¿Todas las empresas están obligadas a tener política de privacidad?

Sí, toda empresa o autónomo que trate datos personales de personas físicas —clientes, empleados, suscriptores, proveedores— está sujeto al RGPD y debe cumplir con el deber de información de los artículos 13 y 14. Para cualquier empresa con presencia digital (sitio web con formulario de contacto, tienda online, blog con comentarios) la política de privacidad es un requisito legal, no opcional.

¿Cuál es la diferencia entre responsable del tratamiento y encargado?

El responsable del tratamiento es quien determina los fines y los medios del tratamiento de datos personales (art. 4.7 RGPD): su empresa, cuando trata datos de sus propios clientes. El encargado del tratamiento es quien trata datos personales por cuenta del responsable (art. 4.8 RGPD): su proveedor de email marketing, su CRM cloud, o su servicio de contabilidad online que accede a datos de sus clientes. Con cada encargado debe suscribir un acuerdo de encargado del tratamiento conforme al artículo 28 RGPD.

¿Puedo usar el interés legítimo como base jurídica para el marketing?

El interés legítimo del artículo 6.1.f RGPD puede ser base jurídica para enviar comunicaciones comerciales a clientes existentes sobre productos similares a los ya adquiridos, siempre que prevalezca sobre los intereses del interesado y se le haya dado la posibilidad de oponerse. Sin embargo, no puede usarse como base general para enviar spam o para el marketing masivo a personas que no han tenido relación previa con la empresa. El Comité Europeo de Protección de Datos (CEPD) ha fijado criterios estrictos para la ponderación del interés legítimo en marketing.

¿Con qué frecuencia debo actualizar la política de privacidad?

Cada vez que modifique los tratamientos de datos: cuando añada un nuevo formulario, una nueva herramienta (CRM, email marketing, chat), cuando cambie de proveedor, cuando amplíe las finalidades del tratamiento o cuando la normativa cambie. También debe actualizar la política si añade nuevos empleados y recoge sus datos. Incluya siempre la fecha de la última actualización al final del documento para que los usuarios sepan que está vigente.

¿Qué pasa si un usuario solicita que borre sus datos?

El artículo 17 RGPD reconoce el "derecho al olvido": el responsable debe suprimir los datos en los casos previstos —retirada del consentimiento, tratamiento ilícito, datos no necesarios para la finalidad—, en el plazo de un mes desde la solicitud. Sin embargo, no es un derecho absoluto: si los datos son necesarios para cumplir una obligación legal (conservación de facturas cuatro años por la LGT), para el ejercicio de acciones judiciales o por razones de interés público, puede denegarse la supresión total, aunque debe limitarse el tratamiento a esas finalidades.

¿Qué sanciones puede imponer la AEPD?

El artículo 83 RGPD establece dos niveles de sanciones: multas de hasta 10 millones de euros o el 2% de la facturación global anual por infracciones como la falta de base jurídica adecuada, incumplimiento del deber de información o falta del acuerdo de encargado; y multas de hasta 20 millones de euros o el 4% de la facturación para infracciones más graves, como el tratamiento sin base jurídica, la vulneración de los principios del artículo 5 RGPD o el incumplimiento de las resoluciones de la AEPD.

Jurídico & EmpresarialEspaña

Plantilla gratuita de Política de Privacidad (RGPD)

Una política de privacidad completa y conforme al Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Configure las categorías de datos tratados, las bases jurídicas, los derechos de los interesados y, en versión Expert, las transferencias internacionales, los encargados del tratamiento, el perfilado y el Delegado de Protección de Datos.

