Volver al blog
5 min de lecturaprivacygdprcompliancedataarchitecture

El objetivo de control del CEPD para 2026 es tu aviso de privacidad

La acción coordinada del CEPD de 2026 audita la transparencia bajo los artículos 12 a 14 del RGPD. El camino más corto para superarla es recopilar tan poco que el aviso se escriba solo.

Izac CavalheiroFounder

Durante dos años, la pregunta cara del RGPD ha ido migrando. Primero los reguladores auditaron si tenías una base legítima, luego si eliminabas los datos a tiempo. El 19 de marzo de 2026, el Comité Europeo de Protección de Datos apuntó la siguiente ronda hacia un tercer objetivo: si tu aviso de privacidad es honesto sobre lo que recopilas.

Qué audita la acción coordinada de 2026

El Marco Coordinado de Control (CEF) del CEPD desarrolla cada año un tema común en todo el bloque. La acción de 2025 examinó el derecho de supresión. La acción de 2026 —la quinta— examina las obligaciones de transparencia e información bajo los artículos 12, 13 y 14 del RGPD.

Veinticinco autoridades de protección de datos participan. Su anuncio es contundente sobre el método: las APD participantes "se pondrán pronto en contacto con responsables del tratamiento de distintos sectores de Europa, ya sea mediante acciones de control o ejercicios de investigación de hechos". Las conclusiones se agrupan en un informe consolidado del CEPD durante la segunda mitad de 2026, con "seguimientos específicos tanto a nivel nacional como de la UE".

Esto no es una guía. Es una solicitud coordinada de pruebas de que el documento de tu sitio coincide con los datos de tu base de datos.

Qué te exige divulgar realmente el artículo 13

El derecho a la información no se satisface con un párrafo que diga "valoramos tu privacidad". El artículo 13 —que se aplica cuando recopilas datos directamente del visitante— enumera lo que un aviso debe declarar en el momento de la recopilación:

  • La identidad y los datos de contacto del responsable del tratamiento.
  • Los fines del tratamiento y la base jurídica de cada uno.
  • Los destinatarios o las categorías de destinatarios de los datos.
  • Cualquier transferencia a un tercer país y las garantías que la amparan.
  • El plazo de conservación, o los criterios utilizados para establecerlo.
  • Los derechos del interesado: acceso, rectificación, supresión, limitación, oposición, portabilidad.
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, con información significativa sobre la lógica aplicada.

Cada cláusula corresponde a un hecho sobre tu stack. Un aviso es exacto solo si cada divulgación es verdadera. Eso es precisamente lo que comprueba un ejercicio de investigación de hechos: no si el aviso existe, sino si describe la realidad.

Por qué la analítica de vigilancia vuelve frágil el aviso

Pasa una integración de analítica típica por esa lista y las divulgaciones se multiplican. Una etiqueta de comportamiento con identificadores entre sitios significa que tienes destinatarios que nombrar: el proveedor, sus socios publicitarios, su red de medición. Normalmente implica una transferencia a un tercer país que declarar y amparar. Un identificador estable que sigue a un visitante durante meses es elaboración de perfiles, lo que arrastra la cláusula sobre decisiones automatizadas. El plazo de conservación es el que sea el valor por defecto del proveedor, que ahora tienes que conocer y declarar correctamente.

Cada uno de esos puntos es una frase que puede estar equivocada. El aviso se desvía en el momento en que el proveedor añade un subencargado, cambia de región o amplía la conservación, y rara vez te enteras. Bajo una auditoría de transparencia, un aviso que subestima los destinatarios o la conservación no es una errata. Es la infracción que el CEF está diseñado para sacar a la luz.

Un aviso breve es el aviso defendible

La forma más barata de superar una auditoría de transparencia es tener poco que divulgar. Eso es una propiedad del modelo de datos, no de la redacción.

Un rastreador sin cookies reduce la sección de analítica de un aviso conforme al artículo 13 a unas pocas líneas honestas. No hay destinatarios externos porque no se comparte nada. No hay elaboración de perfiles porque ningún identificador persiste. La identidad del visitante es un hash diario unidireccional calculado en memoria en el edge:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

La IP en bruto y el User-Agent se usan únicamente para calcular ese resumen y nunca se escriben; D1 almacena el hash, no las entradas. Como la fecha es una entrada, el hash rota cada medianoche, por lo que no hay ningún perfil entre sesiones que describir. La conservación es un límite estricto y declarable —las vistas de página se purgan tras 730 días— no un valor por defecto del proveedor que tengas que ir a buscar.

La divulgación resultante es breve porque el tratamiento es reducido. Dice: contamos vistas de página agregadas, derivamos el país y un tipo de dispositivo aproximado en el edge, no compartimos con nadie, no construimos ningún perfil y conservamos los datos durante dos años como máximo. Cada cláusula es verificable contra el esquema.

La mitad del mismo ejercicio que corresponde al artículo 30

La transparencia para el visitante (artículos 12 a 14) tiene un gemelo interno: los registros de las actividades de tratamiento del artículo 30, el documento que una autoridad pide primero. Debe enumerar los fines, los destinatarios, las transferencias y la conservación: los mismos hechos que el aviso público, pero desde el lado del responsable del tratamiento.

Cuando ambos discrepan, la brecha es la conclusión. Un stack que no almacena ningún identificador personal y no comparte nada mantiene ambos documentos alineados, porque casi no hay nada que registrar en ninguno de los dos lados.

Un aviso de privacidad es una promesa sobre tu modelo de datos. La ronda de 2026 comprueba si la promesa es verdadera. La promesa menos arriesgada es la que puedes cumplir sin pensar en ella, porque nunca recopilaste aquello que de otro modo tendrías que explicar.

Fuentes

Related posts

5 min de lecturaLaw & Regulation

¿Cuándo Es un Hash un Dato Personal? La Sentencia SRB del TJUE y la Identidad en Analítica

La sentencia EDPS v SRB del TJUE convirtió la identificabilidad en una prueba relativa y contextual. Esto es lo que significa para la analítica basada en hash, y por qué un hash con salt que rota a diario sobrevive tanto a la lectura del tribunal como a la más estricta del EDPB.

Leer más
5 min de lecturaLaw & Regulation

La Limitación del Plazo de Conservación Es la Frontera de Fiscalización de 2026 para la Analítica

Los reguladores dejaron de preguntar si recopilaste datos de forma lícita y empezaron a preguntar cuándo los borraste. Tras la multa de 42 M€ de la CNIL a Free y el barrido de supresión de la EDPB, la retención de la analítica es el objetivo de la auditoría.

Leer más
4 min de lecturaLaw & Regulation

El Digital Omnibus quiere eximir del consentimiento a la analítica first-party

El Digital Omnibus de la UE, de noviembre de 2025, propone eximir del consentimiento la medición de audiencia first-party y de uso interno. Es el modelo que la analítica sin cookies ya ejecuta.

Leer más

Comments

Loading comments…