El Reglamento General de Protecci\u00f3n de Datos (GDPR) sigue siendo una de las normativas de privacidad m\u00e1s exigentes a nivel global. Da igual si gestionas un blog personal, un eCommerce o un SaaS: si tu web trata datos personales de residentes en la Uni\u00f3n Europea, el cumplimiento no es opcional.<\/p>\n\n\n\n
Adem\u00e1s del impacto reputacional, el incumplimiento puede implicar sanciones de hasta 20 millones de euros o el 4% de la facturaci\u00f3n anual global<\/strong> (lo que sea mayor). Por eso tiene sentido abordarlo como lo que es: un conjunto de procesos, documentaci\u00f3n y controles t\u00e9cnicos continuos.<\/p>\n\n\n\n A continuaci\u00f3n tienes una checklist completa<\/strong> (sin recortes) para auditar tu web y tu organizaci\u00f3n, con referencias a art\u00edculos concretos del GDPR y pasos pr\u00e1cticos de implementaci\u00f3n.<\/p>\n\n\n\n El General Data Protection Regulation (GDPR)<\/strong> es una ley de privacidad aplicada por la Uni\u00f3n Europea desde el 25 de mayo de 2018<\/strong>. Define reglas claras sobre c\u00f3mo se recogen, usan, almacenan y comparten<\/strong> los datos personales. Aplica tanto a empresas dentro de la UE como fuera de ella si procesan datos personales de residentes en la UE<\/strong>.<\/p>\n\n\n\n Antes de tocar textos legales o banners, hay una pregunta clave: \u00bfqu\u00e9 papel tiene tu negocio en el tratamiento de datos?<\/strong><\/p>\n\n\n\n Si tu organizaci\u00f3n decide la finalidad y los medios del tratamiento (por qu\u00e9 y c\u00f3mo se procesan los datos), eres Data Controller<\/strong> (responsable del tratamiento). Si tratas datos personales por cuenta de otra organizaci\u00f3n, eres Data Processor<\/strong> (encargado del tratamiento). En la pr\u00e1ctica, una misma empresa puede actuar en ambos roles seg\u00fan el flujo de datos.<\/p>\n\n\n\n Si tienes que priorizar, prioriza estos principios. Todo lo dem\u00e1s (textos, mecanismos, contratos, logs) deber\u00eda \u201ccolgar\u201d de aqu\u00ed.<\/p>\n\n\n\n Esta checklist est\u00e1 organizada por \u00e1reas. Cada punto indica a qui\u00e9n aplica y enlaza con el art\u00edculo de referencia del GDPR.<\/p>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Necesitas un listado de los tipos reales<\/strong> (las \u201ccolumnas\u201d) de datos personales que guardas (por ejemplo: nombre, n\u00famero de seguridad social, direcci\u00f3n). Para cada tipo, documenta de d\u00f3nde sale<\/strong>, con qui\u00e9n se comparte<\/strong>, para qu\u00e9 se usa<\/strong> y durante cu\u00e1nto tiempo<\/strong> se conserva.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n No se trata solo de bases de datos (por ejemplo, MySQL<\/strong>). Incluye tambi\u00e9n almacenes offline como papel<\/strong>. La idea es ver el flujo: formularios \u2192 CRM \u2192 email marketing \u2192 anal\u00edtica \u2192 soporte \u2192 backups, etc.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Tu web debe publicar una pol\u00edtica de privacidad accesible<\/strong> que describa todos los procesos vinculados al tratamiento de datos personales. Debe incluir (o enlazar claramente) los tipos de datos<\/strong> que se guardan y d\u00f3nde<\/strong> se almacenan.<\/p>\n\n\n\n GDPR Article 30 \u2013 Records of processing activities<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n La pol\u00edtica debe explicar la base jur\u00eddica (lawful basis)<\/strong> del tratamiento: por ejemplo, la ejecuci\u00f3n de un contrato<\/strong>.<\/p>\n\n\n\n GDPR Article 6 \u2013 Lawfulness of processing<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n El DPO (Delegado de Protecci\u00f3n de Datos)<\/strong> solo es obligatorio en tres escenarios:<\/p>\n\n\n\n Si necesitas DPO, debe conocer las directrices del GDPR y tambi\u00e9n los procesos internos de tu organizaci\u00f3n que involucren datos personales.