La política de privacidad y las prácticas de gestión de datos describen cómo una organización reúne, emplea, comparte y resguarda la información personal. Plantear las preguntas adecuadas ayuda a identificar riesgos legales, de reputación y de operación, además de asegurar el cumplimiento de normativas como el Reglamento General de Protección de Datos (RGPD) y otras leyes locales pertinentes. A continuación se ofrece un conjunto integral de preguntas esenciales clasificadas por áreas, acompañadas de ejemplos, criterios de respuesta y situaciones ilustrativas.
Preguntas sobre recopilación de datos
- ¿Qué clases de datos personales se obtienen? (por ejemplo, identificación, información de contacto, detalles financieros, datos de salud, elementos biométricos o ubicación)
- ¿Se manejan datos sensibles o pertenecientes a categorías especiales? En caso afirmativo, ¿qué fundamento legal los respalda y qué medidas adicionales se implementan?
- ¿Se reúnen datos de menores de edad? ¿De qué manera se comprueba la edad y cómo se gestiona la obtención del consentimiento de sus representantes cuando corresponde?
- ¿La información se obtiene mediante procedimientos automáticos (cookies, sensores, aplicaciones móviles) o mediante ingreso manual? ¿Existen variaciones en su tratamiento?
Ejemplo: una app de salud que pide información médica y datos de ubicación necesita fundamentar esa recolección con una base jurídica clara y aplicar medidas de seguridad estrictas.
Cuestiones relativas a su propósito y utilización
- ¿Para qué finalidades concretas se usan los datos? (prestación de servicio, facturación, mejora de producto, marketing, análisis, cumplimiento legal)
- ¿Se usan los datos para toma de decisiones automatizada o perfilado? ¿Qué impacto tiene esto en la persona afectada?
- ¿Se reutilizarán los datos para finalidades nuevas no previstas inicialmente? ¿Cómo se informará y obtendrá nuevo consentimiento si procede?
Criterio de respuesta razonable: finalidades específicas, limitadas y documentadas; perfilado explícito con explicaciones y opciones de exclusión cuando afecte derechos.
Preguntas sobre base jurídica y consentimiento
- ¿Cuál es la base jurídica para cada tratamiento? (consentimiento, ejecución de contrato, obligación legal, interés legítimo, interés público, protección vital)
- Si se basa en consentimiento, ¿es libre, específico, informado e inequívoco? ¿Cómo se documenta y cómo puede revocarse?
- Si se invoca interés legítimo, ¿se ha realizado un test de ponderación documentado entre intereses de la organización y derechos del individuo?
Caso práctico: muchas empresas usan el interés legítimo para analítica; la organización debe conservar el análisis de impacto y ofrecer mecanismos de oposición.
Cuestiones sobre la conservación y la eliminación
- ¿Cuánto tiempo se conservan los distintos tipos de datos? ¿Existen plazos diferenciados por finalidad?
- ¿Qué criterios determinan la retención (obligaciones legales, práctica comercial, consentimiento)?
- ¿Cómo se gestionan la supresión y el bloqueo de datos cuando se solicita por derecho de olvido o cuando expira la necesidad?
Orientación práctica: datos de facturación y contables suelen guardarse según obligaciones fiscales —frecuentemente varios años— mientras que datos de marketing deberían eliminarse cuando el consentimiento se retira.
Consultas sobre el acceso, la rectificación y los derechos de las personas interesadas
- ¿De qué manera pueden las personas ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y a no quedar sometidas a decisiones automatizadas?
- ¿Qué tiempos y pasos aplica la organización para atender estas solicitudes, y existen formularios o vías de contacto que resulten fáciles de usar?
- ¿Se requiere verificar la identidad para impedir revelaciones no autorizadas, y cómo se armoniza esa seguridad con la simplicidad al ejercer dichos derechos?
Una buena señal es contar con procedimientos divulgados, tiempos de respuesta ajustados a la normativa vigente (por ejemplo, contestar en un plazo máximo de un mes) y diversos canales de atención como correo electrónico, formularios o teléfono.
Preguntas sobre terceros y transferencia de datos
- ¿Se comparten datos con terceros? ¿Quiénes son (proveedores, socios, anunciantes, autoridades)?
- ¿Qué contratos o cláusulas existen con terceros para garantizar protección equivalente (cláusulas contractuales tipo, acuerdos de encargado de tratamiento)?
- ¿Se realizan transferencias internacionales de datos? ¿Qué garantías se aplican (decisiones de adecuación, garantías apropiadas, reglas corporativas vinculantes)?
Ejemplo: una plataforma que recurre a servicios en la nube ha de contar con cláusulas de encargado del tratamiento y con garantías adecuadas para realizar transferencias más allá del área económica aplicable.
Preguntas sobre seguridad y medidas técnicas y organizativas
- ¿Qué tipo de medidas técnicas, como cifrado, gestión de permisos o respaldos, y qué disposiciones organizativas, como normas internas, capacitación o supervisión de subprocesadores, se han implementado?
- ¿Se llevan a cabo de forma periódica pruebas de seguridad, revisiones técnicas y análisis de vulnerabilidades? ¿Cada cuánto tiempo se efectúan?
