Política de Privacidad España (LOPDGDD)

La Política de Privacidad (LOPDGDD) es, en España, el documento interno de obligado cumplimiento regulado por LOPDGDD Ley Orgánica 3/2018 (art. 13); RGPD (UE) 2016/679, que fija las reglas y procedimientos que la organización debe observar.

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control española responsable de hacer cumplir el RGPD y la LOPDGDD, con poderes para investigar reclamaciones, realizar auditorías, dictar resoluciones vinculantes e imponer multas administrativas de hasta 20 millones de euros o el 4% del volumen de negocio anual total de la empresa conforme al Artículo 83 RGPD.

El RGPD establece siete principios fundamentales de protección de datos que la Política de Privacidad debe reflejar: (1) licitud, lealtad y transparencia (Artículo 5.1(a)); (2) limitación de la finalidad (Artículo 5.1(b)); (3) minimización de datos (Artículo 5.1(c)); (4) exactitud (Artículo 5.1(d)); (5) limitación del plazo de conservación (Artículo 5.1(e)); (6) integridad y confidencialidad (Artículo 5.1(f)); y (7) responsabilidad proactiva (Artículo 5.2).

La LOPDGDD introduce varias disposiciones específicas españolas que complementan el RGPD. El Artículo 7 LOPDGDD fija la edad mínima para el consentimiento digital en 14 años (inferior al límite de 16 años por defecto del Artículo 8 RGPD). El Artículo 17 LOPDGDD regula el tratamiento de datos en las relaciones laborales, incluyendo videovigilancia, geolocalización y monitorización de empleados. Los artículos 79 a 97 LOPDGDD establecen derechos digitales específicos, incluyendo el derecho a la desconexión digital, el derecho a no ser objeto de elaboración de perfiles algorítmicos sin transparencia y protecciones específicas para los denunciantes.

La Política de Privacidad debe abordar el tratamiento de datos en todos los canales a través de los cuales la organización recopila datos personales — formularios de contacto del sitio web, proceso de compra en comercio electrónico, suscripciones a newsletters, programas de fidelización, datos de empleados y bases de datos de contactos B2B. Cada actividad de tratamiento requiere una base jurídica conforme al Artículo 6 RGPD: consentimiento (Artículo 6.1(a)), ejecución de contrato (Artículo 6.1(b)), obligación legal (Artículo 6.1(c)), intereses vitales (Artículo 6.1(d)), interés público (Artículo 6.1(e)) o intereses legítimos (Artículo 6.1(f)), este último requiriendo un test de ponderación documentado. Para las transferencias internacionales de datos fuera del Espacio Economico Europeo (EEE), el Capitulo V del RGPD (articulos 44 a 49) exige que el responsable del tratamiento adopte garantias adecuadas: decision de adecuacion de la Comision Europea, clausulas contractuales tipo aprobadas por la Comision (SCCs, version 2021), normas corporativas vinculantes (BCRs) u otras garantias apropiadas. La Politica de Privacidad debe informar a los interesados de cualquier transferencia internacional y de las garantias adoptadas. La LOPDGDD en su articulo 7 fija en 14 anos la edad de consentimiento para el tratamiento de datos en servicios de la sociedad de la informacion dirigidos a menores, exigiendo verificacion de edad o consentimiento parental. Forms-legal.com pone a disposicion este modelo de Politica de Privacidad Espana conforme al RGPD y la LOPDGDD como punto de partida practico. Se recomienda la revision por un abogado especialista en proteccion de datos o un Delegado de Proteccion de Datos certificado para adaptar la politica a las caracteristicas especificas del tratamiento de datos de cada organizacion.

La Política de Privacidad en España es legalmente obligatoria para cualquier organización — empresa, autónomo, asociación u organismo público — que trate datos personales de personas físicas residentes en España o en la UE, con independencia de dónde esté ubicada la organización.

Una Política de Privacidad es obligatoria para cualquier sitio web que recopile datos personales — incluidos formularios de contacto, suscripciones a newsletters, cuentas de usuario y casillas de verificación en el comercio electrónico — conforme al Artículo 13 RGPD, que exige facilitar información en el momento de la recogida de datos.

La política es obligatoria para cualquier aplicación o servicio digital (servicio de la sociedad de la información) que trate datos de usuarios, conforme a lo reforzado por el Artículo 11 LOPDGDD y la obligación de la LSSI de mostrar una política de privacidad accesible desde la navegación principal o el pie de página del sitio.

Una Política de Privacidad es necesaria para cualquier empleador español que trate datos personales de empleados — incluidos datos de nómina, registros de salud y ausencias, imágenes de videovigilancia y monitorización informática — conforme al Artículo 17 LOPDGDD, que exige que los empleados sean específicamente informados de las actividades de tratamiento a las que están sujetos sus datos.

La política es necesaria cuando una empresa trata datos de clientes para marketing directo — el envío de comunicaciones comerciales por correo electrónico o SMS conforme al Artículo 21 LSSI requiere consentimiento previo, y la Política de Privacidad debe explicar cómo se obtiene dicho consentimiento, cómo se gestionan las preferencias de marketing y cómo pueden darse de baja los usuarios.

