La mayoría de las guías del RGPD explican la regulación de manera abstracta. Esta se centra en algo más específico: lo que realmente requiere el RGPD cuando recopila datos a través de formularios en línea, y lo que necesita verificar antes de publicar uno.
Si su organización recopila datos de individuos en la UE. a través de un formulario de contacto, un formulario de generación de leads, un registro de eventos, o cualquier otro formulario que toque datos personales. el RGPD puede aplicarse a usted, independientemente de dónde esté ubicada su organización.
Este artículo es solo para fines informativos y no constituye asesoramiento legal. Consulte a un profesional calificado en protección de datos para obtener orientación específica para su organización.
En esta página
- A quién se aplica el RGPD
- Qué se considera datos personales en el contexto de un formulario
- Base legal: ¿cuál se aplica a su formulario?
- Campos de consentimiento: ¿qué los hace compatibles con el RGPD?
- Minimización de datos: solo recolecte lo que necesita
- Retención de datos: ¿cuánto tiempo puede conservar las respuestas de los formularios?
- El derecho al borrado: qué significa para los formularios enviados
- Su creador de formularios como procesador de datos: qué exigir
- Lista de verificación de cumplimiento del RGPD
A quién se aplica el RGPD
El Reglamento General de Protección de Datos (RGPD) se aplica a cualquier organización que:
- Esté establecida en la UE, independientemente de dónde ocurra el procesamiento de datos, o
- Procese datos personales de individuos en la UE, incluso si la organización en sí está fuera de la UE, cuando ese procesamiento se relaciona con ofrecer bienes o servicios a individuos en la UE o monitorear su comportamiento
Esto significa que una empresa con sede en EE. UU. que ejecuta un formulario de generación de leads que los individuos en la UE pueden enviar puede estar sujeta al RGPD si se cumplen las condiciones del Artículo 3. Una empresa SaaS con clientes europeos que recopila datos a través de formularios de incorporación puede caer bajo el RGPD por la misma razón. El alcance territorial de la regulación es amplio. si ofrece bienes o servicios a individuos en la UE, o monitorea su comportamiento, el RGPD puede aplicarse a usted independientemente de dónde esté ubicada su organización.
Qué se considera datos personales en el contexto de un formulario
Bajo el RGPD, los datos personales son cualquier información que pueda identificar a una persona natural, directa o indirectamente. En el contexto de formularios en línea, esto incluye:
- Datos de identificación directa: nombre, dirección de correo electrónico, número de teléfono, dirección física, fecha de nacimiento
- Datos de identificación indirecta: dirección IP (si se recopila al enviar), identificadores de dispositivos, datos de ubicación
- Datos sensibles (categorías especiales): información de salud, creencias religiosas, opiniones políticas, origen racial o étnico, datos biométricos. estos están sujetos a reglas más estrictas bajo el Artículo 9 y requieren que se cumpla una condición específica de la lista del Artículo 9(2) antes de que el procesamiento sea legal
Si su formulario recopila alguno de los anteriores, se aplican los requisitos de cumplimiento del RGPD a esos datos.
Base legal: ¿cuál se aplica a su formulario?
El RGPD requiere una base legal para cada instancia de procesamiento de datos personales (Artículo 6). Para formularios en línea, las bases más relevantes son:
Consentimiento. El sujeto de los datos ha dado un consentimiento claro, específico, informado e inequívoco. Esto es apropiado para formularios de marketing, suscripciones a boletines y recopilación de datos opcional. El consentimiento debe ser otorgado libremente y ser tan fácil de retirar como de dar.
Contrato. El procesamiento es necesario para la ejecución de un contrato, o para tomar medidas a petición del sujeto de los datos antes de celebrar un contrato. Esto se aplica a formularios de pedidos, formularios de reserva y acuerdos de servicio.
