Cumplimiento

Plantilla política de privacidad RGPD 2026

Plantilla de política de privacidad RGPD conforme al artículo 13. Estructura, cláusulas obligatorias y errores que la AEPD sanciona en 2026.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20265 min read

En una frase. Una política de privacidad RGPD conforme exige doce bloques de información obligatorios bajo el artículo 13, redacción accesible y revisión cada vez que cambia una finalidad o un encargado; el resto se sanciona.

Puntos clave

  • El artículo 13 del RGPD impone doce categorías de información mínima; omitir cualquiera de ellas es infracción del artículo 83.5.b.
  • La AEPD sancionó en 2025 a más de 80 organizaciones por políticas de privacidad incompletas o ilegibles (importes entre 2.000 EUR y 90.000 EUR).
  • La política debe diferenciarse del aviso legal y de la política de cookies: confundirlos es una observación recurrente en las resoluciones AEPD.
  • Las bases jurídicas del artículo 6 deben asociarse a cada finalidad concreta, no enumerarse en bloque.
  • El plazo de conservación se exige por categoría de dato, no como cláusula genérica.

1. Qué exige el artículo 13 RGPD

La política de privacidad es el instrumento mediante el cual el responsable cumple la obligación de información del artículo 13 cuando los datos se obtienen del propio interesado. El artículo 14 se aplica cuando no se obtienen directamente. El contenido mínimo cubre identidad y contacto del responsable y del DPO, finalidades, bases jurídicas, destinatarios, transferencias internacionales, plazos de conservación, derechos del interesado, posibilidad de retirar consentimiento, derecho de reclamación ante la AEPD, carácter obligatorio o no de los datos y existencia de decisiones automatizadas.

2. Estructura recomendada de la plantilla

Bloque Contenido Base RGPD
1 Responsable y DPO art. 13.1.a-b
2 Finalidades art. 13.1.c
3 Base jurídica por finalidad art. 6
4 Destinatarios y encargados art. 13.1.e
5 Transferencias internacionales art. 13.1.f
6 Plazos de conservación art. 13.2.a
7 Derechos del interesado art. 13.2.b
8 Retirada del consentimiento art. 7.3
9 Reclamación AEPD art. 13.2.d
10 Obligación de aportar datos art. 13.2.e
11 Decisiones automatizadas art. 22
12 Actualización de la política art. 5.1.a

3. Identificación del responsable

Razón social, NIF, domicilio, correo electrónico y, si procede, datos del representante en la Unión cuando el responsable está fuera del EEE. Cuando exista delegado de protección de datos, debe indicarse un canal de contacto directo. La AEPD ha sancionado a empresas por facilitar únicamente un formulario web sin correo electrónico alternativo (PS/00345/2024, 15.000 EUR).

4. Finalidades del tratamiento

Cada finalidad debe describirse de forma concreta. Frases como “mejorar el servicio” o “fines comerciales” se consideran insuficientes. Si una misma categoría de datos sirve a varias finalidades (ejecución contractual y marketing), debe diferenciarse cada finalidad con su base jurídica propia.

5. Base jurídica por finalidad

El artículo 6 ofrece seis bases. La política debe asociar una base a cada finalidad: ejecución contractual para la prestación del servicio, consentimiento para comunicaciones comerciales, interés legítimo para fraude, obligación legal para conservación fiscal. La AEPD rechaza explícitamente el uso del interés legítimo como cláusula genérica sin ponderación documentada.

6. Destinatarios y encargados del tratamiento

Deben listarse las categorías de destinatarios (administraciones, entidades financieras, proveedores TI) y, idealmente, los principales encargados del tratamiento. El artículo 28 RGPD exige contrato escrito con cada encargado; la política de privacidad debe reflejar su existencia.

7. Transferencias internacionales

Si hay transferencia fuera del EEE, indicar el país, la garantía aplicada (decisión de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes) y el modo de obtener una copia. Las transferencias internacionales de datos son uno de los puntos de control prioritarios del CEPD.

8. Plazos de conservación

El artículo 5.1.e impone limitar la conservación a lo estrictamente necesario. La política debe indicar el plazo por categoría: datos de cliente durante la relación contractual más el período de prescripción de acciones (15 años civiles o 5 años mercantiles), datos de candidatos no contratados máximo dos años, datos de prospección comercial hasta retirada del consentimiento. La limitación de conservación RGPD es área frecuente de sanción.

9. Derechos del interesado y procedimiento de ejercicio

Acceso, rectificación, supresión, limitación, oposición, portabilidad y a no ser objeto de decisiones automatizadas. La política debe indicar canal, plazo (un mes ampliable a tres), gratuidad y derecho de reclamación ante la AEPD. Consulte la guía sobre derechos ARCO RGPD.

10. Errores frecuentes sancionados por la AEPD

  • Copia genérica de plantilla sin adaptar al responsable real.
  • Confundir aviso legal, política de cookies y política de privacidad en un único documento.
  • Omitir el plazo de conservación o sustituirlo por “el tiempo necesario”.
  • Listar las seis bases jurídicas del artículo 6 sin asociarlas a finalidades.
  • No mencionar al DPO cuando es obligatorio.
  • Enlace a la política inaccesible desde formularios de captación de datos.

11. Actualización y control de versiones

La política debe llevar fecha de última actualización visible y, preferentemente, registro de cambios. Cualquier modificación sustancial (nueva finalidad, nuevo encargado relevante, nueva transferencia) exige comunicación activa a los interesados cuando la base es consentimiento. El control de versiones es prueba del principio de responsabilidad proactiva del artículo 5.2.

12. Integración con el resto de cumplimiento

La política de privacidad es la cara visible de un sistema más amplio que incluye registro de actividades de tratamiento, procedimiento de brecha de seguridad y checklist RGPD operativa. Una política impecable con un registro inexistente no sobrevive a una inspección AEPD.

FAQ

¿Puedo usar una plantilla descargada sin adaptarla?

No. La AEPD considera que una política copiada sin adaptar al responsable concreto incumple el principio de transparencia. Las plantillas son punto de partida, no documento final.

¿Es obligatorio publicar el nombre del DPO?

El artículo 37.7 exige publicar los datos de contacto del DPO, no necesariamente su nombre. Un correo genérico tipo dpo@empresa.com es suficiente.

¿La política debe traducirse a todos los idiomas del sitio?

Sí, si el sitio se dirige a usuarios de distintos idiomas. La AEPD ha sancionado por presentar política únicamente en inglés a usuarios españoles (PS/00078/2024).

¿Cada cuánto debe revisarse?

No hay plazo legal, pero el estándar de mercado es revisión anual y revisión inmediata ante cualquier cambio sustancial de tratamiento, encargado o finalidad.

¿La política debe firmarse o aceptarse expresamente?

La política es informativa, no contractual. No requiere aceptación, salvo cuando incorpora cláusulas de consentimiento que sí deben recabarse mediante acción afirmativa diferenciada.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →