La política de privacidad y las prácticas de uso de datos determinan cómo una organización recopila, utiliza, comparte y protege la información personal. Formular las preguntas correctas permite evaluar riesgos legales, reputacionales y operativos, y garantiza el cumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) y otras leyes locales. A continuación se presenta un conjunto completo de preguntas clave organizadas por áreas, con ejemplos, criterios de respuesta y casos ilustrativos.
Preguntas sobre recopilación de datos
- ¿Qué tipos de datos personales se recopilan? (p. ej., identificación, contacto, financieros, salud, biométricos, ubicación)
- ¿Se recogen datos sensibles o de categorías especiales? Si es así, ¿con qué base legal y qué medidas adicionales se aplican?
- ¿Se recogen datos de menores? ¿Cómo se verifica la edad y cómo se solicita el consentimiento parental cuando procede?
- ¿Se recopilan datos por medios automáticos (cookies, sensores, aplicaciones móviles) o por entrada manual? ¿Hay diferencias en el tratamiento?
Ejemplo: una aplicación de salud que solicita datos médicos y ubicación debe justificar la recopilación con una base legal sólida y medidas de seguridad reforzadas.
Preguntas sobre finalidad y uso
- ¿Con qué propósitos específicos se tratarán los datos, como la prestación del servicio, la facturación, la optimización del producto, acciones de marketing, análisis o el cumplimiento de obligaciones legales?
- ¿Los datos se emplearán en procesos de decisión automatizada o en la elaboración de perfiles, y de qué manera podría esto influir en la persona implicada?
- ¿Se destinarán los datos a usos adicionales no contemplados al inicio, y cómo se comunicará esta novedad para solicitar un nuevo consentimiento cuando sea necesario?
Criterio de respuesta razonable: objetivos concretos, acotados y debidamente registrados; perfilado claramente detallado con aclaraciones y alternativas de exclusión cuando pueda incidir en los derechos.
Preguntas sobre base jurídica y consentimiento
- ¿Cuál es la base jurídica para cada tratamiento? (consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés público, protección vital)
- Si se basa en consentimiento, ¿es libre, específico, informado e inequívoco? ¿Cómo se documenta y cómo puede revocarse?
- Si se invoca interés legítimo, ¿se ha realizado un test de ponderación documentado entre intereses de la organización y derechos del individuo?
Caso práctico: muchas empresas usan el interés legítimo para analítica; la organización debe conservar el análisis de impacto y ofrecer mecanismos de oposición.
Cuestiones sobre la conservación y la eliminación
- ¿Durante qué periodo se almacenan las diversas categorías de datos y si hay tiempos específicos según la finalidad prevista?
- ¿Qué factores influyen en la duración del resguardo, como exigencias legales, usos habituales del sector o autorización otorgada?
- ¿De qué manera se llevan a cabo la eliminación y el bloqueo de la información cuando se ejerce el derecho al olvido o cuando deja de ser necesaria?
Orientación práctica: datos de facturación y contables suelen guardarse según obligaciones fiscales —frecuentemente varios años— mientras que datos de marketing deberían eliminarse cuando el consentimiento se retira.
Consultas sobre el acceso, la rectificación y los derechos de las personas interesadas
- ¿De qué manera pueden las personas ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no quedar sometidas a decisiones automatizadas?
- ¿Qué tiempos y pasos aplica la organización para atender estas solicitudes, y existen formularios o vías de contacto que resulten fáciles de usar?
- ¿Se requiere verificar la identidad para impedir revelaciones no autorizadas, y cómo se armoniza esa seguridad con la simplicidad al ejercer dichos derechos?
Una buena señal es contar con procedimientos divulgados, tiempos de respuesta ajustados a la normativa vigente (por ejemplo, contestar en un plazo máximo de un mes) y diversos canales de atención como correo electrónico, formularios o teléfono.
Preguntas sobre terceros y transferencia de datos
- ¿Se facilita información personal a terceros y a qué entidades específicamente se entrega (proveedores, socios, anunciantes, autoridades)?
- ¿Qué acuerdos, contratos o cláusulas se han establecido con esos terceros para asegurar un nivel de protección equivalente (cláusulas contractuales tipo, acuerdos de encargado de tratamiento)?
- ¿Se efectúan transferencias internacionales de datos y bajo qué mecanismos de seguridad se realizan (decisiones de adecuación, garantías apropiadas, reglas corporativas vinculantes)?
Ejemplo: una plataforma que recurre a servicios en la nube ha de contar con cláusulas de encargado del tratamiento y con garantías adecuadas para realizar transferencias más allá del área económica aplicable.
Consultas acerca de la protección, así como de las medidas técnicas y organizativas aplicadas
- ¿Qué tipo de medidas técnicas, como cifrado, gestión de permisos o respaldos, y qué disposiciones organizativas, como normas internas, capacitación o supervisión de subprocesadores, se han implementado?
- ¿Se llevan a cabo de forma periódica pruebas de seguridad, revisiones técnicas y análisis de vulnerabilidades? ¿Cada cuánto tiempo se efectúan?
