Compliance · RGPD

RGPD para sitios de prensa: la lista de comprobación del editor.

Última actualización: 6 de mayo de 2026 · Todas las afirmaciones se basan en el Reglamento (UE) 2016/679 (RGPD), las directrices de la CNIL y las directrices del CEPD.

Qué es el RGPD, en un párrafo

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) establece el marco jurídico para el tratamiento de datos personales de los residentes en la UE. Se aplica con independencia del lugar donde esté establecido el responsable o el encargado del tratamiento, siempre que el tratamiento esté relacionado con la oferta de bienes o servicios a personas en la UE, o con el control de su comportamiento (artículo 3.2). Para los sitios de prensa que ofrecen participación de los lectores, esto significa que cada cuenta de lector, cada comentario anónimo con seguimiento de IP, cada suscripción a boletines, cada reacción a un artículo, queda bajo el ámbito del RGPD.

Qué se considera dato personal en un sitio de prensa

El RGPD define los datos personales de forma extremadamente amplia (artículo 4.1): cualquier información sobre una persona física identificada o identificable. Para un sitio de prensa, esto incluye:

  • Datos de la cuenta del lector: nombre, correo electrónico, hash de la contraseña, foto de perfil, biografía
  • Datos de interacción: comentarios, votos, «me gusta», compartidos, tiempo dedicado a los artículos
  • Datos técnicos: direcciones IP, huellas de dispositivo, identificadores de navegador, cookies de sesión
  • Datos inferidos: etiquetas de interés derivadas del comportamiento de lectura, resultados de puntuación de audiencia
  • Datos de suscripción y de pago, cuando proceda

Las seis bases jurídicas (artículo 6)

Solo puedes tratar datos personales si puedes apoyarte en al menos una de las seis bases jurídicas enumeradas en el artículo 6:

  • Consentimiento (6.1.a), explícito, granular y revocable. Se utiliza para marketing, elaboración de perfiles y datos opcionales.
  • Contrato (6.1.b), necesario para prestar un servicio al que el usuario se ha suscrito. Se utiliza para la creación de cuentas y el procesamiento de suscripciones.
  • Obligación legal (6.1.c), necesaria para cumplir con una ley (por ejemplo, obligaciones de conservación).
  • Intereses vitales (6.1.d), rara vez aplicable a los editores.
  • Interés público (6.1.e), principalmente para el sector público y los medios de servicio público.
  • Interés legítimo (6.1.f), tu interés, ponderado frente a los derechos del usuario. Se utiliza para la prevención del fraude, la analítica anónima y la seguridad.

Para los comentarios y la participación de los lectores, la combinación más habitual es contrato (estás prestando un servicio de participación al que el usuario se ha adherido) más interés legítimo (seguridad, antispam, fraude).

Los ocho derechos del lector (artículos 12–22)

Debes permitir que el usuario ejerza los siguientes derechos, en un lenguaje claro y en el plazo de un mes (artículo 12.3):

  • Derecho de acceso (art. 15) — el usuario puede solicitar una copia de todos los datos que conservas sobre él
  • Derecho de rectificación (art. 16) — corregir datos inexactos
  • Derecho de supresión / derecho al olvido (art. 17) — eliminar los datos cuando no exista una base legítima para conservarlos
  • Derecho a la limitación (art. 18) — limitar el tratamiento en circunstancias específicas
  • Derecho a la portabilidad de los datos (art. 20) — exportar datos estructurados para cambiar de servicio
  • Derecho de oposición (art. 21) — rechazar el tratamiento basado en el interés legítimo
  • Derecho a no ser objeto de decisiones totalmente automatizadas (art. 22)
  • Derecho a presentar una reclamación ante una autoridad de control (art. 77) — en Francia, la CNIL

Transferencias internacionales (capítulo V)

Si tu sistema de comentarios o tu base de datos de lectores está alojado fuera de la UE, el RGPD exige garantías en virtud de los artículos 44–50. Tras la sentencia Schrems II (TJUE, 16 de julio de 2020), las transferencias a los Estados Unidos se apoyan en el Marco de Privacidad de Datos UE-EE. UU. (en vigor desde julio de 2023), con medidas complementarias adicionales que a menudo exige el CEPD. Muchos editores consideran más sencillo mantener los datos íntegramente en la UE.

Funciones: quién es el responsable y quién es el encargado

Para los datos de los lectores de tu sitio de prensa:

  • Tú (el editor) eres el responsable del tratamiento — tú decides por qué y cómo se tratan los datos (art. 4.7).
  • Tu sistema de comentarios / herramienta de moderación (Logora, Disqus, Viafoura, etc.) es normalmente un encargado del tratamiento — trata los datos por cuenta tuya, según las instrucciones de un Acuerdo de Tratamiento de Datos (art. 28).

El Acuerdo de Tratamiento de Datos es obligatorio en virtud del artículo 28.3. Debe especificar el objeto, la duración, la naturaleza, la finalidad, los tipos de datos, las categorías de interesados, y tus obligaciones y derechos como responsable. Sin un Acuerdo de Tratamiento de Datos firmado, no puedes recurrir lícitamente a un encargado externo para los datos personales.

Qué significa esto en la práctica para las operaciones de tu medio

  • Política de privacidad en tu sitio, en lenguaje claro, que enumere cada actividad de tratamiento (artículos 13–14)
  • Banner de cookies solo cuando sea necesario — las cookies que no rastrean ni segmentan están exentas (directrices de la CNIL sobre la Directiva ePrivacy)
  • Acuerdos de Tratamiento de Datos firmados con cada encargado externo: sistema de comentarios, herramienta de moderación, analítica, tecnología publicitaria, servicio de correo electrónico
  • Registro de actividades de tratamiento (artículo 30) — un registro interno que enumere todas las actividades de tratamiento
  • Designación de un DPO (artículo 37) si realizas tratamientos a gran escala o un seguimiento sistemático
  • Notificación de violaciones de datos en un plazo de 72 horas a la autoridad (artículo 33) y a los usuarios afectados cuando exista un riesgo elevado

Cómo lo gestiona Logora

  • Acuerdo de Tratamiento de Datos firmado con cada cliente, estructurado según el artículo 28.3
  • Alojamiento exclusivamente en la UE en OVH, Francia — sin ninguna transferencia fuera de la UE, nunca
  • Datos de origen propio — las cuentas de los lectores pertenecen a la base de datos del editor, no a Logora
  • Sin cookies de seguimiento de terceros por defecto; cualquier analítica es anónima y sin cookies
  • Exportación de derecho de acceso integrada en el espacio de administración — un clic para atender una solicitud del artículo 15
  • Gestión del derecho de supresión usuario por usuario, con eliminación en cascada a los comentarios y votos según la política de conservación del editor

Fuentes

¿Necesitas auditar la configuración de los datos de tus lectores? Reserva una llamada de 60 min con nuestro equipo.

Guías
Moderación Buenas prácticas Carta de moderación
Ejemplos
Casos de uso Documentación Panel de administración
Sobre nosotros
Equipo Blog Partners Posicionamiento Contacto
Legal
Aviso legal Términos Privacidad
Sin cookies de tracking. Infraestructura soberana en OVH (Francia).
Creado para la democracia por Logora
⌘K / Ctrl+K para abrir