La política de privacidad y las prácticas de uso de datos determinan cómo una organización recopila, utiliza, comparte y protege la información personal. Formular las preguntas correctas permite evaluar riesgos legales, reputacionales y operativos, y garantiza el cumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) y otras leyes locales. A continuación se presenta un conjunto completo de preguntas clave organizadas por áreas, con ejemplos, criterios de respuesta y casos ilustrativos.
Cuestiones relativas a la recolección de datos
- ¿Qué tipos de datos personales se recopilan? (p. ej., identificación, contacto, financieros, salud, biométricos, ubicación)
- ¿Se recogen datos sensibles o de categorías especiales? Si es así, ¿con qué base legal y qué medidas adicionales se aplican?
- ¿Se recogen datos de menores? ¿Cómo se verifica la edad y cómo se solicita el consentimiento parental cuando procede?
- ¿Se recopilan datos por medios automáticos (cookies, sensores, aplicaciones móviles) o por entrada manual? ¿Hay diferencias en el tratamiento?
Ejemplo: una aplicación de salud que solicita datos médicos y ubicación debe justificar la recopilación con una base legal sólida y medidas de seguridad reforzadas.
Preguntas sobre finalidad y uso
- ¿Con qué propósitos específicos se tratarán los datos, como la prestación del servicio, la facturación, la optimización del producto, acciones de marketing, análisis o el cumplimiento de obligaciones legales?
- ¿Los datos se emplearán en procesos de decisión automatizada o en la elaboración de perfiles, y de qué manera podría esto influir en la persona implicada?
- ¿Se destinarán los datos a usos adicionales no contemplados al inicio, y cómo se comunicará esta novedad para solicitar un nuevo consentimiento cuando sea necesario?
Criterio de respuesta razonable: finalidades específicas, limitadas y documentadas; perfilado explícito con explicaciones y opciones de exclusión cuando afecte derechos.
Preguntas sobre base jurídica y consentimiento
- ¿Cuál es la base jurídica para cada tratamiento? (consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés público, protección vital)
- Si se basa en consentimiento, ¿es libre, específico, informado e inequívoco? ¿Cómo se documenta y cómo puede revocarse?
- Si se invoca interés legítimo, ¿se ha realizado un test de ponderación documentado entre intereses de la organización y derechos del individuo?
Caso práctico: numerosas empresas recurren al interés legítimo para actividades de analítica; la organización ha de mantener el análisis de impacto y poner a disposición mecanismos para oponerse.
Preguntas sobre conservación y eliminación
- ¿Cuánto tiempo se conservan los distintos tipos de datos? ¿Existen plazos diferenciados por finalidad?
- ¿Qué criterios determinan la retención (obligaciones legales, práctica comercial, consentimiento)?
- ¿Cómo se gestionan la supresión y el bloqueo de datos cuando se solicita por derecho de olvido o cuando expira la necesidad?
Orientación práctica: datos de facturación y contables suelen guardarse según obligaciones fiscales —frecuentemente varios años— mientras que datos de marketing deberían eliminarse cuando el consentimiento se retira.
Preguntas sobre acceso, rectificación y derechos del interesado
- ¿Cómo pueden las personas ejercer sus derechos: acceso, rectificación, supresión, oposición, limitación, portabilidad y no ser objeto de decisiones automatizadas?
- ¿Qué plazos y procedimientos sigue la organización para responder a solicitudes? ¿Hay formularios y canales accesibles?
- ¿Se exige verificación de identidad para evitar divulgaciones indebidas? ¿Cómo se equilibra seguridad y facilidad de ejercicio de derechos?
Una buena señal es contar con procedimientos divulgados, tiempos de respuesta ajustados a la normativa vigente (por ejemplo, contestar en un plazo máximo de un mes) y diversos canales de atención como correo electrónico, formularios o teléfono.
Preguntas sobre terceros y transferencia de datos
- ¿Se comparten datos con terceros? ¿Quiénes son (proveedores, socios, anunciantes, autoridades)?
- ¿Qué contratos o cláusulas existen con terceros para garantizar protección equivalente (cláusulas contractuales tipo, acuerdos de encargado de tratamiento)?
- ¿Se realizan transferencias internacionales de datos? ¿Qué garantías se aplican (decisiones de adecuación, garantías apropiadas, reglas corporativas vinculantes)?
Ejemplo: una plataforma que recurre a servicios en la nube ha de contar con cláusulas de encargado del tratamiento y con garantías adecuadas para realizar transferencias más allá del área económica aplicable.
Preguntas sobre seguridad y medidas técnicas y organizativas
- ¿Qué tipo de medidas técnicas, como cifrado, gestión de permisos o respaldos, y qué disposiciones organizativas, como normas internas, capacitación o supervisión de subprocesadores, se han implementado?
- ¿Se llevan a cabo de forma periódica pruebas de seguridad, revisiones técnicas y análisis de vulnerabilidades? ¿Cada cuánto tiempo se efectúan?
