La política de privacidad y las prácticas de uso de datos determinan cómo una organización recopila, utiliza, comparte y protege la información personal. Formular las preguntas correctas permite evaluar riesgos legales, reputacionales y operativos, y garantiza el cumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) y otras leyes locales. A continuación se presenta un conjunto completo de preguntas clave organizadas por áreas, con ejemplos, criterios de respuesta y casos ilustrativos.
Preguntas sobre recopilación de datos
- ¿Qué tipos de datos personales se recopilan? (p. ej., identificación, contacto, financieros, salud, biométricos, ubicación)
- ¿Se recogen datos sensibles o de categorías especiales? Si es así, ¿con qué base legal y qué medidas adicionales se aplican?
- ¿Se recogen datos de menores? ¿Cómo se verifica la edad y cómo se solicita el consentimiento parental cuando procede?
- ¿Se recopilan datos por medios automáticos (cookies, sensores, aplicaciones móviles) o por entrada manual? ¿Hay diferencias en el tratamiento?
Ejemplo: una aplicación de salud que solicita datos médicos y ubicación debe justificar la recopilación con una base legal sólida y medidas de seguridad reforzadas.
Preguntas sobre finalidad y uso
- ¿Con qué propósitos específicos se tratarán los datos, como la prestación del servicio, la facturación, la optimización del producto, acciones de marketing, análisis o el cumplimiento de obligaciones legales?
- ¿Los datos se emplearán en procesos de decisión automatizada o en la elaboración de perfiles, y de qué manera podría esto influir en la persona implicada?
- ¿Se destinarán los datos a usos adicionales no contemplados al inicio, y cómo se comunicará esta novedad para solicitar un nuevo consentimiento cuando sea necesario?
Criterio de respuesta razonable: finalidades específicas, limitadas y documentadas; perfilado explícito con explicaciones y opciones de exclusión cuando afecte derechos.
Preguntas sobre base jurídica y consentimiento
- ¿Qué fundamento jurídico respalda cada operación de tratamiento? (consentimiento, ejecución de un contrato, deber legal, interés legítimo, interés público o protección vital)
- Cuando la base es el consentimiento, ¿se otorga de forma voluntaria, concreta, transparente y sin ambigüedades? ¿De qué manera se registra y cómo puede retirarse?
- Si se recurre al interés legítimo, ¿existe un análisis de equilibrio documentado entre los intereses de la organización y los derechos de la persona afectada?
Caso práctico: muchas empresas usan el interés legítimo para analítica; la organización debe conservar el análisis de impacto y ofrecer mecanismos de oposición.
Cuestiones sobre la conservación y la eliminación
- ¿Durante qué periodo se almacenan las diversas categorías de datos y si hay tiempos específicos según la finalidad prevista?
- ¿Qué factores influyen en la duración del resguardo, como exigencias legales, usos habituales del sector o autorización otorgada?
- ¿De qué manera se llevan a cabo la eliminación y el bloqueo de la información cuando se ejerce el derecho al olvido o cuando deja de ser necesaria?
Orientación práctica: datos de facturación y contables suelen guardarse según obligaciones fiscales —frecuentemente varios años— mientras que datos de marketing deberían eliminarse cuando el consentimiento se retira.
Consultas sobre el acceso, la rectificación y los derechos de las personas interesadas
- ¿De qué manera pueden las personas ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no quedar sometidas a decisiones automatizadas?
- ¿Qué tiempos y pasos aplica la organización para atender estas solicitudes, y existen formularios o vías de contacto que resulten fáciles de usar?
- ¿Se requiere verificar la identidad para impedir revelaciones no autorizadas, y cómo se armoniza esa seguridad con la simplicidad al ejercer dichos derechos?
Una buena señal es contar con procedimientos divulgados, tiempos de respuesta ajustados a la normativa vigente (por ejemplo, contestar en un plazo máximo de un mes) y diversos canales de atención como correo electrónico, formularios o teléfono.
Preguntas sobre terceros y transferencia de datos
- ¿Se comparten datos con terceros? ¿Quiénes son (proveedores, socios, anunciantes, autoridades)?
- ¿Qué contratos o cláusulas existen con terceros para garantizar protección equivalente (cláusulas contractuales tipo, acuerdos de encargado de tratamiento)?
- ¿Se realizan transferencias internacionales de datos? ¿Qué garantías se aplican (decisiones de adecuación, garantías apropiadas, reglas corporativas vinculantes)?
Ejemplo: una plataforma que recurre a servicios en la nube ha de contar con cláusulas de encargado del tratamiento y con garantías adecuadas para realizar transferencias más allá del área económica aplicable.
Consultas acerca de la protección, así como de las medidas técnicas y organizativas aplicadas
- ¿Qué medidas técnicas (cifrado, control de accesos, copias de seguridad) y organizativas (políticas internas, formación, control de subprocesadores) existen?
- ¿Se realizan pruebas de seguridad, auditorías y evaluaciones de vulnerabilidad con regularidad? ¿Con qué frecuencia?
- ¿Qué certificaciones o estándares se cumplen (por ejemplo, ISO 27001) y están las auditorías disponibles para clientes o reguladores?