<\/p>\n\n\n\n GDPR Article 37 \u2013 Designation of the data protection officer<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Aseg\u00farate de que las personas clave y quienes toman decisiones mantienen un conocimiento actualizado de la normativa de protecci\u00f3n de datos.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Si desarrollas o explotas software (por ejemplo, un SaaS), usa checklists de seguridad como punto de partida para asegurar que existen medidas t\u00e9cnicas adecuadas.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Processor<\/em><\/p>\n\n\n\n Muchas vulnerabilidades ocurren por colaboraci\u00f3n involuntaria de alguien con acceso a sistemas internos. La formaci\u00f3n debe cubrir estos riesgos y c\u00f3mo evitar incidentes.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Processor<\/em><\/p>\n\n\n\n Debes informar a tus clientes del uso de cualquier sub-processor<\/strong> (subencargado). El consentimiento se obtiene cuando aceptan tu pol\u00edtica de privacidad.<\/p>\n\n\n\n GDPR Article 28 \u2013 Processor<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Si tu empresa opera fuera de la UE y recopila datos de ciudadanos de la UE, debes designar un representante en uno de los Estados miembros<\/strong>. Esa persona gestiona cuestiones relacionadas con el tratamiento y debe poder ser contactada por la autoridad local.<\/p>\n\n\n\n GDPR Article 27 \u2013 Representatives of controllers or processors not established in the Union<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Las brechas de datos personales deben notificarse en 72 horas<\/strong> a la autoridad competente. Debes informar qu\u00e9 datos se han perdido, consecuencias y contramedidas adoptadas. Salvo que los datos filtrados estuviesen cifrados<\/strong>, tambi\u00e9n debes comunicar la brecha a la persona afectada (data subject) cuya informaci\u00f3n se ha perdido.<\/p>\n\n\n\n GDPR Article 33 \u2013 Notification of a personal data breach to the supervisory authority\nGDPR Article 34 \u2013 Communication of a personal data breach to the data subject<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Debe existir un contrato con cualquier proveedor que trate datos por tu cuenta (por ejemplo, el hosting<\/strong>). Ese contrato debe incluir instrucciones expl\u00edcitas y detallar: el objeto y la duraci\u00f3n del tratamiento, naturaleza y finalidad, tipos de datos y categor\u00edas de interesados, adem\u00e1s de obligaciones y derechos del controller.<\/p>\n\n\n\n Los mismos requisitos contractuales aplican cuando un processor contrata un sub-processor para ayudarle a cumplir actividades de tratamiento en nombre del controller.<\/p>\n\n\n\n GDPR Article 28 \u2013 Processor\nGDPR Article 29 \u2013 Processing under the authority of the controller or processor<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Necesitas un proceso claramente definido para gestionar solicitudes de acceso (DSAR: Data Subject Access Requests).<\/p>\n\n\n\n GDPR Article 15 \u2013 Right of access by the data subject<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Proporciona un mecanismo para corregir datos inexactos.<\/p>\n\n\n\n GDPR Article 16 \u2013 Right to rectification<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Automatiza el borrado de datos que ya no tengan uso. Ejemplo: eliminar autom\u00e1ticamente informaci\u00f3n de clientes cuyo contrato no se haya renovado.<\/p>\n\n\n\n GDPR Article 5 \u2013 Principles relating to processing of personal data<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Implementa un proceso para gestionar solicitudes de borrado (el llamado \u201cderecho al olvido\u201d<\/strong>).<\/p>\n\n\n\n GDPR Article 17 \u2013 Right to erasure (‘right to be forgotten’)<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Las personas usuarias tienen derecho a restringir c\u00f3mo se procesa su informaci\u00f3n.