Intereses legítimos. El procesamiento es necesario para los intereses legítimos del controlador o de un tercero, siempre que esos intereses no sean anulados por los derechos e intereses del sujeto de los datos. Esto requiere una prueba de equilibrio documentada de tres partes (propósito, necesidad, equilibrio). No es un comodín, y los sujetos de los datos conservan el derecho a oponerse al procesamiento sobre esta base bajo el Artículo 21. aunque los controladores pueden anular esa objeción si pueden demostrar motivos legítimos convincentes que anulen los intereses del sujeto de los datos.
Obligación legal. El procesamiento es requerido por la ley. Se aplica a formularios de cumplimiento, documentación fiscal y presentaciones regulatorias.
Guía práctica: La mayoría de los formularios de marketing y generación de leads requieren el consentimiento como su base legal. La mayoría de los formularios transaccionales (compras, reservas, contratos) se basan en la base del contrato. Usar la base legal incorrecta. o reclamar consentimiento cuando el usuario no tenía una opción real. es una de las violaciones más comunes del RGPD.
Campos de consentimiento: ¿qué los hace compatibles con el RGPD?
Si su base legal es el consentimiento, el mecanismo para obtener ese consentimiento importa. El RGPD establece requisitos específicos:
Cómo se ve un consentimiento válido:
- Una acción afirmativa clara. una casilla de verificación desmarcada que el usuario debe marcar activamente, no una pre-marcada
- Específico para el propósito. casillas de verificación separadas para propósitos separados (por ejemplo, una para procesar el envío del formulario, otra separada para correos electrónicos de marketing)
- Informado. acompañado de una breve explicación de para qué se utilizarán los datos y un enlace a su política de privacidad completa
- Otorgado libremente. el usuario debe poder enviar el formulario sin verse obligado a consentir un procesamiento no relacionado, y no debe haber un desequilibrio de poder o perjuicio por negarse a consentir
Cómo se ve un consentimiento no válido:
- Casillas de verificación pre-marcadas
- Consentimiento incluido en la aceptación de términos y condiciones
- “Al enviar este formulario, usted acepta…” sin un mecanismo de consentimiento explícito separado
- Consentimiento para marketing combinado con consentimiento para procesar la consulta. estos deben ser separados
- Diseño visual asimétrico que empuja a los usuarios hacia el consentimiento. por ejemplo, un botón “Aceptar” prominente emparejado con una opción “Rechazar” o “Configuraciones” atenuada u oculta. Las autoridades del RGPD han encontrado consistentemente que tales patrones oscuros socavan el requisito de “otorgado libremente”, incluso cuando existe una opción técnica de exclusión
Retiro del consentimiento: El RGPD requiere que el retiro sea tan fácil como dar el consentimiento. Para los datos recopilados a través de formularios, esto significa proporcionar un mecanismo claro de exclusión y honrar las solicitudes de eliminación cuando el consentimiento es la única base legal.
Minimización de datos: solo recolecte lo que necesita
El principio de minimización de datos del RGPD (Artículo 5(1)(c)) establece que solo debe recopilar los datos personales que sean adecuados, relevantes y limitados a lo necesario para el propósito declarado.
Para el diseño de formularios, esto significa:
- Auditar sus campos. ¿cada campo sirve al propósito declarado? Un formulario de contacto no necesita una fecha de nacimiento. Un registro de seminario web no necesita un número de teléfono a menos que planee llamar a los asistentes.
- Hacer que los campos no esenciales sean opcionales. si un campo es útil pero no requerido, márquelo como opcional y no lo requiera para el envío del formulario.
- No recopilar datos que no procesa. si recopila un campo pero nunca lo usa, crea una exposición innecesaria al cumplimiento.
La minimización de datos también es un beneficio práctico: los formularios más cortos tienen tasas de finalización más altas. El RGPD y una buena experiencia de usuario apuntan en la misma dirección.
Retención de datos: ¿cuánto tiempo puede conservar las respuestas de los formularios?
El principio de limitación del almacenamiento del RGPD (Artículo 5(1)(e)) requiere que los datos personales se mantengan no más tiempo del necesario para el propósito para el cual fueron recopilados.
