¿El texto de protección de datos es lo mismo que la política de privacidad?

No exactamente. La política de privacidad es el documento completo y detallado, generalmente en una página propia. El texto de protección de datos (o cláusula informativa) es el resumen que aparece en cada punto de recopilación de datos, con un enlace a esa política completa. Ambos son necesarios y se complementan.

¿Qué ocurre si mi texto está incompleto?

Depende de qué es lo que falta. Omitir la identidad del responsable, la finalidad o los derechos del usuario son infracciones del artículo 13 del RGPD. La AEPD puede iniciar un procedimiento sancionador tanto por denuncia de un usuario como de oficio. Las multas para infracciones de este tipo pueden llegar hasta los 20 millones de euros o el 4% de la facturación anual global, aunque en la práctica las sanciones a webs pequeñas suelen moverse en rangos de 3.000 a 10.000 euros.

¿Con qué frecuencia debo revisar mis textos?

Cada vez que cambie algo relevante: si incorporas nuevas herramientas que traten datos, si cambias de proveedor de hosting o de email marketing, si modificas tu oferta de productos, o si la normativa se actualiza. Como mínimo, una revisión anual es una buena práctica.

Texto de protección de datos: ejemplos para tu web

Ilustración de varios textos legales de privacidad, un icono de candado y una balanza de la justicia

Cuando la mayoría de propietarios de sitios web piensa en el texto de protección de datos, piensa en la página de política de privacidad. Sin embargo, esa página es solo uno de los puntos donde tu web tiene la obligación legal de informar a los usuarios sobre el tratamiento de sus datos.

El formulario de contacto, el banner de cookies, el checkout de tu tienda, el formulario de empleo, incluso la factura que envías a tus clientes: cada una de esas secciones constituye un momento en el que se recogen datos personales, y cada una requiere su propio texto informativo adaptado al contexto.

En este artículo encontrarás qué exige la normativa, qué elementos no pueden faltar, y seis textos de ejemplo listos para adaptar y usar directamente en tu web.

Qué es un texto de protección de datos y dónde debe aparecer

Un texto de protección de datos (también llamado cláusula informativa, aviso legal de protección de datos o cláusula RGPD) es el fragmento de texto que informa al usuario de que sus datos van a ser tratados, con qué finalidad, durante cuánto tiempo se conservarán, quién es el responsable y qué derechos tiene.

No existe un único formato ni una redacción estándar obligatoria. Lo que sí exige la normativa es que esa información esté disponible en el momento en que se recogen los datos o antes de la recopilación. Eso incluye:

El banner de cookies (antes de que se instalen cookies no esenciales)
Formularios de contacto
Formularios de suscripción a newsletter
El proceso de compra en una tienda online
Formularios de solicitud de empleo
Facturas y documentos comerciales dirigidos a personas físicas

Qué exige el RGPD y la LOPDGDD para estos textos

El artículo 13 del RGPD establece la información mínima que debe proporcionarse cuando se recogen datos directamente del usuario. La LOPDGDD, en su artículo 11, concreta cómo aplicar ese deber de información en el contexto español, permitiendo un enfoque por capas: una primera capa con la información esencial (visible en el punto de recopilación) y una segunda capa con el detalle completo (accesible a través de un enlace a la política de privacidad).

En la práctica, esto significa que el texto que aparece en un formulario o en un banner no necesita ser exhaustivo, pero sí debe incluir los elementos mínimos que veremos a continuación. El resto puede remitirse a la política de privacidad completa mediante un enlace.

Elementos que no pueden faltar en ningún texto de protección de datos

Independientemente del contexto (formulario, banner, factura...), todo texto de protección de datos debe incluir:

Identidad del responsable del tratamiento: nombre o razón social de la empresa o profesional
Finalidad del tratamiento: para qué se van a usar los datos, de forma concreta y específica
Base legal: el motivo que legitima el tratamiento (consentimiento, contrato, obligación legal, interés legítimo...)
Destinatarios: si los datos se van a compartir con terceros, hay que indicarlo
Plazo de conservación de los datos o criterios utilizados para determinarlo
Derechos del usuario: acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento
Cómo ejercer esos derechos: dirección de correo electrónico o formulario habilitado para ello
Enlace a la política de privacidad completa: para acceder a la información ampliada

6 textos de protección de datos listos para adaptar

Estos textos son ejemplos orientativos que debes adaptar con los datos de tu empresa (nombre, finalidad concreta, email de contacto, enlace a tu política de privacidad) y en ningún caso constituyen asesoramiento jurídico.

1. Banner de cookies / aviso de consentimiento

Este es el texto que aparece en tu banner cuando el usuario llega por primera vez a la web. Debe ser claro, breve y permitir al usuario aceptar, rechazar o configurar las cookies antes de su instalación (salvo las técnicas).

[NOMBRE DE TU EMPRESA] utiliza cookies propias y de terceros. Las cookies técnicas son necesarias para el funcionamiento del sitio. Las cookies analíticas y publicitarias solo se activarán si das tu consentimiento. Puedes aceptarlas, rechazarlas o configurarlas según tus preferencias. Más información en nuestra política de cookies.
[Aceptar todas] [Rechazar todas] [Configurar preferencias]

Nota: el botón de opt-out (rechazo) debe tener el mismo peso visual que el de opt-in (aceptación). Opciones premarcadas o botones de «Rechazar» ocultos son infracciones documentadas por la AEPD.

2. Formulario de contacto

Texto que debe aparecer debajo de los campos del formulario, antes del botón de envío.