<\/p>\n\n\n\n GDPR Article 18 \u2013 Right to restriction of processing<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n La portabilidad exige entregar los datos en un formato estructurado, de uso com\u00fan y legible por m\u00e1quina<\/strong>.<\/p>\n\n\n\n GDPR Article 20 \u2013 Right to data portability<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Solo aplica si haces profiling<\/strong> (perfilado) u otras decisiones automatizadas que puedan afectar a la persona.<\/p>\n\n\n\n GDPR Article 22 \u2013 Automated individual decision-making, including profiling<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Si tu web recoge datos personales, debe haber un enlace visible a tu pol\u00edtica de privacidad y una confirmaci\u00f3n de que el usuario acepta t\u00e9rminos\/condiciones. El consentimiento requiere una acci\u00f3n afirmativa: las casillas pre-marcadas no est\u00e1n permitidas<\/strong>.<\/p>\n\n\n\n GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Debe estar escrita en t\u00e9rminos claros y sencillos, sin esconder su intenci\u00f3n. Si no, el acuerdo puede quedar invalidado. Si ofreces servicios a menores, debe ser lo bastante simple para que la entiendan.<\/p>\n\n\n\n GDPR Article 7.2 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n No puedes dise\u00f1ar un flujo donde aceptar sea un clic y retirar sea una odisea. Debe ser igual de simple.<\/p>\n\n\n\n GDPR Article 7.3 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Para menores de 16 a\u00f1os<\/strong>, debes asegurar el consentimiento de su tutor legal. Si el consentimiento se da por web, intenta garantizar que quien aprueba es el tutor y no el menor.<\/p>\n\n\n\n GDPR Article 8 \u2013 Conditions applicable to child’s consent in relation to information society services<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Por ejemplo, notificando por email cambios pr\u00f3ximos. La comunicaci\u00f3n debe explicar de forma simple qu\u00e9 se ha modificado.<\/p>\n\n\n\n GDPR Article 7 \u2013 Conditions for consent<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Revisa regularmente tus pol\u00edticas por cambios, su eficacia real, cambios en c\u00f3mo tratas datos y cambios en la situaci\u00f3n de otros pa\u00edses a los que fluyen tus datos.<\/p>\n\n\n\n GDPR Article 25 \u2013 Data protection by design and by default<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller<\/em><\/p>\n\n\n\n Esto solo aplica si realizas tratamiento a gran escala, profiling u otras actividades con alto riesgo<\/strong> para derechos y libertades. En esos casos se requiere una Data Protection Impact Assessment (DPIA)<\/strong>.<\/p>\n\n\n\n GDPR Article 35 \u2013 Data protection impact assessment<\/p>\n\n<\/div>\n\n\n\n Aplica a: Data Controller, Data Processor<\/em><\/p>\n\n\n\n Solo transfiere datos fuera de la UE a pa\u00edses con un nivel adecuado de protecci\u00f3n. Adem\u00e1s, revela estos flujos transfronterizos en tu pol\u00edtica de privacidad. Para transferencias a pa\u00edses sin adecuaci\u00f3n, utiliza Standard Contractual Clauses (SCCs)<\/strong> o Binding Corporate Rules (BCRs)<\/strong>.<\/p>\n\n\n\n GDPR Article 45 \u2013 Transfers on the basis of an adequacy decision<\/p>\n\n<\/div>\n\n\n\n M\u00e1s all\u00e1 de tu checklist interna, el GDPR define derechos concretos para cualquier Data Subject<\/strong> (persona cuyos datos se procesan). Si tu web recoge datos personales, estos derechos se convierten en requisitos operativos y de producto.<\/p>\n\n\n\n El controller debe tomar medidas adecuadas para proporcionar cualquier informaci\u00f3n sobre el tratamiento de forma concisa, transparente, inteligible y f\u00e1cilmente accesible, usando un lenguaje claro y sencillo, especialmente si la informaci\u00f3n va dirigida a un menor. La informaci\u00f3n debe facilitarse por escrito o por otros medios, incluidos, cuando corresponda, medios electr\u00f3nicos.