en la política de privacidad, el aviso de cookies o el registro de proveedores con la misma finalidad y el mismo relato de retención.

Esto detecta desviaciones comunes. Marketing puede eliminar un píxel pero dejarlo en la política, haciendo que el aviso parezca más alarmante de lo que es. O un nuevo script de pruebas A/B puede aparecer sin ninguna divulgación. Una revisión trimestral de etiquetas frente a política mantiene el aviso público alineado con lo que los visitantes realmente experimentan.

Lista de verificación de revisión de la política

Antes de publicar la política, documenta cada evento analítico recopilado, la decisión a la que da soporte, si utiliza almacenamiento o identificadores, qué proveedores lo reciben y cuándo expiran los registros sin procesar. Después prueba el sitio en vivo en un perfil de navegador limpio.

La política está lista solo cuando el aviso, el registro de proveedores, el comportamiento del consentimiento y la evidencia del navegador cuentan la misma historia. Si el panel de red muestra un rastreador que la política no explica, corrige la implementación o el texto antes del lanzamiento.