- ¿Qué certificaciones o normas se aplican, por ejemplo ISO 27001, y están los informes de auditoría disponibles para clientes o autoridades reguladoras?
Dato útil: una organización responsable debe poder describir el cifrado en tránsito y en reposo, gestión de claves y procedimiento de respuesta a incidentes.
Preguntas sobre brechas de seguridad
- ¿Hay un plan establecido para gestionar incidencias y un protocolo de aviso sobre brechas dirigido a autoridades y personas afectadas, así como un plazo definido para emitir dicha notificación?
- ¿Qué parámetros se emplean para determinar la gravedad y el nivel de riesgo que una situación puede representar para los derechos y libertades de las personas?
- ¿Se registran las conclusiones obtenidas y las acciones de mejora implementadas después de una brecha?
Ejemplo real genérico: una filtración que expone datos personales debe ser notificada a la autoridad competente dentro del plazo establecido por normativa, y a los afectados si supone alto riesgo.
Preguntas sobre anonimización y seudonimización
- ¿Los datos se procesan mediante anonimización o seudonimización para realizar estudios estadísticos, y qué método se utiliza junto con su grado de posibilidad de revertirlo?
- ¿Se conservan aparte las claves que permiten la reidentificación y quién está autorizado a consultarlas?
Recomendación: la verdaderamente anónima no es reutilizable para identificar personas; la seudonimización reduce riesgos pero sigue considerándose dato personal bajo muchas leyes.
Preguntas sobre niños y materiales dirigidos a menores
- ¿Cómo se gestiona el consentimiento de menores y la verificación de edad? ¿Qué límites de edad aplica la organización?
- ¿Se limita la recopilación de datos infantiles al mínimo necesario y se evita publicidad dirigida cuando es inapropiada?
Nota normativa: el RGPD establece límites de edad para consentimiento digital (generalmente 16, con posibilidad de bajar a 13 por estados miembros).
Cuestiones sobre marketing y fines comerciales
- ¿Cómo se obtienen y gestionan los consentimientos para comunicaciones comerciales? ¿Existen listas de exclusión y opciones claras de desuscripción?
- ¿Se venden datos a terceros o se usan para perfiles comerciales? ¿Cómo se informa al usuario y qué controles ofrece?
Buenas prácticas: brindar opciones detalladas para gestionar cada tipo de comunicación y evitar encubrir las prácticas comerciales tras un lenguaje excesivamente técnico.
Preguntas sobre transparencia y lenguaje de la política
- ¿La política está escrita con un lenguaje sencillo y comprensible, e incluye ejemplos específicos sobre cómo se manejan los datos?
- ¿Se presentan los aspectos esenciales en un formato conciso y se ofrecen accesos rápidos a información clave (clases de datos, propósitos, derechos)?
- ¿Se revisa la política de forma periódica y se informa a los usuarios cuando ocurren modificaciones relevantes?
Indicador de confianza: transparencia activa, resúmenes visuales y preguntas frecuentes que respondan escenarios comunes.
Preguntas sobre responsabilidad, gobernanza y auditoría
- ¿Quién en la organización es responsable de la protección de datos (delegado de protección de datos o responsable equivalente) y cómo contactar con él o ella?
- ¿Se realizan auditorías internas y externas y se mantiene un registro de actividades de tratamiento?
- ¿Existen políticas de formación continua para empleados y evaluación de proveedores?
Señal positiva: designación clara de un responsable de privacidad y disponibilidad de registros para las autoridades cuando así lo soliciten.
Cómo evaluar las respuestas recibidas
- Coherencia: las respuestas deben alinearse con las prácticas técnicas verificables; si se afirma que no se comparten datos pero se observan integraciones con terceros, surge una inconsistencia.
- Especificidad: conviene dejar de lado afirmaciones imprecisas como «se aplican medidas razonables» y optar por describir acciones concretas junto con plazos claros.
- Riesgo residual: es necesario determinar si los controles implementados disminuyen el riesgo hasta un umbral aceptable para la actividad y para las personas involucradas.
Ejemplo de señal de alarma: ausencia de un proceso claro para gestionar solicitudes de derechos o falta de cláusulas contractuales con subcontratistas.
Medidas concretas a seguir después de plantear las preguntas
- Requerir la documentación pertinente: políticas internas, acuerdos de tratamiento, evaluaciones de impacto (EIPD), informes de auditoría y registros sobre transferencias.
- Ejecutar comprobaciones: solicitar derechos de acceso y eliminación, examinar cookies y tráfico de red, así como verificar los permisos de aplicaciones móviles.
- Proceder a la escalada: cuando las respuestas resulten insuficientes, presentar una reclamación ante la autoridad competente o recurrir a asesoría legal especializada.
Hacer las preguntas adecuadas sobre política de privacidad y uso de datos permite transformar incertidumbres en decisiones informadas: identificar responsabilidades, mitigar riesgos técnicos y legales, proteger derechos individuales y mantener la confianza. Una evaluación rigurosa combina comprobación documental, pruebas prácticas y criterios claros sobre transparencia, proporcionalidad y seguridad; la calidad de las respuestas revela tanto la madurez de la organización como su compromiso real con la privacidad y el respeto a las personas.