Dato útil: una entidad responsable ha de ser capaz de detallar cómo protege los datos mediante cifrado en tránsito y en reposo, cómo gestiona sus claves y qué procedimiento aplica para responder a incidentes.
Preguntas sobre brechas de seguridad
- ¿Hay un plan establecido para gestionar incidencias y un protocolo de aviso sobre brechas dirigido a autoridades y personas afectadas, así como un plazo definido para emitir dicha notificación?
- ¿Qué parámetros se emplean para determinar la gravedad y el nivel de riesgo que una situación puede representar para los derechos y libertades de las personas?
- ¿Se registran las conclusiones obtenidas y las acciones de mejora implementadas después de una brecha?
Ejemplo real genérico: cuando se produce una filtración que revela información personal, esta debe comunicarse a la autoridad competente dentro del periodo fijado por la normativa vigente y también notificarse a los afectados si entraña un riesgo elevado.
Cuestiones relacionadas con la anonimización y la seudonimización
- ¿Los datos se procesan mediante anonimización o seudonimización para realizar estudios estadísticos, y qué método se utiliza junto con su grado de posibilidad de revertirlo?
- ¿Se conservan aparte las claves que permiten la reidentificación y quién está autorizado a consultarlas?
Recomendación: los datos realmente anónimos no permiten volver a identificar a una persona, mientras que la seudonimización disminuye los riesgos, aunque en muchas legislaciones sigue considerándose información personal.
Preguntas sobre niños y materiales dirigidos a menores
- ¿Cómo se gestiona el consentimiento de menores y la verificación de edad? ¿Qué límites de edad aplica la organización?
- ¿Se limita la recopilación de datos infantiles al mínimo necesario y se evita publicidad dirigida cuando es inapropiada?
Nota normativa: el RGPD establece límites de edad para consentimiento digital (generalmente 16, con posibilidad de bajar a 13 por estados miembros).
Cuestiones sobre marketing y fines comerciales
- ¿De qué manera se recaban y administran los consentimientos para enviar comunicaciones comerciales, y qué tan accesibles son las listas de exclusión y las opciones de desuscripción?
- ¿Se comparten datos con terceros o se emplean para elaborar perfiles comerciales, y cómo se notifica esto al usuario junto con los controles disponibles?
Buenas prácticas: ofrecer controles granulares para tipos de comunicaciones y no ocultar las prácticas comerciales en lenguaje técnico.
Preguntas sobre transparencia y lenguaje de la política
- ¿La política está redactada en lenguaje claro, accesible y con ejemplos concretos de uso de datos?
- ¿Se resumen los puntos clave en un formato breve y hay accesos directos a información esencial (tipo de datos, finalidades, derechos)?
- ¿Se actualiza la política periódicamente y se notifica a los usuarios sobre cambios materiales?
Indicador de confianza: ofrece una visión clara mediante transparencia continua, presenta resúmenes visuales comprensibles y plantea preguntas frecuentes que aclaran situaciones habituales.
Preguntas sobre responsabilidad, gobernanza y auditoría
- ¿Qué persona dentro de la organización asume la responsabilidad de la protección de datos, ya sea como delegado de protección de datos o figura equivalente, y de qué manera se puede establecer contacto con él o ella?
- ¿Se llevan a cabo auditorías tanto internas como externas y se conserva un registro actualizado de las actividades de tratamiento?
- ¿Hay políticas de capacitación permanente para el personal y procedimientos para valorar el desempeño de los proveedores?
Señal positiva: designación clara de un responsable de privacidad y disponibilidad de registros para las autoridades cuando así lo soliciten.
Cómo analizar las respuestas obtenidas
- Coherencia: las respuestas deben alinearse con las prácticas técnicas verificables; si se afirma que no se comparten datos pero se observan integraciones con terceros, surge una inconsistencia.
- Especificidad: conviene dejar de lado afirmaciones imprecisas como «se aplican medidas razonables» y optar por describir acciones concretas junto con plazos claros.
- Riesgo residual: es necesario determinar si los controles implementados disminuyen el riesgo hasta un umbral aceptable para la actividad y para las personas involucradas.
Un ejemplo de alerta sería no disponer de un procedimiento bien definido para atender las solicitudes de derechos o la ausencia de estipulaciones contractuales con los subcontratistas.
Medidas concretas a seguir después de plantear las preguntas
- Solicitar documentación: políticas, acuerdos de tratamiento, evaluaciones de impacto (EIPD), resultados de auditorías y registros de transferencias.
- Realizar pruebas: ejercer derechos de acceso y supresión, analizar cookies y conexiones de red, revisar permisos de aplicaciones móviles.
- Escalar: si las respuestas son insuficientes, plantear reclamación ante la autoridad competente o buscar asesoría legal especializada.
Hacer las preguntas adecuadas sobre política de privacidad y uso de datos permite transformar incertidumbres en decisiones informadas: identificar responsabilidades, mitigar riesgos técnicos y legales, proteger derechos individuales y mantener la confianza. Una evaluación rigurosa combina comprobación documental, pruebas prácticas y criterios claros sobre transparencia, proporcionalidad y seguridad; la calidad de las respuestas revela tanto la madurez de la organización como su compromiso real con la privacidad y el respeto a las personas.