Cree su Politica de Privacidad (RGPD/LOPD)

Uso gratuitoPDF instantáneoSin cuenta requerida

POLITICA DE PRIVACIDAD

Conforme Al RGPD (Reglamento UE 2016/679) Y La LOPD-GDD (Ley Orgánica 3/2018)
Www.techsoluciones.es

RESPONSABLE DEL TRATAMIENTO

De conformidad con lo establecido en el artículo 13 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) y el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), le informamos de que los datos personales que nos proporcione serán tratados por:

Identidad: TechSoluciones S.L.
NIF/CIF: B87654321
Domicilio: Calle Alcalá 75, 28009 Madrid
Email de contacto: privacidad@techsoluciones.es
Sitio web: www.techsoluciones.es

DATOS PERSONALES RECOGIDOS

En función de los servicios solicitados, podemos tratar las siguientes categorías de datos personales:
• Datos de identidad (nombre, apellidos, DNI/NIE)
• Datos de contacto (email, teléfono, dirección postal)
• Datos de navegación (dirección IP, tipo de navegador, páginas visitadas, cookies)
• Datos de pago (número de tarjeta, cuenta bancaria, datos de facturación)
• Datos de empleo (currículum vitae, experiencia laboral, formación)

FINALIDADES DEL TRATAMIENTO

Los datos personales recogidos serán tratados con las siguientes finalidades:

Gestión de la relación comercial con clientes, tramitación de pedidos y facturación, envío de comunicaciones comerciales con consentimiento previo, atención de consultas y reclamaciones, mejora de nuestros servicios mediante análisis estadísticos anonimizados, gestión de procesos de selección de personal

Base jurídica: Consentimiento del interesado (art. 6.1.a RGPD)

PLAZO DE CONSERVACION

Los datos se conservarán mientras dure la relación contractual. Una vez finalizada, los datos serán conservados durante los plazos de prescripción legal aplicables (5 años para obligaciones contractuales, 4 años para obligaciones tributarias).

DESTINATARIOS DE LOS DATOS

Los datos podrán ser comunicados a los siguientes destinatarios:

Proveedores de hosting (OVH, Francia), pasarela de pago (Stripe), asesoría fiscal y contable, Agencia Tributaria (obligación legal)

DERECHOS DEL INTERESADO

De conformidad con los artículos 15 a 22 del RGPD y los artículos 12 a 18 de la LOPDGDD, usted tiene los siguientes derechos:

• Derecho de acceso: Conocer qué datos personales suyos están siendo tratados (art. 15 RGPD).
• Derecho de rectificación: Solicitar la corrección de datos inexactos o incompletos (art. 16 RGPD).
• Derecho de supresión: Solicitar la eliminación de sus datos cuando ya no sean necesarios (art. 17 RGPD).
• Derecho de limitación: Solicitar la limitación del tratamiento en determinadas circunstancias (art. 18 RGPD).
• Derecho de oposición: Oponerse al tratamiento de sus datos en determinadas situaciones (art. 21 RGPD).
• Derecho de portabilidad: Recibir sus datos en un formato estructurado y transmitirlos a otro responsable (art. 20 RGPD).

Para ejercer estos derechos, puede dirigirse a privacidad@techsoluciones.es o por correo postal a Calle Alcalá 75, 28009 Madrid, acompañando copia de su documento de identidad.

Asimismo, tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD) — www.aepd.es — si considera que el tratamiento de sus datos no es conforme a la normativa vigente.

MEDIDAS DE SEGURIDAD

De conformidad con el artículo 32 del RGPD, TechSoluciones S.L. ha adoptado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, según proceda:
• La seudonimización y el cifrado de datos personales
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas

DELEGADO DE PROTECCION DE DATOS (DPD)

De conformidad con los artículos 37 a 39 del RGPD y el artículo 34 de la LOPDGDD, TechSoluciones S.L. ha designado un Delegado de Protección de Datos.

Nombre: Ana Martínez Gil
Email de contacto: dpd@techsoluciones.es

El interesado podrá contactar con el DPD para cualquier cuestión relativa al tratamiento de sus datos personales y al ejercicio de sus derechos.

TRANSFERENCIAS INTERNACIONALES DE DATOS

De conformidad con los artículos 44 a 49 del RGPD, TechSoluciones S.L. realiza transferencias internacionales de datos personales a países fuera del Espacio Económico Europeo (EEE).

