Cuándo se aplican los avisos de privacidad y qué hacer después

Los avisos de privacidad se aplican cuando una empresa SaaS recopila datos personales directamente, los recibe de otra fuente o cambia un flujo existente de forma que también cambia lo que debe comunicar a las personas. El siguiente paso práctico no es preguntar si ya existe una política en algún lugar. Es confirmar qué actividad está en alcance, si entra en juego el artículo 13 o el 14 del GDPR, quién es responsable de la actualización, dónde debe mostrarse la información y qué evidencia demuestra que el aviso publicado coincide con la realidad.

Cuándo suelen aplicarse

El primer caso es la recogida directa: formularios de alta, solicitudes de demo, tickets de soporte, registros a eventos o eventos de producto vinculados a una cuenta identificable. Aquí suele aplicar el artículo 13.

El segundo caso es la obtención indirecta: enriquecimiento de leads, listas importadas, datos de empleados cargados por clientes o archivos de due diligence. Aquí el artículo 14 suele cambiar el análisis y el calendario.

El tercer caso es un cambio material en el flujo: nuevos campos, nuevas herramientas, nuevos proveedores o nueva telemetría identificable pueden volver inexacto un aviso que antes era correcto.

Qué hacer después

1. Definir el flujo exacto y la fuente de datos

Nombra la actividad con precisión y deja claro si los datos llegan directamente de la persona o desde otra fuente.

2. Confirmar los hechos que el aviso debe reflejar

Aclara:

• qué categorías de datos se tratan;
• con qué finalidad;
• cuál es la base jurídica;
• quién recibe los datos;
• si hay transferencias, perfilado o decisiones automatizadas;
• cómo se determina la retención.

3. Elegir el patrón de entrega

La respuesta puede ser una actualización del aviso central, texto en el formulario, mensajes just-in-time en producto, lenguaje de onboarding o una combinación. Lo importante es que la persona reciba la información correcta en el momento en que importa.

4. Asignar responsable y disparador

Define quién detecta cambios, quién revisa si hace falta actualizar la transparencia, quién aprueba el texto, quién lo publica y quién conserva la evidencia.

5. Guardar evidencia útil

Suelen servir:

• el texto vigente;
• historial de cambios;
• capturas de dónde aparece el aviso;
• registros de aprobación y publicación;
• notas sobre el análisis del artículo 13 o 14.

Errores comunes

Un error frecuente es tratar el tema solo como una corrección de texto. Otro es confiar en una única página web para todos los contextos. También es común olvidar la recogida indirecta o revisar los avisos solo por calendario y no tras cambios materiales. Y si nadie puede demostrar qué se publicó y cuándo, el control es más débil de lo que parece.

Ejemplos prácticos

Un formulario de demo con nuevos campos requiere revisar el texto del formulario, el uso en CRM y el aviso central. Una lista de leads importada suele activar cuestiones del artículo 14. El onboarding enterprise con datos de empleados exige claridad sobre roles y responsabilidades. Y la nueva telemetría identificable obliga a revisar finalidad, destinatarios, retención y visibilidad para la persona.

Conclusión práctica

Los avisos de privacidad se aplican cuando las personas necesitan información clara, oportuna y exacta sobre el tratamiento de sus datos personales. Lo que viene después es operativo: delimitar la actividad, confirmar los hechos, elegir el canal correcto, asignar ownership y conservar evidencia. Así el aviso pasa a formar parte de la preparación para lanzamientos y auditorías, en lugar de convertirse en una urgencia legal de última hora.