El Reglamento General de Protección de Datos lleva vigente desde mayo de 2018, y aun así sigo recibiendo mensajes de clientes que no saben bien si les aplica. La duda más frecuente no es «¿cómo cumplo?», sino algo más básico: «¿qué es exactamente un dato personal?». Parece una pregunta de primer nivel, pero la respuesta determina si necesitas política de privacidad, registro de actividades o consentimiento explícito; así que conviene tenerla clara antes de tocar cualquier otra cosa.
La definición legal está en el artículo 4.1 del RGPD: «toda información sobre una persona física identificada o identificable». La clave está en ese «identificable», porque amplía el concepto mucho más allá del nombre o el DNI. Un dato personal no es solo lo que aparece en el carné de identidad; es cualquier información que permita llegar a la persona, directamente o combinando varios elementos.
Qué datos estás recogiendo en tu web sin darte cuenta
Esto es lo que más me sorprende en las auditorías: la mayoría de los propietarios de webs saben que un formulario de contacto recoge datos personales, pero no tienen la misma claridad con todo lo demás que ocurre en segundo plano. GA4, por ejemplo, registra la dirección IP de cada visita y, aunque Google la anonimiza parcialmente antes de almacenarla, el RGPD considera el momento inicial de la recogida. Los píxeles de Meta o LinkedIn hacen algo similar: vinculan el comportamiento del usuario en tu web con perfiles en sus plataformas, y ese cruce de información identifica personas reales.
Las cookies de sesión o de seguimiento también entran en esta categoría cuando permiten rastrear a un usuario concreto a lo largo del tiempo o entre distintas sesiones, porque ese historial de comportamiento construye un perfil que identifica —o puede identificar— a una persona física. Si tienes un blog con comentarios, un formulario de suscripción a newsletter o un chat en vivo, estás recogiendo datos personales en cada interacción, aunque el usuario solo haya escrito su nombre de pila y un correo.
Sobre el correo electrónico: un genérico como info@empresa.com no suele considerarse dato personal porque no apunta a un individuo concreto, mientras que nombre.apellido@empresa.com sí lo es, porque permite identificar a la persona detrás. Esa distinción cambia cómo debes gestionar tu base de contactos si mezclas ambos tipos.
Las categorías especiales y por qué importan más
El reglamento reserva un nivel de protección superior para lo que llama categorías especiales de datos: origen racial o étnico, opiniones políticas, creencias religiosas, datos biométricos, datos de salud y orientación sexual, entre otros. Si tu negocio toca alguno de estos ámbitos, el listón sube de forma significativa: necesitas una base jurídica explícita para tratarlos, que en la mayoría de casos prácticos se traduce en consentimiento expreso e informado.
Un caso que me he encontrado varias veces es el de clínicas o centros de bienestar que usan un simple formulario de Google Forms para que los pacientes reserven cita e incluyen un campo de «motivo de consulta». Ese campo recoge datos de salud, aunque el formulario no lo llame así. El responsable muchas veces no lo había catalogado como categoría especial porque visualmente no parecía distinto del resto de campos, pero la naturaleza del dato cambia la obligación legal independientemente de cómo lo llames en el formulario.
El concepto de tratamiento de datos también es más amplio de lo que parece. No hace falta que estés «haciendo algo activo» con los datos; almacenarlos ya es un tratamiento según el RGPD. Esa lista de contactos en un Excel que llevas años sin tocar, la carpeta de presupuestos con datos de clientes o los registros del servidor de tu hosting: todo eso cuenta, y conviene saberlo antes de asumir que «como no los uso, no aplica».
Cuándo te afecta el RGPD y cuándo no
El reglamento aplica a cualquier organización establecida en la Unión Europea, con independencia de dónde esté el servidor o dónde residan los usuarios. Y si estás fuera de la UE pero tratas datos de residentes europeos —piensa en una SaaS americana con clientes en España— también te aplica; de ahí la cantidad de avisos de privacidad que empezaron a aparecer en webs globales tras 2018.
La única excepción relevante para el día a día es la actividad exclusivamente personal o doméstica: si guardas una agenda de contactos de amigos en tu móvil, el RGPD no entra. El problema es que esa excepción deja de aplicar en cuanto hay cualquier tipo de actividad económica o pública de por medio, aunque sea un blog que monetizas con publicidad o una cuenta de redes sociales de tu negocio. A efectos prácticos, si tienes una web con tráfico y recoges cualquier tipo de información de los visitantes, asume que el reglamento aplica y trabaja desde ahí.
Para ordenar bien los roles dentro de tu negocio —quién decide cómo se usan los datos y quién los trata por encargo— te recomiendo leer mi artículo sobre responsable y encargado del tratamiento, que es la distinción que más confusión genera en la práctica. Y si ya tienes dudas sobre si tus cookies están bien configuradas, la guía sobre el uso legal de cookies en tu web te dará los criterios que hay que aplicar según la normativa vigente.
Preguntas frecuentes
¿Es obligatorio cumplir el RGPD si solo tengo una lista de contactos en mi email?
Si esa lista se utiliza para una actividad profesional o comercial, sí debes cumplir con el RGPD. La excepción doméstica solo aplica cuando el tratamiento es exclusivamente personal.
¿Una dirección IP es siempre un dato personal?
Sí, la Agencia Española de Protección de Datos ha determinado que una dirección IP es un dato personal, ya que permite identificar a una persona física.
¿Qué se considera una categoría especial de datos?
Son datos sensibles como el origen étnico, opiniones políticas, convicciones religiosas, datos de salud, biométricos, genéticos o de orientación sexual.