En 2026, cualquier empresa u organización que recoja datos personales a través de su sitio web está obligada a publicar una política de privacidad. El RGPD lo exige, y la Agencia Española de Protección de Datos (AEPD) lo controla activamente, al igual que otras autoridades de protección de datos europeas. Sin embargo, muchas políticas de privacidad siguen siendo incompletas, vagas o puramente decorativas. Una política de privacidad que no contiene toda la información exigida por los artículos 13 y 14 del RGPD equivale jurídicamente a no tener ninguna. Para comprender el alcance completo de los riesgos, consulta nuestro artículo sobre política de privacidad obligatoria: riesgos y multas.
Este artículo detalla uno por uno los elementos que tu política de privacidad debe incluir obligatoriamente para cumplir con el RGPD en 2026.
Por qué cada elemento importa
Los artículos 13 y 14 del RGPD establecen una lista precisa de la información que el responsable del tratamiento debe proporcionar a los interesados. El artículo 12 añade que esta información debe comunicarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
No es una recomendación, sino una obligación legal. Una política de privacidad incompleta constituye un incumplimiento de estos artículos, sancionable en virtud del artículo 83 del RGPD. En España, la AEPD aplica el RGPD junto con la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre), que complementa el RGPD con disposiciones nacionales específicas. Las autoridades han sancionado en múltiples ocasiones a empresas cuya política de privacidad existía pero no contenía todos los elementos obligatorios.
Para saber si tu organización está sujeta a estas obligaciones, consulta nuestra guía RGPD: quién está realmente afectado.
Los elementos obligatorios de una política de privacidad
Estos son los 11 elementos que toda política de privacidad conforme al RGPD debe contener. Cada uno corresponde a una exigencia específica de los artículos 13 o 14 del reglamento.
1. Identidad y datos de contacto del responsable del tratamiento
Tu política debe identificar claramente quién es responsable del tratamiento de los datos: denominación social completa, domicilio social, dirección de correo electrónico de contacto y número de identificación fiscal (CIF en España). Si se ha designado un Delegado de Protección de Datos (DPD), sus datos de contacto también deben figurar (artículo 13.1.b).
2. Finalidades y base jurídica de cada tratamiento
Para cada tratamiento de datos, debes indicar la finalidad (por qué se recogen los datos) y la base jurídica correspondiente entre las seis previstas por el artículo 6 del RGPD: consentimiento, ejecución de un contrato, obligación legal, intereses vitales, interés público o intereses legítimos. Por ejemplo: “Recogemos tu dirección de correo electrónico para el envío de nuestro boletín (base: consentimiento)” o “Tratamos tus datos de facturación para la ejecución de tu pedido (base: ejecución del contrato).“
3. Categorías de datos personales recogidos
Enumera de forma exhaustiva los tipos de datos que recoges: datos de identificación (nombre, apellidos, email), datos de conexión (dirección IP, registros), datos de pago (número de tarjeta, a través de proveedor de pago), datos de navegación (páginas visitadas, cookies) y datos de localización en su caso. La transparencia es esencial: el usuario debe saber exactamente qué datos posees sobre él.
4. Destinatarios de los datos
Identifica a todas las personas o entidades que tienen acceso a los datos: equipos internos (atención al cliente, marketing, equipo técnico), encargados del tratamiento (proveedor de alojamiento, procesador de pagos, herramienta de emailing) y eventuales socios comerciales. El artículo 13.1.e exige esta información incluso cuando los destinatarios son encargados que actúan por tu cuenta.
5. Transferencias fuera de la Unión Europea
Si se transfieren datos a países situados fuera de la UE — por ejemplo mediante el uso de servicios en la nube estadounidenses — debes mencionarlo explícitamente. Debes indicar los países afectados, el mecanismo de garantía utilizado (decisión de adecuación de la Comisión Europea, cláusulas contractuales tipo (CCT) o normas corporativas vinculantes) y cómo el usuario puede obtener una copia de dichas garantías (artículo 13.1.f).
6. Plazos de conservación de los datos
Para cada categoría de datos, especifica el plazo de conservación o los criterios utilizados para determinarlo (artículo 13.2.a). Por ejemplo: “Datos de clientes: 3 años tras el fin de la relación comercial. Datos de facturación: 6 años (obligación legal, Código de Comercio). Datos de navegación: 13 meses.” Evita formulaciones vagas como “el tiempo necesario” sin mayor precisión.
7. Derechos de las personas interesadas
El RGPD otorga a los usuarios un conjunto de derechos que tu política debe enumerar y explicar claramente: derecho de acceso (artículo 15), derecho de rectificación (artículo 16), derecho de supresión o “derecho al olvido” (artículo 17), derecho a la limitación del tratamiento (artículo 18), derecho a la portabilidad de los datos (artículo 20) y derecho de oposición (artículo 21). La LOPDGDD añade disposiciones específicas sobre el ejercicio de estos derechos en el ámbito español.
