Avisos de privacidad del RGPD: lo que su política debe…

Resumen

La mayoría de las "políticas de privacidad" son repetitivas y no sobrevivirían a una revisión regulatoria. Los artículos 13 y 14 del RGPD especifican el contenido obligatorio exacto, y el lenguaje vago sobre "usar datos para mejorar nuestros servicios" no cumple con el estándar.

Lo que el flujo de trabajo de cumplimiento necesita probar.
Que controles y compradores de pruebas deben comprobar.
Cómo HubSecure encaja sin reemplazar el consejo legal.

Escrito porHubSecure Equipo editorial

Guías prácticas para portales de clientes seguros, RBAC, incorporación y operaciones de clientes regulados.

Revisado porHubSecure Security & Compliance Review

Revisado para determinar el posicionamiento de seguridad, la precisión del flujo de trabajo y la claridad de la implementación.

Última actualizaciónMay 7, 2026

Comprobado contra el sitio de marketing HubSecure y posicionamiento de productos.

TL;DR

RGPD Los artículos 13 y 14 especifican el contenido obligatorio que cada aviso de privacidad debe incluir
El artículo 13 se aplica cuando recopila datos directamente del individuo; el artículo 14 cuando se recoge de un tercero
El aviso debe ser proporcionado en el momento de la recogida - no enterrado en términos y condiciones
El lenguaje debe ser conciso, transparente, inteligible y en lenguaje llano - no legale

Un aviso de privacidad no es sólo una formalidad legal: es la herramienta principal a través de la cual cumples el principio de transparencia del RGPD. Los sujetos de datos tienen derecho a saber qué está haciendo con sus datos, y tiene la obligación de decirles proactivamente, en el momento de la recogida, en un lenguaje claro. La caldera genérica copiada de una plantilla no satisface este requisito.

Relacionados HubSecure

Colección de documentos & guía de Vault B01 Módulo Guía de software de recopilación de documentos de comparación de Dropbox Guía de la biblioteca

Seguridad relacionada, privacidad y recursos de gobernanza

Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.

Caso de uso relacionado

Esta guía pertenece al grupo de Guías de recopilación segura de documentos. Continúe con el centro de productos para la recopilación segura de documentos.

Artículo 13: cuando recopila los datos directamente

El artículo 13 se aplica cuando usted recopila datos personales directamente del individuo, a través de un formulario, en una reunión de admisión o a través de su sitio web. La información de privacidad debe proporcionarse en el momento de la recopilación. El contenido obligatorio incluye:

✓ Identidad y datos de contacto del responsable del tratamiento
✓ Datos de contacto del DPO (si procede)
✓ Finalidades y base jurídica de cada actividad de tratamiento
✓ Los intereses legítimos perseguidos (si los intereses legítimos son la base)
✓ Cualquier destinatario o categoría de destinatarios de los datos
✓ Si los datos serán transferidos fuera del EEE y las salvaguardias existentes
✓ Períodos de retención o los criterios utilizados para determinarlos
✓ Derechos del individuo: acceso, rectificación, borrado, restricción, portabilidad, objeción
✓ Derecho a retirar el consentimiento (donde el consentimiento es la base legal)
✓ Derecho a presentar una denuncia ante una autoridad supervisora
✓ Si proporcionar datos es un requisito legal o contractual y las consecuencias de no proporcionarlo
✓ Si se producirá una toma de decisiones automatizada (incluida la elaboración de perfiles) y, de ser así, la lógica y la importancia

Artículo 14: cuando obtenga datos de un tercero

El artículo 14 se aplica cuando recopila datos personales sobre alguien de una fuente que no sea el propio individuo: compra datos de perspectivas, recibe referencias o obtiene información de registros públicos. La misma información debe proporcionarse, además:

Las categorías de datos personales correspondientes (ya que el individuo no lo proporcionó directamente)
La fuente de la que se obtuvieron los datos y si procede de fuentes de acceso público

Esto debe ser proporcionado dentro de un período razonable —al menos un mes— o en el momento de la primera comunicación, o cuando los datos se divulgan a un tercero, cualquiera que sea el primero.

Fallos de aviso de privacidad comunes

Con fines vagos

"Usamos sus datos para mejorar nuestros servicios y para fines de marketing" no satisface el requisito de especificidad. Cada propósito distinto debe ser declarado claramente: "Procesamos sus datos de contacto para enviarle nuestro boletín mensual sobre desarrollos de cumplimiento (Artículo 6(1)(a) — consentimiento)"

No hay períodos de retención

Decir "tenemos sus datos durante el tiempo que sea necesario" sin ninguna especificación adicional no cumple el requisito del artículo 13(2)(a). Períodos reales del Estado o los criterios utilizados para determinarlos.

Descripciones de derechos de pila

No basta con enumerar los derechos de emisión de datos sin explicar cómo ejercerlos. Su aviso debe indicar a las personas cómo enviar una solicitud, por ejemplo, por correo electrónico [email protected], y qué esperar en términos de tiempo de respuesta.

Falta de detalles de contacto del DPO

Si usted tiene un DPO (mandatario para ciertas organizaciones con arreglo al artículo 37), sus datos de contacto deben aparecer en el aviso de privacidad. Muchas firmas omiten esto.

Formato y accesibilidad

El GDPR requiere que los avisos de privacidad sean proporcionados en forma concisa, transparente, inteligible y fácilmente accesible, utilizando lenguaje claro y sencillo. El ICO y otros DPA recomiendan un enfoque escalonado: un breve aviso en el punto de recogida con los puntos clave, que une a un aviso completo para el detalle.

¿Es necesario revisar periódicamente nuestro aviso de privacidad?

Sí. Cada vez que sus actividades de procesamiento cambian — nuevos sistemas, nuevos propósitos, nuevos procesadores de terceros, nuevas transferencias— su aviso de privacidad debe ser actualizado. Si lo actualiza, notifique a los sujetos de datos cuyos datos se vean afectados por los cambios si las actualizaciones son materiales.

¿Es una política de cookies igual que un aviso de privacidad?

No. Una política de cookies aborda los requisitos de consentimiento e información de conformidad con la Directiva de ePrivacy (para la UE) y los reglamentos nacionales de aplicación. Un aviso de privacidad aborda las obligaciones de transparencia del RGPD para todo el procesamiento de datos personales. Ambas son necesarias; muchas organizaciones las combinan en un documento con capas.

Documentación de privacidad construida en

HubSecure incluye plantillas de aviso de privacidad preparadas para tipos de negocios regulados, cubriendo datos de clientes, datos de empleados y actividades de procesamiento AML.

Reserva una demostración

Fuentes oficiales y lectura ulterior

Utilice estas fuentes públicas para verificar el fondo regulatorio y la terminología. HubSecure El contenido es la orientación del producto, no el asesoramiento legal.

Notas de credibilidad

Esta guía está escrita para la evaluación de productos y operaciones, no como asesoramiento legal. Para las obligaciones de cumplimiento, confirme los requisitos con un abogado calificado o el regulador pertinente.

Relacionados HubSecure referencias: Seguridad · DPA · Subprocesadores · Glosario AML/KYC · Glosario RBAC

Revisión de los equipos regulados

Preparado por el equipo editorial HubSecure para operadores, líderes de cumplimiento y revisores de TI que evalúan software seguro de operaciones cliente.

Autores · Revisores · Política editorial