Política de privacidad modelo España: plantilla 2026

Tu sitio web necesita una política de privacidad. No por estética profesional sino porque los Arts. 13 y 14 del Reglamento General de Protección de Datos obligan a informar al interesado en el momento de recoger sus datos. Si tu web tiene un formulario de contacto, un newsletter, una tienda online, un calendario de reservas o simplemente Google Analytics, ya estás tratando datos personales y la obligación se activa.

La buena noticia: redactar una política de privacidad para una pyme española no requiere abogado en la mayoría de los casos. Esta guía recoge la plantilla paso a paso con los apartados que exige el RGPD, las particularidades que añade la LOPDGDD 3/2018 y la información de contacto identificativa que pide el Art. 10 de la LSSI-CE.

Dirijo TrustYourWebsite como un proyecto en solitario y miro estos documentos con la lente de la persona que firma la web: tiempo limitado, presupuesto contado, ganas de evitar tanto el incumplimiento como el sobrecoste de un encargo legal innecesario. Si prefieres delegar la inspección técnica de los tratamientos que carga tu sitio, escanea tu web gratis antes de empezar.

Marco normativo en una tabla

Tres normas conviven cuando redactas una política de privacidad de una web española. Cada una aporta una capa.

Para los datos identificativos del prestador, el Aviso Legal va por separado pero las dos páginas deben coincidir. Si tienes dudas sobre los requisitos del Aviso Legal, revisa la guía LSSI sobre Aviso Legal antes de continuar.

Plantilla: contenido obligatorio paso a paso

El Art. 13 del RGPD enumera la información que hay que facilitar cuando recoges los datos directamente del interesado (formulario de contacto, registro de cuenta, alta en newsletter, pedido). El Art. 14 cubre el caso en que los datos no proceden del interesado (datos comprados, datos obtenidos de fuentes públicas). Para una pyme con web propia, casi todos los tratamientos caen bajo el Art. 13. Estos son los bloques que debe cubrir tu política.

1. Identidad y datos de contacto del responsable

Es el bloque obligatorio del Art. 13.1.a RGPD y se corresponde con la información del Art. 10 LSSI-CE.

• Denominación social o nombre comercial
• CIF o NIF
• Domicilio social
• Correo electrónico de contacto
• Teléfono opcional pero recomendable
• Datos de inscripción registral cuando proceda (Registro Mercantil, colegio profesional)

Si necesitas refrescar la obligación de mostrar el CIF en perfiles externos, consulta la guía sobre el CIF en perfiles de empresa.

2. Datos del Delegado de Protección de Datos (DPO)

Solo si lo tienes designado. La LOPDGDD 3/2018 en su Art. 34 enumera los supuestos obligatorios: colegios profesionales, centros docentes, entidades aseguradoras, entidades financieras, prestadores de servicios de telecomunicaciones, prestadores de servicios sanitarios. La mayoría de pymes no entran en esta lista. Si no tienes DPO, omite el bloque. No es necesario rellenarlo con un genérico.

3. Finalidades del tratamiento

Aquí es donde se hunden la mayoría de las plantillas copiadas. Cada finalidad debe describirse con precisión. No vale "mejorar nuestros servicios" como cláusula global. Lista cada finalidad real:

• Gestionar la consulta enviada a través del formulario de contacto
• Enviar la newsletter mensual de novedades
• Tramitar el pedido y la entrega del producto
• Emitir y conservar las facturas
• Analizar el uso del sitio web con fines estadísticos
• Cumplir obligaciones legales (contabilidad, fiscal)

4. Base jurídica para cada finalidad

El RGPD Art. 6 fija seis bases jurídicas. Para una web de pyme española estas son las cuatro habituales:

• Consentimiento (Art. 6.1.a): newsletter, cookies analíticas no anónimas, marketing comercial
• Ejecución de un contrato (Art. 6.1.b): tratamiento de datos para entregar el producto o servicio contratado
• Obligación legal (Art. 6.1.c): conservación de facturas durante seis años (Art. 30 Código de Comercio), retenciones fiscales
• Interés legítimo (Art. 6.1.f): responder a una consulta espontánea, prevención del fraude, registros de seguridad

Si invocas interés legítimo, haz el juicio de ponderación previo y guárdalo. La AEPD pide poder ver ese análisis si te inspecciona.

5. Destinatarios o categorías de destinatarios

Lista todas las empresas que reciben datos personales de tu web. Si una empresa actúa como encargado del tratamiento (te procesa los datos por cuenta tuya), nómbrala expresamente. Si solo conoces la categoría, descríbela:

• Proveedor de hosting (Vercel, OVH, Arsys)
• Proveedor de email marketing (Mailchimp, Brevo, MailerLite)
• Pasarela de pago (Stripe, Redsys, Bizum)
• Herramienta de analítica (Google Analytics, Plausible, Matomo)
• Proveedor de email transaccional (Resend, Postmark)
• Gestoría o asesoría fiscal

Si dudas qué servicios cargan en tu web, ejecuta una auditoría RGPD paso a paso. Es habitual descubrir tres o cuatro proveedores que la política no menciona.