En cumplimiento del RGPD y la LOPDGDD, [NOMBRE DE TU EMPRESA] tratará los datos que nos facilites con la finalidad de atender tu consulta o solicitud. La base legal del tratamiento es el consentimiento del usuario al enviar el formulario o el interés legítimo de responder a la consulta. Los datos no serán cedidos a terceros salvo obligación legal. Puedes ejercer tus derechos de acceso, rectificación, supresión y oposición escribiendo a [email de contacto]. Más información en nuestra política de privacidad.

☐ He leído y acepto la política de privacidad.

3. Formulario de suscripción a newsletter

Cuando la finalidad es el envío de comunicaciones comerciales, el consentimiento debe ser específico para esa finalidad y no puede estar vinculado a otra acción (como enviar una consulta).

[NOMBRE DE TU EMPRESA] tratará tus datos para enviarte comunicaciones sobre nuestros productos y novedades. Puedes darte de baja en cualquier momento a través del enlace incluido en cada correo. Base legal: consentimiento. Consulta nuestra política de privacidad para información adicional sobre el tratamiento de tus datos y el ejercicio de tus derechos.

☐ Acepto recibir comunicaciones comerciales de [NOMBRE DE TU EMPRESA].

Nota: esta casilla no debe estar marcada por defecto y debe ser independiente de cualquier otra casilla del formulario.

4. Proceso de compra en ecommerce (checkout)

En una tienda online, los datos del cliente se tratan para gestionar el pedido. La base legal aquí no es el consentimiento, sino la ejecución de un contrato, por lo que el texto debe cambiar.

[NOMBRE DE TU EMPRESA] tratará los datos que facilites durante el proceso de compra con la finalidad de gestionar tu pedido, procesar el pago y enviarte la confirmación. La base legal es la ejecución del contrato. Los datos podrán ser cedidos a empresas de transporte y pasarelas de pago para completar el servicio. Puedes ejercer tus derechos en [email de contacto]. Más información en nuestra política de privacidad.

Si además quieres enviar comunicaciones comerciales a los clientes, necesitarás una casilla de consentimiento separada para esa finalidad específica.

5. Formulario de solicitud de empleo

Los datos de candidatos requieren especial atención: solo deben usarse para la selección y no conservarse más tiempo del necesario (generalmente un año si no se produce la incorporación).

Los datos personales que nos facilites a través de este formulario serán tratados por [NOMBRE DE TU EMPRESA] con la finalidad de gestionar tu candidatura en los procesos de selección actuales y futuros. Los datos se conservarán durante un máximo de [indicar plazo]. No se cederán a terceros sin tu consentimiento. Puedes ejercer tus derechos escribiendo a [email de contacto]. Más información en nuestra política de privacidad.

☐ He leído y acepto la política de privacidad y el tratamiento de mis datos con fines de selección.

6. Factura o documento comercial

Aunque la LOPDGDD no especifica expresamente que las facturas deban incluir un texto de protección de datos, sí se desprende del deber general de información del RGPD cuando el documento contiene datos de personas físicas (clientes autónomos, particulares...) y estas no hayan sido informadas previamente sobre el tratamiento de sus datos.

De conformidad con el RGPD y la LOPDGDD, [NOMBRE DE TU EMPRESA] trata los datos incluidos en este documento con la finalidad de gestionar la relación comercial y cumplir con las obligaciones legales y fiscales correspondientes. Puedes ejercer tus derechos de acceso, rectificación y supresión escribiendo a [email de contacto]. Más información en nuestra política de privacidad.

Errores frecuentes en los textos de protección de datos

Usar una sola casilla para varias finalidades

Si quieres enviar newsletter y también hacer seguimiento publicitario, necesitas una casilla para cada finalidad. Un solo opt-in o aceptación no cubre ambas.

Textos genéricos sin finalidad concreta

«Sus datos serán tratados conforme a la normativa vigente» no es suficiente. La AEPD ha cuestionado expresamente en procedimientos sancionadores los textos que no especifican la finalidad del tratamiento de forma clara.

Casillas premarcadas por defecto

Cualquier casilla de consentimiento que aparezca ya marcada invalida ese consentimiento.

No incluir texto en todos los puntos de recopilación

Tener una política de privacidad en el footer no exime de incluir el aviso informativo en cada formulario o punto de contacto donde se recojan datos.

No actualizar los textos cuando cambia la web

Si añades nuevas herramientas (un CRM, un pixel de seguimiento, un chatbot), los textos de protección de datos deben actualizarse para reflejar esos nuevos tratamientos.

Texto de cookies que no corresponde con las cookies reales

Si tu política de cookies describe tres tipos de cookies y tu web instala doce, hay una discrepancia que puede ser objeto de sanción.

Cookiebot te ayuda a gestionar la privacidad

Mantener estos textos actualizados manualmente puede ser razonable cuando lanzas una web por primera vez. El problema es que las webs rara vez permanecen estáticas. Con el tiempo se añaden nuevos plugins, herramientas de analítica o integraciones de terceros, y cada uno de estos cambios puede introducir cookies o tecnologías de seguimiento que no estaban contempladas en los textos originales.

Aquí es donde Cookiebot puede ayudarte. Cookiebot escanea tu web automáticamente, detecta las cookies y tecnologías de rastreo que realmente están activas para que la información se mantenga actualizada. Además, funciona con plataformas como WordPress, Shopify, Wix, Squarespace y otros CMS habituales, y puede implementarse sin necesidad de conocimientos técnicos.

Prueba Cookiebot gratis durante 14 días y comprueba si los textos de cookies de tu web están al día.

Iniciar prueba gratuita

Texto de protección de datos: ejemplos listos para usar

Mantente al día