8. Modalidades de ejercicio de los derechos
No basta con enumerar los derechos: debes indicar concretamente cómo ejercerlos. Especifica la dirección de correo electrónico dedicada (por ejemplo: dpd@tusitio.es), un formulario de contacto si lo hay, la dirección postal para solicitudes escritas y el plazo de respuesta (1 mes máximo según el artículo 12.3 del RGPD, prorrogable 2 meses en caso de complejidad). Menciona también los eventuales justificantes de identidad requeridos para tramitar la solicitud.
9. Derecho de reclamación ante la autoridad de control
El artículo 13.2.d obliga a informar al usuario de su derecho a presentar una reclamación ante una autoridad de control. En España, es la AEPD (Agencia Española de Protección de Datos). Indica el nombre de la autoridad, su dirección postal y un enlace a su servicio de reclamaciones en línea. Esta mención se olvida con frecuencia, pero es obligatoria.
10. Cookies y rastreadores
Aunque dispongas de una política de cookies separada, tu política de privacidad debe mencionar el uso de cookies y rastreadores, resumir brevemente las categorías de cookies utilizadas (esenciales, analíticas, publicitarias) y remitir a tu política de cookies para la información detallada y la gestión del consentimiento.
11. Modificación de la política
Indica cómo se informará a los usuarios en caso de modificación sustancial de la política: notificación por correo electrónico, aviso informativo en el sitio web, fecha de última actualización visible al inicio o al final del documento. Indica la fecha de la versión actual e, idealmente, mantén un historial de versiones accesible.
Los errores más comunes
Incluso con la mejor intención, ciertos errores se repiten con frecuencia en las políticas de privacidad:
Formulaciones demasiado vagas. Frases como “utilizamos tus datos para mejorar nuestros servicios” no cumplen la exigencia de transparencia. Cada finalidad debe describirse de manera específica y concreta.
Copiar y pegar de un competidor. Cada sitio web tiene tratamientos de datos diferentes. Una política copiada será necesariamente inexacta para tu actividad, y constituye un incumplimiento en sí mismo.
Base jurídica ausente o incorrecta. Mencionar una finalidad sin indicar la base jurídica correspondiente, o invocar el consentimiento cuando el tratamiento se basa realmente en la ejecución de un contrato, constituye un incumplimiento.
Ausencia de datos de contacto del DPD. Si tu organización tiene la obligación de designar un Delegado de Protección de Datos (artículo 37), sus datos de contacto deben figurar en la política. Su ausencia es un incumplimiento diferenciado.
Política obsoleta. Una política que menciona servicios que ya no utilizas, o que no cubre nuevos tratamientos añadidos desde su redacción, ya no es conforme. La actualización regular es imprescindible.
Documento no accesible. La política debe ser accesible en 2 clics máximo desde cualquier página del sitio. Un enlace únicamente en el pie de página de la página principal no es suficiente si la navegación interna no lo replica.
Cómo obtener una política de privacidad completa
Ante la complejidad de las exigencias, existen varias soluciones:
Contratar a un abogado especializado (200-500 €): es la solución más personalizada, pero el coste y el plazo (varias semanas) pueden ser un freno, especialmente para pymes y autónomos.
Redactarla uno mismo (0 € pero arriesgado): sin experiencia jurídica, el riesgo de omisión o error es elevado. Los artículos 13 y 14 del RGPD contienen más de 20 puntos de información obligatoria, y una sola omisión basta para que el documento no sea conforme.
Usar una IA genérica (0 € + revisión de abogado 150-300 €): herramientas como ChatGPT pueden producir un primer borrador, pero no conocen las especificidades de tu sitio web y requieren revisión jurídica para garantizar el cumplimiento.
Usar una herramienta jurídica especializada (14,90-19,90 €): soluciones como WebLegal.ai te guían paso a paso a través de cada elemento obligatorio, garantizando que no se omita ninguna mención. El documento se genera en minutos, adaptado a tu actividad y conforme a las últimas exigencias del RGPD. Para una protección completa, considera los 4 documentos legales obligatorios para tu sitio web.
Conclusión
Una política de privacidad conforme al RGPD no es un simple texto jurídico que marcar en una lista de cumplimiento: es una herramienta de transparencia que protege tanto a tus usuarios como a tu empresa. Cada uno de los 11 elementos detallados en este artículo responde a una exigencia específica del reglamento. Omitir uno solo expone a tu organización a sanciones de hasta 20 millones de euros o el 4 % de tu facturación mundial. En 2026, con la intensificación de los controles por parte de la AEPD y las autoridades europeas, no dejes nada al azar — asegúrate de que tu política de privacidad es completa, está actualizada y es accesible.