No hay un período de retención único mandado por el RGPD. la duración apropiada depende del propósito, las regulaciones del sector aplicables y la ley del estado miembro. La siguiente tabla ilustra consideraciones comunes, pero sus períodos de retención específicos deben determinarse en consulta con su oficial de protección de datos o asesor legal:
| Tipo de formulario | Consideración típica de retención |
|---|---|
| Formularios de contacto / soporte | Duración de la relación de soporte + ventana de seguimiento razonable |
| Formularios de generación de leads | Duración del compromiso de ventas activo; documentar la base para la retención extendida |
| Registro de eventos | Hasta el evento, más cualquier período de mantenimiento de registros legalmente requerido |
| Formularios de contrato / servicio | Duración del contrato + período de limitación legal aplicable |
| Formularios de solicitud de empleo | Gobernado por la ley de empleo del estado miembro, que varía significativamente. por ejemplo, el AGG (Ley General de Igualdad de Trato) de Alemania crea un caso práctico para retener registros durante alrededor de 6 meses para defenderse de reclamos de discriminación, mientras que otras jurisdicciones difieren. Consulte a su DPO o asesor legal antes de establecer un período de retención |
Lo que esto significa en la práctica: Necesita una política de retención de datos documentada, y los datos de envío de su formulario deben eliminarse o anonimizarse cuando finalice el período de retención.
PlatoForms le ofrece retención de datos configurable a nivel de cuenta. desde 0 días (datos eliminados instantáneamente después de sincronizarse con su unidad en la nube) hasta Para siempre, con opciones de 7 días, 30 días, 3 meses, 6 meses, 1 año y 3 años entre medio. Consulte la documentación de la política de retención de datos para obtener detalles sobre la configuración.
El derecho al borrado: qué significa para los formularios enviados
Bajo el RGPD, los sujetos de datos tienen el derecho de solicitar la eliminación de sus datos personales (Artículo 17). Para los datos recopilados a través de formularios, esto significa:
- Si alguien envía un formulario de contacto y luego solicita el borrado de sus datos, debe poder identificar y eliminar su envío
- Si se retira el consentimiento, los datos recopilados sobre la base de ese consentimiento deben eliminarse (a menos que se aplique otra base legal)
- Las solicitudes de borrado deben manejarse sin demoras indebidas y en cualquier caso dentro de un mes (con la posibilidad de una extensión de dos meses para casos complejos, según el Artículo 12(3))
Requisitos prácticos:
- Debe poder identificar los envíos por individuo (buscable por correo electrónico o nombre)
- Debe poder eliminar envíos específicos, no solo borrar su base de datos en masa
- Si los datos de envío se han exportado a otros sistemas (CRM, unidad en la nube, correo electrónico), esas copias también deben eliminarse o anonimizarse. a menos que exista una base legal separada para retenerlos en ese sistema
PlatoForms le permite buscar envíos y eliminar registros individuales desde el panel de control. La función Borrar Todos los Envíos maneja la eliminación masiva cuando sea necesario.
Su creador de formularios como procesador de datos: qué exigir
Bajo el RGPD, cuando utiliza un creador de formularios de terceros para recopilar datos personales, ese creador de formularios actúa como un procesador de datos en su nombre. Usted es el controlador de datos. Esto crea obligaciones específicas bajo el Artículo 28.
Debe tener un Acuerdo de Procesamiento de Datos (DPA) en su lugar con su creador de formularios. Un DPA es un contrato que especifica:
- Qué datos maneja el procesador
- Los propósitos y la duración del procesamiento
- Medidas de seguridad técnicas y organizativas
- Requisitos de divulgación y autorización de subprocesadores
- Obligaciones en caso de una violación de datos
Usar un creador de formularios sin un DPA para recopilar datos personales de la UE puede ponerlo en violación de los requisitos del RGPD bajo el Artículo 28, incluso si el creador de formularios en sí es técnicamente seguro.