6. Transferencias internacionales

Si algún destinatario procesa datos fuera del Espacio Económico Europeo, el RGPD Art. 44 y siguientes exigen garantías adicionales. Para una pyme la situación típica es que el proveedor de email marketing, la pasarela de pago o el hosting tengan infraestructura en Estados Unidos. Las garantías habituales:

• Adhesión al EU-US Data Privacy Framework (sustituye al antiguo Privacy Shield, vigente desde julio de 2023 según la Decisión de Adecuación de la Comisión Europea)
• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea
• Reglas Corporativas Vinculantes (BCR) en grupos multinacionales

Indica en la política qué mecanismo utiliza cada proveedor. La información viene en el DPA del proveedor (Data Processing Agreement); no la inventes.

7. Plazo de conservación

Por categoría de dato, plazo concreto. No vale "el tiempo necesario". Ejemplos típicos:

• Mensajes recibidos vía formulario: 12 meses desde la última comunicación
• Datos de cliente y pedido: 6 años (obligación contable, Art. 30 Código de Comercio)
• Datos fiscales: 4 años (Art. 66 Ley General Tributaria)
• Suscriptores de newsletter: hasta la baja
• Datos de analítica: el plazo configurado en la herramienta (típicamente 14 meses en GA4)
• Logs del servidor: 30 días

Si no eliminas nada, no escribas plazos ficticios. Pon en marcha la rutina de borrado y declárala.

8. Derechos del interesado

El RGPD reconoce un catálogo cerrado de derechos. Cita los seis y explica cómo ejercerlos:

• Acceso (Art. 15)
• Rectificación (Art. 16)
• Supresión, derecho al olvido (Art. 17)
• Oposición (Art. 21)
• Limitación del tratamiento (Art. 18)
• Portabilidad (Art. 20)

Indica un canal de ejercicio: dirección de correo electrónico o formulario web. La LOPDGDD 3/2018 añade en sus Arts. 79 a 97 los derechos digitales: rectificación en internet, actualización en internet, derecho al olvido en búsquedas, etc. Si tu web los aplica, menciónalos.

9. Derecho a retirar el consentimiento

Si cualquier tratamiento se apoya en el consentimiento, hay que explicar cómo se retira. La fórmula habitual: "Puedes retirar tu consentimiento en cualquier momento enviando un correo a [dirección] o haciendo clic en el enlace de baja al pie de cada email". La retirada no afecta a la licitud del tratamiento previo a la retirada.

10. Derecho a reclamar ante la AEPD

Obligatorio según Art. 13.2.d RGPD. Fórmula tipo: "Si consideras que el tratamiento de tus datos personales infringe el RGPD, tienes derecho a presentar una reclamación ante la Agencia Española de Protección de Datos, C/ Jorge Juan, 6, 28001 Madrid".

11. Carácter obligatorio o no de los datos

Si rellenar un campo del formulario es obligatorio, indícalo. Si no lo es, también. Explica las consecuencias de no facilitar un dato obligatorio (ejemplo: "Sin el correo electrónico no podemos remitirle el presupuesto").

12. Decisiones automatizadas y perfilado

El Art. 22 RGPD restringe las decisiones basadas únicamente en tratamiento automatizado, incluido el perfilado, que produzcan efectos jurídicos o afecten significativamente al interesado. Para una pyme típica esto no aplica. Si no haces perfilado automatizado, escribe un párrafo expreso: "No realizamos perfilado automatizado ni decisiones automatizadas que produzcan efectos jurídicos sobre el interesado".

Plantilla adaptada a casos típicos de pymes españolas

Cuatro escenarios cubren la mayoría de webs de pymes. Estos son los bloques específicos que añade cada uno.

Formulario de contacto

• Finalidad: gestionar la consulta del usuario
• Base jurídica: interés legítimo si la consulta es espontánea, ejecución de medidas precontractuales si pide un presupuesto
• Datos: nombre, correo electrónico, contenido del mensaje, opcional teléfono
• Conservación: 12 meses desde la última interacción

Newsletter con consentimiento expreso

• Finalidad: enviar la newsletter periódica de novedades comerciales
• Base jurídica: consentimiento (RGPD Art. 6.1.a)
• Confirma el doble opt-in y guarda el log con IP y timestamp como prueba
• Conservación: hasta la baja del suscriptor
• Mecanismo de baja: enlace al pie de cada email + correo de contacto

Tienda online

• Finalidades: gestión del pedido, facturación, atención posventa, eventual marketing posterior con consentimiento separado
• Base jurídica: contrato para el pedido, obligación legal para la facturación, consentimiento para marketing posterior
• Datos: identificativos, dirección de envío y facturación, datos de pago, historial de pedidos
• Destinatarios: pasarela de pago, transportista, gestoría
• Conservación: 6 años para facturas, 4 años para datos fiscales, hasta la baja para marketing

Reservas online (restaurantes, salud, servicios)

• Finalidad: gestionar la reserva o cita
• Base jurídica: ejecución del contrato
• Datos: nombre, teléfono, correo, fecha y hora
• Categorías especiales: si la reserva es médica, hay datos de salud y aplica el Art. 9 RGPD con base adicional
• Conservación: alineada con la finalidad asistencial o de negocio

Errores frecuentes que detecta la AEPD

Esta lista la he derivado leyendo resoluciones publicadas en el registro de procedimientos sancionadores de la AEPD. Son los problemas que aparecen una y otra vez en los expedientes contra pymes.

