Legal GuidesMay 9, 2026·16 min de lectura

Cómo redactar una política de privacidad conforme al RGPD (guía 2026)

Si tienes una web, una tienda online o una app que recoja cualquier dato personal de un usuario europeo (un correo, una IP, un nombre, una cookie publicitaria), estás obligado a publicar una política de privacidad. No es opcional, no es un detalle de imagen y no se resuelve copiando la de otra empresa. La AEPD ha multado por encima de los 50 millones de euros en los últimos años a empresas con políticas inexistentes, ambiguas o con bases legales mal escogidas.

Esta guía te explica, en lenguaje claro, qué tiene que decir tu política de privacidad para cumplir el Reglamento (UE) 2016/679 (RGPD) y la LOPDGDD española. Verás los 12 elementos obligatorios, las 6 bases legales explicadas con ejemplos reales, los errores que invalidan tu documento, una plantilla que puedes copiar y al final un atajo si no quieres pasarte la tarde redactando.

¿Para quién es esta guía? Para fundadores, product managers, desarrolladores y dueños de ecommerce que necesitan publicar una política de privacidad sin tener un abogado en plantilla. Si tu empresa procesa datos a gran escala (banca, salud, redes sociales) consulta a un DPO especializado: esta guía cubre el 95% de los casos, no las situaciones más complejas.

Qué es una política de privacidad y por qué es obligatoria bajo RGPD

Una política de privacidad es el documento donde explicas a tus usuarios qué datos personales recoges, para qué los usas, con quién los compartes, cuánto tiempo los guardas y qué derechos tienen sobre ellos. El RGPD lo llama "información al interesado" y lo regula en los artículos 13 y 14: el primero cuando recoges los datos directamente del usuario, el segundo cuando los obtienes de un tercero (un partner, un broker de datos, una fuente pública).

El RGPD se aplica si tratas datos de personas que están en el Espacio Económico Europeo, independientemente de dónde esté tu empresa. Tu SaaS californiano que vende a clientes alemanes está sujeto al RGPD. Tu ecommerce mexicano con clientes españoles también. Es lo que el reglamento llama "alcance extraterritorial" (Art. 3).

RGPD, LOPDGDD y ePrivacy: tres normas que se solapan

En España conviven tres bloques normativos que afectan a tu política de privacidad:

RGPD (Reglamento UE 2016/679): el marco general europeo de protección de datos personales.
LOPDGDD (Ley Orgánica 3/2018): adapta el RGPD a España. Añade matices sobre datos de menores (consentimiento desde los 14 años), tratamiento de datos de fallecidos, derechos digitales y régimen sancionador.
Directiva ePrivacy, traspuesta por la LSSI-CE: regula cookies y comunicaciones electrónicas. Es la razón por la que tu banner de cookies necesita consentimiento granular.

Lo importante: tu política de privacidad puede mencionar las cookies, pero la política de cookies suele ir aparte. Hablaremos de eso más adelante.

Cuándo estás obligado a tenerla

Si haces cualquiera de estas cosas, necesitas política de privacidad:

Tienes un formulario de contacto, suscripción o registro.
Usas Google Analytics, Meta Pixel, Hotjar o cualquier herramienta de analítica.
Procesas pagos (Stripe, PayPal, redsys).
Envías newsletters o emails comerciales.
Permites comentarios, reseñas o cuentas de usuario.
Usas cookies que no sean estrictamente técnicas.

"Mi web es solo informativa, no necesito política": falso si tienes un formulario de contacto, instalas Google Analytics o el certificado SSL pasa la IP a Cloudflare. La IP es dato personal según el caso Breyer del TJUE (C-582/14). La obligación se dispara con un solo dato, no con un volumen.

Los 12 elementos que toda política de privacidad debe incluir

El Art. 13 del RGPD es prescriptivo: enumera la información mínima que debes facilitar. Saltarte cualquiera de estos puntos es motivo directo de sanción. Aquí los tienes traducidos a "qué escribir, en qué orden y con qué nivel de detalle".

1. Identidad y datos de contacto del responsable

Nombre legal de tu empresa, NIF/CIF, domicilio social y un correo de contacto operativo (no el típico info@ que nadie revisa). Si eres autónomo, tu nombre completo y NIF.