Transferencias de datos transfronterizas: Si su creador de formularios almacena o procesa datos fuera de la UE/EEE, se aplican requisitos adicionales bajo el Capítulo V del RGPD. como las Cláusulas Contractuales Estándar (SCC) o la dependencia de una decisión de adecuación. Confirme dónde se almacenan sus datos de envío y qué mecanismo de transferencia está en su lugar.
Qué buscar en un creador de formularios:
- Un DPA disponible para revisión y firma
- Datos almacenados en ubicaciones conocidas y divulgadas (con opciones de residencia de datos en la UE donde sea relevante)
- Transparencia de subprocesadores (¿con qué terceros comparte datos el creador de formularios, y ha autorizado su uso?)
- Cifrado en tránsito y en reposo
- Controles de acceso y registro de auditoría
- Un proceso documentado de notificación de violaciones
PlatoForms proporciona un Acuerdo de Procesamiento de Datos (DPA) descargable y un desglose completo de la infraestructura de seguridad, subprocesadores y certificaciones en el Centro de Confianza.
Lista de verificación de cumplimiento del RGPD para formularios en línea
Antes de publicar cualquier formulario que recopile datos personales de la UE:
Base legal
- Identifique la base legal para el procesamiento (consentimiento, contrato, intereses legítimos, obligación legal u otra base del Artículo 6)
- Documente la base legal. no confíe en la memoria
- Si utiliza intereses legítimos: complete y documente una prueba de equilibrio; asegúrese de que los sujetos de datos puedan ejercer su derecho a objetar (Artículo 21)
Datos de categoría especial
- Si recopila datos sensibles (salud, religión, etnicidad, etc.), identifique una condición específica bajo el Artículo 9(2). el consentimiento explícito es una opción, pero no la única
- Aplique salvaguardas técnicas adicionales apropiadas para datos de categoría especial (por ejemplo, cifrado, controles de acceso restringidos)
Consentimiento (si el consentimiento es su base legal)
- Use casillas de verificación desmarcadas, no pre-marcadas
- Consentimiento separado para propósitos separados (procesamiento de envío vs. marketing)
- Incluya una breve descripción del propósito y un enlace a su política de privacidad
- Asegúrese de que el retiro del consentimiento sea tan fácil como dar el consentimiento
Minimización de datos
- Audite cada campo. ¿cada uno sirve al propósito declarado?
- Haga que los campos no esenciales sean opcionales
- Elimine campos que no procesa realmente
Retención de datos
- Documente su período de retención para los datos de este formulario (determinado con la entrada legal/DPO donde sea necesario)
- Configure la eliminación automática o establezca un recordatorio en el calendario para purgar los envíos antiguos
- Asegúrese de que su creador de formularios admita la retención configurable
Derecho al borrado
- Puede identificar envíos por individuo
- Puede eliminar envíos individuales a petición
- Tiene un proceso para manejar solicitudes de borrado sin demoras indebidas y dentro de un mes
Requisitos del procesador y transferencia
- Tiene un DPA firmado con su creador de formularios
- Sabe dónde se almacenan sus datos de envío de formularios
- Sabe qué subprocesadores utiliza su creador de formularios, y ha autorizado su uso
- Si los datos se transfieren fuera de la UE/EEE, un mecanismo de transferencia válido (SCC, decisión de adecuación, etc.) está en su lugar
El cumplimiento del RGPD para formularios se trata menos de teoría legal y más de decisiones operativas: qué recopila, cómo obtiene el consentimiento, cuánto tiempo lo conserva y qué acuerdos tiene en su lugar con sus herramientas.
La lista de verificación anterior cubre el mínimo práctico. Para escenarios de procesamiento complejos. datos de categoría especial, recopilación de leads de alto volumen, transferencias de datos transfronterizas o evaluaciones de intereses legítimos. un oficial de protección de datos calificado o asesor legal debe revisar su configuración específica.
Para la documentación de cumplimiento de PlatoForms, DPA descargable y visión general de la arquitectura de seguridad, consulte el Centro de Confianza.