- ¿Qué certificaciones o normas se aplican, por ejemplo ISO 27001, y están los informes de auditoría disponibles para clientes o autoridades reguladoras?
Dato útil: una entidad responsable ha de ser capaz de detallar cómo protege los datos mediante cifrado en tránsito y en reposo, cómo gestiona sus claves y qué procedimiento aplica para responder a incidentes.
Preguntas sobre brechas de seguridad
- ¿Existe un plan de respuesta a incidencias y protocolo para notificar brechas a autoridades y a afectados? ¿Cuánto tiempo tarda la notificación?
- ¿Qué criterios se usan para evaluar la gravedad y el riesgo para los derechos y libertades de las personas?
- ¿Se documentan las lecciones aprendidas y las medidas correctoras tras una brecha?
Ejemplo real genérico: una filtración que expone datos personales debe ser notificada a la autoridad competente dentro del plazo establecido por normativa, y a los afectados si supone alto riesgo.
Preguntas sobre anonimización y seudonimización
- ¿Los datos se anonimizan o seudonimizan para análisis estadístico? ¿Cuál es la técnica empleada y el nivel de reversibilidad?
- ¿Se mantienen separadas las claves de reidentificación y quién tiene acceso a ellas?
Recomendación: los datos realmente anónimos no permiten volver a identificar a una persona, mientras que la seudonimización disminuye los riesgos, aunque en muchas legislaciones sigue considerándose información personal.
Consultas relacionadas con menores y contenidos destinados a niños
- ¿De qué forma se gestiona el consentimiento de menores y se comprueba la edad? ¿Qué rangos de edad establece la organización?
- ¿Se restringe la recopilación de datos de menores a lo estrictamente necesario y se evita la publicidad personalizada cuando resulte inapropiada?
Nota normativa: el RGPD determina las edades mínimas para dar consentimiento digital, que por lo general se sitúan en 16 años, aunque los estados miembros pueden rebajarlas hasta los 13.
Preguntas sobre marketing y uso comercial
- ¿Cómo se obtienen y gestionan los consentimientos para comunicaciones comerciales? ¿Existen listas de exclusión y opciones claras de desuscripción?
- ¿Se venden datos a terceros o se usan para perfiles comerciales? ¿Cómo se informa al usuario y qué controles ofrece?
Buenas prácticas: ofrecer controles granulares para tipos de comunicaciones y no ocultar las prácticas comerciales en lenguaje técnico.
Cuestiones relativas a la claridad y la redacción de la política
- ¿La política está redactada en lenguaje claro, accesible y con ejemplos concretos de uso de datos?
- ¿Se resumen los puntos clave en un formato breve y hay accesos directos a información esencial (tipo de datos, finalidades, derechos)?
- ¿Se actualiza la política periódicamente y se notifica a los usuarios sobre cambios materiales?
Indicador de confianza: transparencia activa, resúmenes visuales y preguntas frecuentes que respondan escenarios comunes.
Preguntas sobre responsabilidad, gobernanza y auditoría
- ¿Quién en la organización es responsable de la protección de datos (delegado de protección de datos o responsable equivalente) y cómo contactar con él o ella?
- ¿Se realizan auditorías internas y externas y se mantiene un registro de actividades de tratamiento?
- ¿Existen políticas de formación continua para empleados y evaluación de proveedores?
Señal positiva: nombramiento visible de responsable de privacidad y registros accesibles para autoridades si se requieren.
Cómo analizar las respuestas obtenidas
- Coherencia: las respuestas deben coincidir con las prácticas técnicas observables (por ejemplo, si dicen no compartir datos y se detectan integraciones con terceros, hay un problema).
- Especificidad: evitar respuestas vagas como «se toman medidas razonables»; preferir medidas concretas y plazos definidos.
- Riesgo residual: evaluar si los controles reducen el riesgo a un nivel aceptable para la actividad y para los afectados.
Ejemplo de señal de alarma: ausencia de un proceso claro para gestionar solicitudes de derechos o falta de cláusulas contractuales con subcontratistas.
Medidas concretas a seguir después de plantear las preguntas
- Solicitar documentación: políticas, acuerdos de tratamiento, evaluaciones de impacto (EIPD), resultados de auditorías y registros de transferencias.
- Realizar pruebas: ejercer derechos de acceso y supresión, analizar cookies y conexiones de red, revisar permisos de aplicaciones móviles.
- Escalar: si las respuestas son insuficientes, plantear reclamación ante la autoridad competente o buscar asesoría legal especializada.
Plantear las preguntas adecuadas sobre política de privacidad y gestión de datos ayuda a convertir dudas en decisiones bien fundamentadas, al clarificar responsabilidades, reducir riesgos técnicos y legales, resguardar los derechos de cada persona y sostener la confianza. Un análisis exhaustivo integra revisión documental, pruebas operativas y criterios firmes de transparencia, proporcionalidad y seguridad; la solidez de las respuestas expone tanto el nivel de madurez de la organización como su compromiso auténtico con la privacidad y el respeto a las personas.