Utilizamos servidores de Amazon Web Services (AWS) en EE.UU. y servicios de Stripe (EE.UU.) para el procesamiento de pagos. Ambos proveedores cuentan con cláusulas contractuales tipo aprobadas por la Comisión Europea.

En todos los casos, se garantiza un nivel adecuado de protección mediante uno de los siguientes mecanismos:
• Decisión de adecuación de la Comisión Europea (art. 45 RGPD)
• Cláusulas contractuales tipo aprobadas por la Comisión Europea (art. 46.2.c RGPD)
• Normas corporativas vinculantes (art. 47 RGPD)

10.

ENCARGADOS DEL TRATAMIENTO

De conformidad con el artículo 28 del RGPD, TechSoluciones S.L. ha suscrito los correspondientes contratos de encargado del tratamiento con los siguientes proveedores de servicios que acceden a datos personales:

OVH (hosting, Francia) — contrato de encargado vigente Stripe (pasarela de pago, EE.UU.) — cláusulas contractuales tipo Mailchimp (email marketing, EE.UU.) — cláusulas contractuales tipo Asesoría Fiscal López y Asociados (contabilidad, España) — contrato de encargado vigente

Todos los encargados del tratamiento ofrecen garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.

11.

DECISIONES AUTOMATIZADAS Y ELABORACION DE PERFILES

TechSoluciones S.L. no utiliza procesos de decisión automatizada ni elaboración de perfiles en el sentido del artículo 22 del RGPD que produzcan efectos jurídicos sobre el interesado o le afecten significativamente de modo similar.

12.

PROTECCION DE MENORES

De conformidad con el artículo 7 de la LOPDGDD, el tratamiento de datos de menores de 14 años requiere el consentimiento de sus padres o tutores legales. TechSoluciones S.L. no recoge deliberadamente datos personales de menores de 14 años sin dicho consentimiento. Si tiene conocimiento de que un menor de 14 años ha proporcionado datos personales sin la autorización correspondiente, le rogamos que nos lo comunique a privacidad@techsoluciones.es para proceder a su supresión inmediata.

13.

El sitio web www.techsoluciones.es utiliza cookies propias y de terceros. Las cookies son pequeños archivos de texto que se almacenan en el dispositivo del usuario al navegar por el sitio web.

Para obtener información detallada sobre las cookies utilizadas, sus finalidades, su duración y cómo gestionarlas, consulte nuestra Política de Cookies, disponible en el propio sitio web.

De conformidad con el artículo 22.2 de la LSSI-CE (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico), el usuario será informado de las cookies utilizadas y podrá otorgar o denegar su consentimiento a través del panel de configuración de cookies.

14.

MODIFICACIONES DE LA POLITICA

TechSoluciones S.L. se reserva el derecho de modificar la presente política de privacidad para adaptarla a las novedades legislativas, jurisprudenciales o de práctica empresarial. En caso de modificación sustancial, se informará a los usuarios mediante aviso destacado en el sitio web.

Última actualización: 3 de mayo de 2026

¿Qué es una política de privacidad?

Una política de privacidad es el documento mediante el que el responsable del tratamiento de datos personales informa a los interesados —los usuarios de un sitio web, los clientes de un servicio, los candidatos de un proceso de selección— sobre cómo se recopilan, utilizan, conservan y protegen sus datos personales. Esta información es exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679, de 27 de abril, Reglamento General de Protección de Datos (RGPD), que establecen el deber de transparencia del responsable del tratamiento y el derecho del interesado a recibir información clara, concisa y de fácil acceso.

El RGPD es directamente aplicable en toda la Unión Europea desde el 25 de mayo de 2018 y su equivalente nacional es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Juntos regulan la recogida, almacenamiento, uso, cesión y destrucción de cualquier dato que permita identificar a una persona física: nombre, dirección, correo electrónico, dirección IP, número de teléfono, número de cuenta, datos de localización o cualquier identificador en línea. Las categorías especiales de datos —salud, origen étnico, orientación sexual, datos biométricos— requieren una base jurídica reforzada conforme al artículo 9 RGPD.