<\/p>\n\n\n\n GDPR Article 12<\/p>\n\n<\/div>\n\n\n\n Cuando recoges datos directamente del usuario, debes proporcionar como m\u00ednimo:<\/p>\n\n\n\n GDPR Article 13<\/p>\n\n<\/div>\n\n\n\n Si obtienes datos desde fuentes distintas al propio interesado, debes proporcionar informaci\u00f3n equivalente, incluyendo las categor\u00edas de datos personales y la fuente de esos datos.<\/p>\n\n\n\n GDPR Article 14<\/p>\n\n<\/div>\n\n\n\n El usuario tiene derecho a confirmar si est\u00e1s tratando sus datos y a acceder a:<\/p>\n\n\n\n GDPR Article 15<\/p>\n\n<\/div>\n\n\n\n Derecho a obtener sin demora indebida la rectificaci\u00f3n de datos personales inexactos y a completar datos incompletos.<\/p>\n\n\n\n GDPR Article 16<\/p>\n\n<\/div>\n\n\n\n Derecho a obtener la supresi\u00f3n de datos personales cuando:<\/p>\n\n\n\n GDPR Article 17<\/p>\n\n<\/div>\n\n\n\n Derecho a obtener la limitaci\u00f3n del tratamiento cuando:<\/p>\n\n\n\n GDPR Article 18<\/p>\n\n<\/div>\n\n\n\n El controller debe comunicar cualquier rectificaci\u00f3n, supresi\u00f3n o limitaci\u00f3n a cada destinatario al que se hayan divulgado los datos, salvo que sea imposible o suponga un esfuerzo desproporcionado.<\/p>\n\n\n\n GDPR Article 19<\/p>\n\n<\/div>\n\n\n\n Derecho a recibir los datos personales en un formato estructurado, de uso com\u00fan y lectura mec\u00e1nica, y a transmitirlos a otro controller sin impedimentos.<\/p>\n\n\n\n GDPR Article 20<\/p>\n\n<\/div>\n\n\n\n Derecho a oponerse, por motivos relacionados con una situaci\u00f3n particular, en cualquier momento, al tratamiento basado en inter\u00e9s leg\u00edtimo o inter\u00e9s p\u00fablico, incluido el profiling.<\/p>\n\n\n\n GDPR Article 21<\/p>\n\n<\/div>\n\n\n\n Derecho a no ser objeto de una decisi\u00f3n basada \u00fanicamente en tratamiento automatizado (incluido profiling) que produzca efectos jur\u00eddicos o afecte significativamente de forma similar.<\/p>\n\n\n\n GDPR Article 22<\/p>\n\n<\/div>\n\n\n\n Si tu web usa cookies no esenciales, necesitas consentimiento expl\u00edcito antes<\/strong> de activarlas.<\/p>\n\n\n\n Tu banner de cookies debe:<\/p>\n\n\n\n Hacer scroll o no interactuar NO equivale a consentimiento.<\/p>\n\n<\/div>\n\n\n\n Cualquier formulario que recoja datos personales debe ser compatible con GDPR:<\/p>\n\n\n\nQu\u00e9 es el GDPR (y a qui\u00e9n aplica)<\/h2>\n\n\n\n
Entiende tu rol: Controller vs Processor<\/h2>\n\n\n\n
Los 3 roles clave bajo GDPR<\/h3>\n\n\n\n
\n\n
Los 7 principios del GDPR (base de toda checklist)<\/h2>\n\n\n\n
\n\n
Checklist completa de cumplimiento GDPR<\/h2>\n\n\n\n
Datos<\/h3>\n\n\n\n
1) Inventario de tipos de datos personales, origen, destinatarios, finalidad y retenci\u00f3n<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
2) Mapa de ubicaciones donde se guarda informaci\u00f3n personal y c\u00f3mo fluye entre ellas<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
3) Pol\u00edtica de privacidad p\u00fablica y accesible que describa procesos relacionados con datos personales<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
4) Base legal en la pol\u00edtica de privacidad: por qu\u00e9 necesitas tratar esos datos<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
Responsabilidad y gesti\u00f3n (Accountability & Management)<\/h3>\n\n\n\n
5) Nombramiento de un Data Protection Officer (DPO) cuando sea obligatorio<\/h4>\n\n\n\n
\n\n
Referencia<\/h4>\n\n\n
6) Sensibilizaci\u00f3n de responsables y decisores sobre directrices GDPR<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
7) Seguridad t\u00e9cnica al d\u00eda<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
8) Formaci\u00f3n del personal en protecci\u00f3n de datos<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
9) Lista de sub-processors y menci\u00f3n expl\u00edcita en la pol\u00edtica de privacidad<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
10) Representante en la UE si operas fuera de la Uni\u00f3n<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