Plazos de conservación genéricos. Escribir "el tiempo legalmente exigible" cuando ese tiempo varía por categoría incumple el Art. 13.2.a RGPD. La AEPD pide plazos concretos.

Lista de destinatarios incompleta. El escaneo técnico revela conexiones a Google Fonts, Google Tag Manager, Facebook Pixel, Hotjar o servicios de chat que no figuran en la política. Cada conexión es una transferencia de datos que debe figurar.

Base jurídica difusa. Marcar todo como "consentimiento" cuando en realidad varios tratamientos se apoyan en otra base. O al contrario, marcar como "interés legítimo" tratamientos que requieren consentimiento expreso (marketing por correo electrónico, cookies de analítica no estrictamente necesarias).

Falta del derecho a reclamar ante la AEPD. Es la omisión más sencilla de evitar y la que la AEPD comprueba primero. Una sola frase obligatoria del Art. 13.2.d RGPD.

Política y banner de cookies desalineados. El inventario de cookies declarado en la política no se corresponde con las cookies que realmente coloca el sitio. La AEPD lo verifica con DevTools en sus campañas de control. Para entender este punto, revisa la guía sobre cuándo es obligatorio el banner de cookies en España.

Identidad del responsable incompleta. Sin CIF visible, sin dirección, con un correo gratuito de un dominio que no coincide con el de la web. La AEPD interpreta la opacidad identificativa como agravante en la valoración de la sanción.

Herramientas disponibles

Facilita_RGPD de la AEPD

La AEPD ofrece la herramienta gratuita Facilita_RGPD en su web institucional (aepd.es/herramientas/facilita). Genera cláusulas informativas y un registro básico de actividades para tratamientos de bajo riesgo. Es válida si tu web solo trata datos identificativos de contacto, comerciales y de facturación, sin categorías especiales, sin perfilado y sin transferencias internacionales relevantes.

Para una web con scripts de terceros, newsletter con consentimiento, ecommerce o cualquier tratamiento más complejo, Facilita queda corto y necesitas redactar las cláusulas extra que cubre esta guía.

Guía AEPD para responsables de tratamiento

La AEPD publica la Guía del RGPD para responsables de tratamiento en formato PDF gratuito. Es la referencia oficial cuando dudes sobre la redacción concreta de una cláusula o sobre el alcance de un derecho.

Generadores externos

Existen generadores online que parten de un formulario y producen una política base. Sirven como esqueleto. Pasa siempre el resultado por el filtro de los puntos 1 a 12 de la sección anterior, verifica que cada destinatario que carga tu web aparece y ajusta los plazos a tu rutina real de borrado.

Cuándo necesitas asesoramiento legal externo

Una plantilla bien adaptada cubre la situación de la mayoría de pymes con web propia. Hay supuestos donde sí conviene contratar revisión profesional:

• Tratamiento de datos de salud, biométricos, genéticos, ideológicos o sobre menores (categorías especiales del Art. 9 RGPD)
• Plataforma con cuentas de usuario donde se procesan datos entre usuarios
• Perfilado automatizado o decisiones automatizadas con efectos jurídicos
• Sector regulado: sanidad, seguros, servicios financieros, educación
• Reclamación recibida de un interesado o requerimiento de la AEPD
• Brecha de seguridad notificable (Arts. 33 y 34 RGPD)

En esos casos, la plantilla sirve como punto de partida que el abogado puede ajustar. Resulta más económico que partir de cero.

Checklist final antes de publicar

Antes de subir la política a tu web, repasa esta lista:

• Identidad y datos de contacto coinciden con los del Aviso Legal
• Cada finalidad está descrita con precisión y su base jurídica
• Todos los destinatarios reales aparecen, verificado con un escaneo de la web
• Transferencias internacionales identificadas con la garantía aplicable
• Plazos de conservación concretos por categoría, no genéricos
• Los seis derechos del interesado están enumerados y hay canal de ejercicio
• Derecho a reclamar ante la AEPD con dirección postal de la agencia
• Fecha de última actualización visible
• La política se enlaza desde cada formulario, no solo desde el pie

Una vez publicada, agrégala al calendario de revisión: revisión rápida cuando cambies cualquier herramienta o proveedor, revisión completa una vez al año. Si quieres un punto de control sistemático, la checklist RGPD para pymes españolas cubre los apartados que conviene auditar en paralelo.

---

Esto es análisis técnico, no asesoramiento legal. Para casos con categorías especiales, perfilado automatizado o reclamaciones activas de la AEPD, consulta con un abogado especializado.