La política de privacidad no es un mero trámite formal: es la concreción práctica del principio de transparencia del artículo 5.1.a RGPD. Una política incompleta, poco clara o que no refleje fielmente los tratamientos reales puede ser objeto de investigación y sanción por la Agencia Española de Protección de Datos (AEPD), con multas que pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual en los casos más graves (art. 83.5 RGPD). Mantener la política actualizada y accesible es, además, un elemento de confianza para los usuarios y un requisito para obtener o mantener ciertos sellos de calidad o certificaciones.

Qué incluye esta plantilla

La plantilla de política de privacidad de Doxuno recoge todos los elementos informativos exigidos por los artículos 13-14 RGPD, con secciones Expert para tratamientos avanzados.

Identidad del responsable del tratamiento

Empresa, NIF, domicilio y correo electrónico de contacto

Categorías de datos recogidos

Identidad, contacto, navegación, pago, localización y empleo

Finalidades del tratamiento

Para qué se usan los datos: gestión de pedidos, marketing, RRHH, etc.

Base jurídica del tratamiento

Consentimiento, contrato, interés legítimo u obligación legal (art. 6 RGPD)

Plazo de conservación de los datos

Tiempo que se guardan los datos según finalidad y prescripción

Destinatarios y cesiones a terceros

Entidades a las que se comunican los datos y por qué

Derechos de los interesados

Acceso, rectificación, supresión, oposición, portabilidad y limitación

Transferencias internacionales (Expert)

Si los datos salen del EEE y las garantías aplicables

Delegado de Protección de Datos (Expert)

Datos de contacto del DPD si la empresa lo tiene designado

Encargados del tratamiento (Expert)

Proveedores externos que acceden a datos personales (cloud, CRM, email)

Perfilado y decisiones automatizadas (Expert)

Si se realiza perfilado y cómo impugnar decisiones automatizadas

Referencia a política de cookies (Expert)

Enlace a la política de cookies del sitio web

Cómo crear su política de privacidad

La plantilla de Doxuno le guía campo a campo para generar una política de privacidad ajustada a su empresa y a los datos que realmente trata.

1
Identifique al responsable del tratamiento
Indique la denominación social o nombre completo de la empresa, el NIF/CIF, el domicilio social, la URL del sitio web y una dirección de correo electrónico específica para consultas de privacidad (por ejemplo, privacidad@suempresa.com). El RGPD exige que el interesado pueda contactar con el responsable del tratamiento de forma sencilla para ejercer sus derechos.
2
Seleccione las categorías de datos y las finalidades
Marque las categorías de datos personales que recoge su empresa: datos de identidad (nombre, apellidos, DNI), datos de contacto (email, teléfono, dirección postal), datos de navegación (IP, cookies, páginas visitadas), datos de pago (tarjeta, cuenta bancaria), datos de localización y, si aplica, datos de empleo (CV, formación). Para cada categoría, describa la finalidad del tratamiento: gestión de pedidos, envío de newsletters, facturación, procesos de selección, etc.
3
Determine la base jurídica y el plazo de conservación
Para cada finalidad, seleccione la base jurídica del artículo 6 RGPD que la legitima: el consentimiento del interesado (art. 6.1.a), la ejecución de un contrato del que es parte (art. 6.1.b), el interés legítimo del responsable (art. 6.1.f), o el cumplimiento de una obligación legal (art. 6.1.c). Fije el plazo máximo de conservación de los datos para cada finalidad, que debe ser el mínimo necesario; los plazos habituales son: relación contractual vigente más cuatro años (prescripción tributaria), seis años (prescripción mercantil CCom art. 30) o el plazo específico de la normativa sectorial aplicable.
4
Active las secciones Expert
Indique si se realizan transferencias internacionales de datos fuera del EEE (por ejemplo, uso de Google Workspace, Salesforce o AWS en servidores americanos) y las garantías que las amparan (decisión de adecuación, cláusulas contractuales tipo o DPF). Si la empresa tiene un DPD designado, añada su correo de contacto. Configure la sección de encargados del tratamiento para mencionar los principales proveedores que acceden a datos personales (plataforma de email marketing, CRM, proveedor cloud). Si realiza perfilado o decisiones automatizadas, explique el mecanismo y el derecho a impugnarlo.
5
Descargue y publique su política
Una vez completado el formulario, descargue el PDF. Publique la política en una página permanente de su sitio web accesible desde el pie de página y, si tiene un formulario de recogida de datos, incluya un enlace a la política antes de que el usuario envíe sus datos. Revise y actualice la política cada vez que añada un nuevo tratamiento, modifique las finalidades o cambie de proveedor.