2. Datos del Delegado de Protección de Datos (DPO)

Solo obligatorio si tratas datos a gran escala, datos sensibles o eres autoridad pública (Art. 37). Para la mayoría de startups y pymes no es obligatorio, pero si lo tienes voluntariamente debes publicarlo.

3. Finalidades del tratamiento

Para qué usas cada categoría de datos. Mal: "para ofrecerle un mejor servicio". Bien: "para procesar tu pedido", "para enviarte el boletín mensual al que te suscribes", "para detectar fraude en pagos".

4. Base legal de cada tratamiento

Una de las 6 bases del Art. 6. La sección siguiente es solo sobre esto, porque es donde más errores se cometen.

5. Destinatarios o categorías de destinatarios

Quién más toca tus datos: hosting (AWS, Vercel), email (Resend, Mailchimp), procesador de pagos (Stripe), CRM (HubSpot). Lista los proveedores por nombre o, si son demasiados, por categoría con ejemplos.

6. Transferencias internacionales

Si algún proveedor está fuera del EEE (Estados Unidos sobre todo), debes indicarlo y explicar la garantía: cláusulas contractuales tipo (SCC), decisión de adecuación de la Comisión (EU-US Data Privacy Framework para EE.UU. desde julio 2023) o normas corporativas vinculantes.

7. Plazo de conservación

Cuánto tiempo guardas cada tipo de dato. No vale "el tiempo necesario": tienes que dar cifras o criterios. Ejemplos: "datos de facturación, 6 años (obligación fiscal)", "datos de usuarios registrados, mientras la cuenta esté activa más 90 días tras la baja".

8. Derechos del interesado

Acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento. Indica cómo se ejercen (un email, un formulario, ambos) y promete responder en el plazo legal de 1 mes.

9. Derecho a retirar el consentimiento

Solo aplica cuando la base legal es el consentimiento. Debe ser tan fácil retirarlo como darlo. Si pediste consentimiento por checkbox, debes ofrecer un enlace de baja igual de visible.

10. Derecho a reclamar ante la AEPD

Mención literal a la Agencia Española de Protección de Datos con su web. No basta con decir "ante la autoridad competente": debes nombrarla.

11. Existencia de decisiones automatizadas, incluido perfilado

Si usas algoritmos para tomar decisiones que producen efectos jurídicos (denegar un crédito, calcular una prima, mostrar precios distintos), tienes que avisar y explicar la lógica básica.

12. Origen de los datos (solo Art. 14)

Si compraste una lista, scrapeaste LinkedIn o recibiste los datos de un partner, tienes que decir de dónde vienen y si proceden de fuentes accesibles al público.

Buena práctica de UX legal: divide la política en secciones cortas con encabezados claros, usa tablas para resumir finalidades y plazos, y enlaza un resumen de una página al principio. La transparencia se mide en si el usuario entiende, no en cuánto texto pones.

Las 6 bases legales explicadas con ejemplos reales

Toda finalidad de tratamiento necesita una base legal. Solo hay 6, listadas en el Art. 6.1 RGPD. Elegir la base equivocada es el error que más sanciones genera. Vamos una a una.

a) Consentimiento

El usuario dice "sí" de forma libre, específica, informada e inequívoca. Tiene que ser una acción afirmativa: nada de casillas pre-marcadas, nada de "si sigues navegando aceptas". Y tienes que poder demostrarlo (registrar IP, fecha, hora, texto exacto del consentimiento).

Ejemplo: suscripción a newsletter con doble opt-in, instalación de cookies analíticas tras pulsar "Aceptar".

b) Ejecución de contrato

Cuando el dato es necesario para cumplir un contrato con el usuario o para tomar medidas precontractuales a petición suya.

Ejemplo: dirección postal para enviar un pedido. Datos bancarios para procesar el pago. Email para entregar la factura digital.

c) Obligación legal

Cuando una norma te obliga a tratar el dato. No puedes elegir.

Ejemplo: guardar facturas durante 6 años (Art. 30 Código de Comercio). Reportar transacciones sospechosas al SEPBLAC. Comunicar bajas a la Seguridad Social.

d) Interés vital

Para proteger la vida de una persona. Es excepcional, casi siempre en sanidad o emergencias.