11) Notificaci\u00f3n de brechas de datos personales a la autoridad y a los afectados<\/h4>\n\n\n\n
Referencias<\/h4>\n\n\n
12) Contratos con cualquier processor con el que compartas datos<\/h4>\n\n\n\n
Referencias<\/h4>\n\n\n
Nuevos derechos (operativa para atender solicitudes)<\/h3>\n\n\n\n
13) Los usuarios pueden solicitar f\u00e1cilmente acceso a su informaci\u00f3n personal<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
14) Los usuarios pueden actualizar sus datos para mantenerlos exactos<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
15) Eliminaci\u00f3n autom\u00e1tica de datos que ya no son necesarios<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
16) Los usuarios pueden solicitar f\u00e1cilmente la eliminaci\u00f3n de sus datos<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
17) Los usuarios pueden solicitar f\u00e1cilmente que se deje de procesar su informaci\u00f3n<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
18) Los usuarios pueden solicitar que sus datos se entreguen a ellos o a un tercero<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
19) Objeci\u00f3n a profiling o decisiones automatizadas con impacto<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
Consentimiento (Consent)<\/h3>\n\n\n\n
20) Si la base es el consentimiento: debe ser libre, espec\u00edfico, informado y revocable<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
21) Pol\u00edtica de privacidad clara, comprensible y sin ocultar intenciones<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
22) Retirar el consentimiento debe ser tan f\u00e1cil como otorgarlo<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
23) Si tratas datos de menores: verifica edad y solicita consentimiento del tutor legal<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
24) Si actualizas la pol\u00edtica de privacidad, informa a clientes existentes<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
Seguimiento (Follow-up)<\/h3>\n\n\n\n
25) Revisi\u00f3n peri\u00f3dica de pol\u00edticas, efectividad, cambios en el tratamiento y pa\u00edses de destino<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
Casos especiales<\/h3>\n\n\n\n
26) Saber cu\u00e1ndo necesitas una DPIA en tratamientos de alto riesgo<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
27) Transferencias fuera de la UE solo a pa\u00edses con protecci\u00f3n adecuada (y declararlo)<\/h4>\n\n\n\n
Referencia<\/h4>\n\n\n
Derechos del usuario (Data Subject Rights) que debes poder soportar<\/h2>\n\n\n\n
Derecho a informaci\u00f3n transparente<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Derecho a recibir informaci\u00f3n espec\u00edfica cuando los datos se recogen directamente<\/h3>\n\n\n\n
\n\n
Referencia<\/h4>\n\n\n
Derecho a recibir informaci\u00f3n espec\u00edfica cuando los datos no se recogen directamente<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Derecho de acceso<\/h3>\n\n\n\n
\n\n
Referencia<\/h4>\n\n\n
Derecho de rectificaci\u00f3n<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Derecho de supresi\u00f3n (“derecho al olvido”)<\/h3>\n\n\n\n
\n\n
Referencia<\/h4>\n\n\n
Derecho a la limitaci\u00f3n del tratamiento<\/h3>\n\n\n\n
\n\n
Referencia<\/h4>\n\n\n
Derecho a ser notificado por rectificaci\u00f3n, supresi\u00f3n o limitaci\u00f3n<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Derecho a la portabilidad de los datos<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Derecho de oposici\u00f3n<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Derecho a no ser objeto de decisiones automatizadas<\/h3>\n\n\n\n
Referencia<\/h4>\n\n\n
Pasos pr\u00e1cticos de implementaci\u00f3n en tu web<\/h2>\n\n\n\n
1) Asegura tu web<\/h3>\n\n\n\n
\n\n
2) A\u00f1ade un banner de consentimiento de cookies (de verdad)<\/h3>\n\n\n\n
\n\n
Importante<\/h4>\n\n\n
3) Revisa formularios del sitio (contacto, alta, checkout, etc.)<\/h3>\n\n\n\n
\n\n
4) Consigue consentimiento para emails de marketing<\/h3>\n\n\n\n
\n\n