Consideraciones jurídicas en España

El RGPD y la LOPDGDD imponen obligaciones que van más allá de publicar una política: requieren gestión activa de los tratamientos de datos. Conozca los aspectos clave.

Esta plantilla se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico. Para organizaciones que traten datos de categorías especiales, realicen perfilado a gran escala o transfieran datos a terceros países, consulte con un Delegado de Protección de Datos o un abogado especializado en Protección de Datos.

Revisado por profesionales del Derecho. El contenido de esta página ha sido revisado por abogados colegiados especializados en Protección de Datos y RGPD en España.

Derechos de los interesados: cómo gestionarlos

El RGPD reconoce a los interesados los siguientes derechos: acceso (art. 15), rectificación (art. 16), supresión —"derecho al olvido"— (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20), oposición (art. 21) e impugnación de decisiones automatizadas (art. 22). El responsable del tratamiento debe responder a las solicitudes de ejercicio de derechos en el plazo de un mes (prorrogable dos meses más en casos complejos). Habilite un canal específico —dirección de email, formulario en el sitio web— para recibir estas solicitudes y documente las respuestas para poder acreditar el cumplimiento ante la AEPD.

Base jurídica del marketing y el consentimiento

El envío de comunicaciones comerciales por correo electrónico requiere consentimiento previo del destinatario conforme al artículo 21 LSSI y, en la medida en que implica tratamiento de datos personales, base jurídica del artículo 6 RGPD. Para clientes existentes, el artículo 21.2 LSSI permite enviar comunicaciones sobre productos o servicios similares a los ya adquiridos, siempre que el cliente haya tenido la posibilidad de oponerse en el momento de la recogida de datos y en cada comunicación posterior. Para suscriptores nuevos, se requiere casilla de consentimiento activo (opt-in), no marcada por defecto.

Registro de actividades de tratamiento

El artículo 30 RGPD obliga a los responsables del tratamiento a mantener un Registro de Actividades de Tratamiento (RAT) que documente todos los tratamientos de datos personales realizados: finalidades, categorías de datos y de interesados, destinatarios, transferencias internacionales, plazos de conservación y medidas de seguridad. Este registro no es público pero debe ponerse a disposición de la AEPD si lo solicita. Su mantenimiento actualizado es una de las primeras exigencias en cualquier inspección de la Autoridad. La política de privacidad publicada es el reflejo hacia el exterior de este registro interno.

Brechas de seguridad: notificación obligatoria

El artículo 33 RGPD obliga al responsable del tratamiento a notificar a la AEPD cualquier brecha de seguridad que suponga un riesgo para los derechos y libertades de las personas físicas, en un plazo máximo de 72 horas desde que tenga conocimiento de ella. Si la brecha entraña un alto riesgo para los derechos de los interesados, también debe notificarse directamente a estos (art. 34 RGPD). La omisión de la notificación o su retraso injustificado puede ser sancionada con multas de hasta 10 millones de euros o el 2% de la facturación global anual.

Preguntas frecuentes

¿Listo para cumplir el RGPD en su empresa?

Configure los tratamientos de datos de su empresa y descargue una política de privacidad conforme al RGPD y la LOPDGDD en minutos. Gratuito para la versión básica.

Cree su Politica de Privacidad (RGPD/LOPD)Explorar todas las plantillas

Gratis · PDF instantáneo · Sin cuenta requerida