Se necesita actualizar la Política de Privacidad cuando comienza una nueva actividad de tratamiento de datos, cuando se contrata un nuevo encargado del tratamiento externo, cuando se comparten datos con una nueva categoría de destinatarios o cuando los datos se transfieren fuera de la UE. El principio de responsabilidad proactiva del RGPD exige que la política refleje en todo momento el tratamiento de datos efectivo actual. La Politica de Privacidad debe actualizarse siempre que cambie la finalidad del tratamiento, se incorporen nuevas categorias de datos, se contrate un nuevo encargado del tratamiento que acceda a datos de los interesados, o cuando la Agencia Espanola de Proteccion de Datos (AEPD) o el Comite Europeo de Proteccion de Datos (CEPD) publiquen nuevas directrices que afecten al tratamiento existente. Es necesaria para asociaciones, fundaciones y entidades sin animo de lucro que traten datos de socios, donantes o voluntarios, ya que el RGPD no distingue entre entidades con y sin animo de lucro. Tambien es obligatoria para cualquier empresa que utilice sistemas de videovigilancia en sus instalaciones conforme a la Instruccion 1/2006 de la AEPD y el articulo 89 LOPDGDD, que exigen la colocacion de carteles informativos y la inclusion de la videovigilancia en la Politica de Privacidad y en el Registro de Actividades de Tratamiento del articulo 30 RGPD.

Una Política de Privacidad válida en España conforme al Artículo 13 RGPD y la LOPDGDD debe contener los siguientes elementos esenciales para satisfacer los estándares de la AEPD.

Identidad y Datos de Contacto del Responsable del Tratamiento: Nombre legal completo, domicilio registrado, NIF y datos de contacto del responsable del tratamiento. Cuando se haya designado un Delegado de Protección de Datos (DPO) conforme al Artículo 37 RGPD o el Artículo 34 LOPDGDD, deben facilitarse los datos de contacto del DPO.

Actividades de Tratamiento y Finalidades: Una descripción clara de cada categoría de datos personales tratados y la finalidad específica para la que se trata cada categoría — coherente con el principio de limitación de la finalidad del Artículo 5.1(b) RGPD.

Base Jurídica de Cada Actividad de Tratamiento: La base jurídica específica del Artículo 6 RGPD para cada finalidad de tratamiento. Cuando la base son los intereses legítimos, la política debe resumir el resultado del test de ponderación. Cuando la base es el consentimiento, la política debe explicar cómo se obtuvo y cómo puede retirarse.

Destinatarios y Transferencias de Datos: Identificación de las categorías de destinatarios a los que se comunican los datos personales — incluyendo encargados del tratamiento (procesadores de datos como proveedores de alojamiento en la nube, proveedores de servicios de correo electrónico y procesadores de pagos) y terceros. Para las transferencias internacionales fuera del EEE, debe indicarse el mecanismo de transferencia conforme al Artículo 46 RGPD.

Plazos de Conservación: El período específico durante el que se conservarán los datos personales, o los criterios utilizados para determinar la conservación. Los plazos de conservación deben reflejar las necesidades empresariales reales y los requisitos legales de conservación aplicables — por ejemplo, los registros contables deben conservarse 6 años conforme al Artículo 30 del Código de Comercio.

Derechos de los Interesados: Una declaración clara de todos los derechos disponibles conforme a los artículos 15 a 22 RGPD — acceso, rectificación, supresión / derecho al olvido, limitación del tratamiento, portabilidad, oposición y derechos relacionados con las decisiones automatizadas y la elaboración de perfiles. Debe facilitarse el procedimiento para ejercer estos derechos, así como el derecho a presentar una reclamación ante la AEPD.

Información sobre Cookies: Una referencia a la Política de Cookies para información sobre tecnologías de seguimiento. Forms-legal.com proporciona este modelo de Política de Privacidad para España como punto de partida práctico. La AEPD supervisa el cumplimiento en aepd.es y publica orientaciones. Registro de Actividades de Tratamiento: Conforme al articulo 30 RGPD, el responsable del tratamiento debe mantener un Registro de Actividades de Tratamiento (RAT) que documente todas las actividades de tratamiento realizadas bajo su responsabilidad. El RAT debe incluir el nombre y datos de contacto del responsable y del DPD, las finalidades del tratamiento, las categorias de interesados y de datos personales, los destinatarios, las transferencias internacionales y los plazos de conservacion. Evaluaciones de Impacto: Cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas fisicas, el articulo 35 RGPD exige realizar una Evaluacion de Impacto relativa a la Proteccion de Datos (EIPD) antes de iniciar el tratamiento. La AEPD ha publicado una lista de tratamientos que requieren EIPD obligatoria conforme al articulo 35.4 RGPD. Forms-legal.com ofrece este modelo de Politica de Privacidad Espana como punto de partida practico conforme al RGPD y la LOPDGDD. Se recomienda la revision por un abogado especialista en proteccion de datos o un Delegado de Proteccion de Datos certificado, especialmente si se tratan categorias especiales de datos del articulo 9 RGPD o se realizan transferencias internacionales de datos fuera del Espacio Economico Europeo. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.