- ¿Qué certificaciones o normas se aplican, por ejemplo ISO 27001, y están los informes de auditoría disponibles para clientes o autoridades reguladoras?
Dato útil: una organización responsable debe poder describir el cifrado en tránsito y en reposo, gestión de claves y procedimiento de respuesta a incidentes.
Consultas acerca de incidentes de seguridad
- ¿Hay un plan establecido para gestionar incidencias y un protocolo de aviso sobre brechas dirigido a autoridades y personas afectadas, así como un plazo definido para emitir dicha notificación?
- ¿Qué parámetros se emplean para determinar la gravedad y el nivel de riesgo que una situación puede representar para los derechos y libertades de las personas?
- ¿Se registran las conclusiones obtenidas y las acciones de mejora implementadas después de una brecha?
Ejemplo real genérico: una filtración que expone datos personales debe ser notificada a la autoridad competente dentro del plazo establecido por normativa, y a los afectados si supone alto riesgo.
Preguntas sobre anonimización y seudonimización
- ¿Los datos se anonimizan o seudonimizan para análisis estadístico? ¿Cuál es la técnica empleada y el nivel de reversibilidad?
- ¿Se mantienen separadas las claves de reidentificación y quién tiene acceso a ellas?
Recomendación: los datos realmente anónimos no permiten volver a identificar a una persona, mientras que la seudonimización disminuye los riesgos, aunque en muchas legislaciones sigue considerándose información personal.
Preguntas sobre niños y materiales dirigidos a menores
- ¿De qué forma se gestiona el consentimiento de menores y se comprueba la edad? ¿Qué rangos de edad establece la organización?
- ¿Se restringe la recopilación de datos de menores a lo estrictamente necesario y se evita la publicidad personalizada cuando resulte inapropiada?
Nota normativa: el RGPD determina las edades mínimas para dar consentimiento digital, que por lo general se sitúan en 16 años, aunque los estados miembros pueden rebajarlas hasta los 13.
Preguntas sobre marketing y uso comercial
- ¿Cómo se obtienen y gestionan los consentimientos para comunicaciones comerciales? ¿Existen listas de exclusión y opciones claras de desuscripción?
- ¿Se venden datos a terceros o se usan para perfiles comerciales? ¿Cómo se informa al usuario y qué controles ofrece?
Buenas prácticas: brindar opciones detalladas para gestionar cada tipo de comunicación y evitar encubrir las prácticas comerciales tras un lenguaje excesivamente técnico.
Cuestiones relativas a la claridad y la redacción de la política
- ¿La política está escrita con un lenguaje sencillo y comprensible, e incluye ejemplos específicos sobre cómo se manejan los datos?
- ¿Se presentan los aspectos esenciales en un formato conciso y se ofrecen accesos rápidos a información clave (clases de datos, propósitos, derechos)?
- ¿Se revisa la política de forma periódica y se informa a los usuarios cuando ocurren modificaciones relevantes?
Indicador de confianza: ofrece una visión clara mediante transparencia continua, presenta resúmenes visuales comprensibles y plantea preguntas frecuentes que aclaran situaciones habituales.
Cuestiones sobre responsabilidad, gobernanza y procesos de auditoría
- ¿Qué persona dentro de la organización asume la responsabilidad de la protección de datos, ya sea como delegado de protección de datos o figura equivalente, y de qué manera se puede establecer contacto con él o ella?
- ¿Se llevan a cabo auditorías tanto internas como externas y se conserva un registro actualizado de las actividades de tratamiento?
- ¿Hay políticas de capacitación permanente para el personal y procedimientos para valorar el desempeño de los proveedores?
Señal positiva: nombramiento visible de responsable de privacidad y registros accesibles para autoridades si se requieren.
Cómo analizar las respuestas obtenidas
- Coherencia: las respuestas deben coincidir con las prácticas técnicas observables (por ejemplo, si dicen no compartir datos y se detectan integraciones con terceros, hay un problema).
- Especificidad: evitar respuestas vagas como «se toman medidas razonables»; preferir medidas concretas y plazos definidos.
- Riesgo residual: evaluar si los controles reducen el riesgo a un nivel aceptable para la actividad y para los afectados.
Ejemplo de señal de alarma: ausencia de un proceso claro para gestionar solicitudes de derechos o falta de cláusulas contractuales con subcontratistas.
Medidas concretas a seguir después de plantear las preguntas
- Solicitar documentación: políticas, acuerdos de tratamiento, evaluaciones de impacto (EIPD), resultados de auditorías y registros de transferencias.
- Realizar pruebas: ejercer derechos de acceso y supresión, analizar cookies y conexiones de red, revisar permisos de aplicaciones móviles.
- Escalar: si las respuestas son insuficientes, plantear reclamación ante la autoridad competente o buscar asesoría legal especializada.
Hacer las preguntas adecuadas sobre política de privacidad y uso de datos permite transformar incertidumbres en decisiones informadas: identificar responsabilidades, mitigar riesgos técnicos y legales, proteger derechos individuales y mantener la confianza. Una evaluación rigurosa combina comprobación documental, pruebas prácticas y criterios claros sobre transparencia, proporcionalidad y seguridad; la calidad de las respuestas revela tanto la madurez de la organización como su compromiso real con la privacidad y el respeto a las personas.