Ejemplo: historial médico de un paciente inconsciente.

e) Interés público

Para administraciones y entidades con misión de servicio público. Difícilmente aplicable a empresas privadas.

f) Interés legítimo

El "comodín" que más se abusa y que más sanciones genera. Solo puedes usarlo si pasas el test de ponderación de tres pasos:

Finalidad legítima: persigues un interés real, no caprichoso.
Necesidad: no puedes lograr lo mismo con una alternativa menos invasiva.
Equilibrio: tu interés no prevalece sobre los derechos del usuario.

Tienes que documentar este test por escrito y conservarlo. Y tienes que ofrecer derecho de oposición de forma destacada.

Tabla rápida: situación → base legal

Situación	Base legal recomendada	Por qué
Procesar pedido en ecommerce	Ejecución de contrato	Sin dirección no puedes enviar
Newsletter opcional	Consentimiento	El usuario debe poder no recibirla
Email transaccional ("tu pedido se ha enviado")	Ejecución de contrato	Forma parte del servicio contratado
Guardar factura 6 años	Obligación legal	Lo exige Hacienda
Enviar oferta a clientes existentes (productos similares)	Interés legítimo (Art. 21 LSSI)	Excepción del soft opt-in, con derecho de oposición
Cookies de marketing	Consentimiento	Lo exige ePrivacy
Detección de fraude en pagos	Interés legítimo	Proteger el negocio y al cliente
Perfilado para mostrar precios distintos	Consentimiento explícito	Decisión automatizada con efecto jurídico

Caso real: en mayo de 2023 la autoridad irlandesa multó a Meta con 1.200 millones de euros por transferir datos de usuarios europeos a Estados Unidos sin garantías adecuadas tras la sentencia Schrems II. La base legal mal elegida (cláusulas tipo invalidadas) costó la mayor sanción de la historia del RGPD. Fuente: Data Protection Commission de Irlanda.

Errores comunes que invalidan tu política de privacidad

Si tu política tiene cualquiera de estos errores, no estás cumpliendo aunque tengas el documento publicado:

Casillas pre-marcadas. El TJUE las invalidó en el caso Planet49 (C-673/17). El consentimiento debe ser una acción afirmativa.
"Aceptas los términos = aceptas el tratamiento de datos". Mezclar consentimientos hace que ninguno sea válido. Cada finalidad necesita su propia decisión.
Política copiada de otra empresa. Si menciona empresas, herramientas o jurisdicciones que no son las tuyas, una inspección lo detecta en cinco minutos.
"El tiempo necesario" sin más. Tienes que dar plazos concretos por categoría de dato.
No mencionar transferencias a EE.UU. cuando usas Mailchimp, Stripe, Google Analytics o cualquier SaaS estadounidense.
Falta de mecanismo para retirar consentimiento. Si pides consentimiento, tiene que existir un botón de baja igual de fácil de encontrar.
No mencionar a la AEPD por su nombre. No basta con "la autoridad competente".
Política solo en inglés cuando tu web está en español. Tiene que estar en el idioma del usuario.
Versión sin fecha y sin historial de cambios. El usuario debe poder saber cuándo se actualizó.
Citar artículos del RGPD genéricos sin contextualizar. "Según el Art. 6 RGPD..." sin explicar qué base legal aplicas en concreto no informa, oculta.

Atención: el RGPD no exige una extensión mínima ni un formato concreto. Una política corta, clara y específica para tu negocio cumple mejor que una de 30 páginas genérica. La AEPD penaliza la opacidad, no la brevedad.

Plantilla práctica: estructura mínima viable

Esta es la estructura que cubre los 12 elementos del Art. 13 sin texto de relleno. Cópiala, sustituye los placeholders entre corchetes y adapta cada sección a tu caso.

1. Responsable del tratamiento
   - Razón social: [TU EMPRESA, S.L.]
   - NIF: [B12345678]
   - Domicilio: [calle, número, código postal, ciudad]
   - Email de contacto: [privacidad@tu-dominio.com]

2. Delegado de Protección de Datos (si aplica)
   - Nombre: [Nombre del DPO]
   - Email: [dpo@tu-dominio.com]

3. Finalidades del tratamiento
   - Gestión de cuenta y prestación del servicio
   - Procesamiento de pagos
   - Envío de comunicaciones comerciales (solo si consientes)
   - Atención al cliente
   - Análisis estadístico de uso

4. Base legal de cada finalidad
   - Cuenta y servicio: ejecución de contrato
   - Pagos: ejecución de contrato + obligación legal
   - Marketing: consentimiento
   - Soporte: ejecución de contrato
   - Analítica: consentimiento (cookies)

5. Destinatarios
   - Hosting: [Vercel Inc., EE.UU. - SCC + DPF]
   - Email: [Resend Inc., EE.UU. - SCC + DPF]
   - Pagos: [Stripe Payments Europe Ltd., Irlanda]
   - CRM: [HubSpot, Inc., EE.UU. - SCC + DPF]

6. Plazos de conservación
   - Datos de cuenta: vigencia + 90 días
   - Facturación: 6 años (obligación fiscal)
   - Marketing: hasta retirada del consentimiento
   - Logs técnicos: 12 meses

7. Derechos
   - Acceso, rectificación, supresión, oposición, portabilidad,
     limitación.
   - Cómo ejercerlos: [privacidad@tu-dominio.com]
   - Plazo de respuesta: 1 mes.
   - Reclamaciones: Agencia Española de Protección de Datos
     (www.aepd.es).

8. Cambios
   - Versión [1.0] - Última actualización: [fecha]
   - Notificaremos cambios sustanciales por email con 15 días
     de antelación.

Esta plantilla es un punto de partida. Ninguna plantilla genérica te exime de revisar tus tratamientos reales: si usas un proveedor que aquí no aparece, añádelo. Si tu plazo de retención es distinto, ajústalo. La política tiene que reflejar tu realidad, no la mía.

Cookies, formularios y tracking: la trampa de la ePrivacy

El RGPD regula cualquier dato personal. La Directiva ePrivacy y la LSSI-CE española añaden una capa extra para cookies y tecnologías similares (píxeles, fingerprinting, local storage usado para tracking).

Por qué la política de cookies va aparte

Mezclar política de privacidad y de cookies en un solo documento dificulta la lectura y, sobre todo, dificulta la retirada granular del consentimiento. La buena práctica es: una política de privacidad explicando qué tratas y por qué, y una política de cookies adicional listando cada cookie con su finalidad, duración y proveedor.

Banner de consentimiento: granular o nada

El banner debe permitir aceptar, rechazar o configurar las cookies con el mismo nivel de fricción. Un botón "Aceptar todo" enorme y verde junto a un enlace gris pequeño "Configurar" es ilegal: la AEPD ya ha sancionado por dark patterns. Botones del mismo tamaño, mismo color, misma jerarquía visual.

Recurso oficial: la AEPD publica una Guía sobre el uso de cookies actualizada cada año con criterios concretos sobre banners, plazos, finalidades y excepciones. Es de lectura obligada antes de configurar tu CMP.

Mantén tu política viva: versionado y registro de cambios

Una política de privacidad no es un documento que rellenas y olvidas. Tienes que actualizarla cada vez que añadas una herramienta nueva, cambies un proveedor, lances una nueva funcionalidad o modifiques un plazo de conservación.

El RGPD obliga al responsable a mantener un Registro de Actividades de Tratamiento (RAT, Art. 30) interno que documente todos los tratamientos. La política pública es la versión cara al usuario; el RAT es la versión cara a una inspección de la AEPD. Ambos tienen que coincidir.

Dos personas revisando y firmando un documento legal

Cómo notificar cambios materiales

Cambios menores (corregir un typo, reescribir una frase para que se entienda mejor) no requieren notificación. Cambios materiales sí: nuevo proveedor en EE.UU., nueva finalidad de marketing, ampliación del plazo de retención, recogida de una nueva categoría de datos. La buena práctica:

Notificar por email con al menos 15 días de antelación.
Mostrar un aviso en la web destacado durante 30 días.
Si la base legal era consentimiento, pedirlo de nuevo.
Mantener un historial accesible (versión, fecha, qué cambió).

Buena práctica: publica al final de tu política un mini changelog con las últimas tres versiones. Es muestra de transparencia, da confianza y es exactamente lo que un inspector de la AEPD quiere ver primero.

El atajo: genera tu política de privacidad RGPD con Termerly

Redactar una política desde cero y mantenerla actualizada lleva tiempo que la mayoría de fundadores no tiene. Para eso construimos Termerly: un generador gratuito de documentos legales con plantillas RGPD, LOPDGDD, CCPA y otras 30+ jurisdicciones, versionado automático y sincronización entre tu web y los cambios que hagas.

El generador te pregunta lo justo (qué datos recoges, qué proveedores usas, dónde están alojados) y produce una política específica para tu caso, no una plantilla genérica. Es gratis, no requiere tarjeta y exporta el documento en HTML para que lo pegues en tu web o lo enlaces directamente.

Pruébalo en 3 minutos: termerly.com/es/privacy-policy-generator. Genera, descarga, publica. Cuando una norma cambie te avisamos por email.

Conclusión

Tener política de privacidad no es decorado legal: es la prueba documental de que sabes qué haces con los datos de tus usuarios y de que respetas sus derechos. Los tres puntos críticos que no puedes saltarte son:

Especificidad por encima de generalidad: nombra proveedores, plazos exactos y finalidades concretas. Frases vagas son la principal causa de sanción.
Base legal correcta por finalidad: nunca uses interés legítimo como comodín si no documentas el test de ponderación. Y consentimiento solo cuando puedas demostrar que fue libre, específico, informado e inequívoco.
Mantenimiento continuo: tu política tiene que reflejar tu realidad de hoy, no la del día que se redactó. Cada herramienta nueva implica revisar el documento.

Si te ha quedado claro, abre tu actual política y compárala con los 12 elementos del Art. 13. Si falta alguno, hoy es el día de corregirlo. Si vas a redactar la primera, usa la plantilla guiada de Termerly para no olvidar nada.

Preguntas frecuentes

¿Una política de privacidad genérica copiada de otra empresa es válida?

No. La política tiene que ser específica para tu caso: tus proveedores, tus plazos, tus finalidades. Una política genérica es la primera señal de mala fe que detecta una inspección de la AEPD y la causa más común de sanciones por información incompleta.

¿Necesito un Delegado de Protección de Datos en mi startup?

Solo si tratas datos a gran escala, datos sensibles (salud, biometría, ideología, orientación sexual) o eres autoridad pública. La mayoría de startups y pymes no lo necesitan, pero si lo nombras voluntariamente debes publicar sus datos en la política.

¿Qué multa puedo recibir si no tengo política de privacidad?

El RGPD permite hasta el 4% de la facturación global anual o 20 millones de euros, lo que sea mayor. En la práctica las sanciones de la AEPD a pymes oscilan entre los 900 y los 60.000 euros por información incompleta o ausente. Las sanciones grandes (millones) se reservan para vulneraciones sistemáticas o transferencias internacionales sin garantía.

¿La política tiene que estar obligatoriamente en español?

No tiene que estar en español, sino en el idioma en el que comunicas con tus usuarios. Si tu web está en español, sí. Si tienes web multilingüe, debes ofrecer la política en cada idioma. La AEPD ha sancionado políticas solo en inglés cuando el público objetivo era español.

¿Puedo usar la misma política para mi web y mi app?

Sí, siempre que las dos plataformas hagan los mismos tratamientos. Si la app recoge datos extra (geolocalización, contactos, sensores) tienes que añadir esa información en la sección correspondiente o publicar una política específica para la app.

¿Con qué frecuencia tengo que actualizar la política?

No hay frecuencia obligatoria. La regla es: cada vez que cambia algo material (proveedor nuevo, finalidad nueva, plazo distinto) tienes que actualizarla. Como mínimo es buena práctica revisarla una vez al año aunque no haya habido cambios.

¿La política de privacidad reemplaza al aviso legal?

No. Son documentos distintos con marcos normativos diferentes: el aviso legal lo exige la LSSI-CE (datos de la empresa, condiciones de uso), la política de privacidad lo exige el RGPD. Lo habitual es publicar tres documentos separados: aviso legal, política de privacidad y política de cookies.

Mantente al día

Suscríbete para recibir los nuevos artículos por correo.