Lo que nadie te dijo sobre los datos de tus clientes

¿Sabes cuánto fue la multa más grande que le han puesto a una empresa por mal manejo de datos de clientes? 1.200 millones de euros. Meta, 2023.

No necesitas ser Meta para tener este problema. Con tener un formulario de contacto en tu página web — uno solo — ya tienes responsabilidad legal sobre datos personales. Y la mayoría de emprendedores no lo sabe. Hasta que pasa algo.

El error no es mala intención. Es ignorancia.

Y la ignorancia no te protege de una multa.

La mayoría de emprendedores asume algo que es falso: que si alguien les dio su correo voluntariamente, ya pueden hacer lo que quieran con él.

Hagamos una prueba rápida. Si alguien llenó un formulario en tu página para pedir una cotización:

• ¿Puedes meterlo a tu lista de email marketing?
• ¿Puedes compartir ese correo con un socio o proveedor?
• ¿Puedes usarlo para publicidad en Meta o Google?

La respuesta a las tres es: no automáticamente.

Y hacerlo sin el permiso correcto puede costarte desde una amonestación formal hasta un porcentaje de tu facturación. En Colombia es la Ley 1581. En España y Europa, el GDPR. En México, la LFPDPPP. Distintos nombres, mismo principio: los datos de las personas son de las personas. No son tuyos.

Permiso explícito ≠ darte el correo

Permiso explícito significa que esa persona te haya dicho — de manera clara y consciente — para qué vas a usar ese dato.

Si alguien se suscribió a tu newsletter, puedes mandarle el newsletter. Pero no puedes usar ese correo para publicidad de otro producto sin avisarle. No puedes pasárselo a un socio sin su consentimiento.

Los 2 documentos que casi todos tienen como decoración

Política de privacidad y aviso de consentimiento. La mayoría los copió de otro sitio, los pegó en el footer, y ya. Ese es exactamente el problema.

Esos documentos deben decir la verdad sobre lo que TÚ haces con los datos. No la verdad de otro negocio. La tuya.

Qué datos recoges. Para qué los usas. Cuánto tiempo los guardas. Con quién los compartes. Y cómo puede la persona pedir que los borres.

Si lo que dice ese documento no es lo que haces en la realidad, tienes un problema doble: legal y de confianza.

5 preguntas que debes poder responder

1. ¿Qué datos estoy recopilando?

No solo el correo. También el comportamiento de navegación, el historial de compras, la ubicación, la edad, el dispositivo. Si tienes analytics, un píxel de Meta, un CRM, todo eso son datos que estás procesando.

2. ¿Para qué uso esos datos?

Hay diferencia entre enviar un correo de confirmación de compra y enviar publicidad. Para lo primero no necesitas tanto permiso. Para lo segundo, sí — y específico.

3. ¿Con quién los comparto?

Si usas Mailchimp, Google Analytics, Meta Pixel, un CRM externo, esos datos están llegando a terceros. Eso tiene implicaciones legales que debes cubrir.

4. ¿Cuánto tiempo los guardo?

No puedes tener datos de clientes indefinidamente. Si alguien te compró hace 5 años, nunca volvió a interactuar contigo, y su correo sigue en tu base, ese dato dejó de tener una finalidad legítima.

5. ¿Qué pasa si alguien me pide borrar sus datos?

Existe el derecho al olvido o derecho de supresión. La persona puede pedirte — en cualquier momento — que elimines su información. Tienes plazos para responder.

El caso de Carlos

Carlos tenía una tienda online de productos naturales. Tres años en el mercado. Una base de datos construida con esfuerzo.

Un día, un cliente pidió que borraran sus datos. Carlos recibió el mensaje, lo vio, y no supo qué hacer. No había proceso. No había responsable. Pasaron semanas. El cliente se cansó y presentó una queja formal ante la autoridad de protección de datos.

Lo que vino después duró 8 meses: investigación, asesoría legal de emergencia, revisión completa de la base, actualización de la política. Y al final, una multa.

"Yo no sabía que había reglas. Nadie me lo dijo cuando arranqué el negocio", me dijo Carlos. Por eso escribo esto.

Qué cuenta como dato personal (más de lo que crees)

Mucha gente piensa que "datos personales" es solo el nombre y el correo. Es bastante más. Es cualquier información que permita identificar a una persona, directa o indirectamente: el teléfono, la dirección, el documento, pero también la ubicación, el historial de compras, lo que mira en tu web, su dirección IP o el identificador de su dispositivo. Si usas analítica, un píxel de redes o un CRM, ya estás recogiendo y procesando datos personales, aunque nunca hayas pedido un formulario. El primer paso para cumplir es darte cuenta de todo lo que ya estás recogiendo sin pensarlo.

Cómo se ve un consentimiento bien hecho

El permiso para usar datos tiene que ser claro, específico y dado de forma activa. Nada de casillas pre-marcadas ni de "al usar este sitio aceptas todo". La persona tiene que entender para qué da su dato y decir que sí de manera consciente.

La diferencia entre ese texto y un "acepto términos y condiciones" genérico es enorme. El primero dice para qué sirve y deja salir cuando quieras; el segundo no dice nada y, ante una queja, no te protege.

Datos sensibles y de menores: cuidado extra

Hay datos que merecen un trato más estricto: salud, orientación, creencias, datos financieros, y todo lo que tenga que ver con menores de edad. Si tu negocio toca alguno de estos, las exigencias suben y el permiso tiene que ser todavía más explícito. Si trabajas con menores, en muchos países necesitas el consentimiento de los padres o cuidadores. No es un detalle menor: es justo el tipo de dato cuyo mal manejo genera las sanciones más altas.

Tus proveedores también cuentan

Cuando usas herramientas como un sistema de correos, una analítica o un CRM, los datos de tus clientes pasan por esas empresas. Eso no está prohibido, pero te hace responsable de con quién los compartes. Conviene saber qué proveedores tocan los datos de tus clientes, que esos proveedores tengan condiciones serias de privacidad, y mencionarlos en tu política. Si un proveedor maneja mal los datos que tú le pasaste, el cliente te reclama a ti primero.

Qué pasa si no cumples

Las consecuencias van por niveles. Lo más común no es una multa millonaria de un día para otro, sino la queja de un cliente ante la autoridad, que abre una investigación. Si encuentran que no cumpliste, puede ir desde una orden para que corrijas hasta una sanción económica, que en algunos regímenes se calcula sobre tu facturación. Y hay un costo que no aparece en ninguna norma: el de confianza. Un cliente que siente que usaste mal sus datos no vuelve, y lo cuenta. Cumplir bien, en cambio, se nota y suma.

Qué no necesitas hacer (para que no te abrume)

Cumplir no significa volverte experto en leyes ni montar un departamento legal. Para un negocio pequeño, lo esencial cabe en pocos pasos: saber qué datos recoges, pedir permiso de forma clara, tener una política de privacidad que diga la verdad, y un proceso simple para atender a quien pida ver o borrar sus datos. No tienes que blindarte contra todos los escenarios imaginables, tienes que cubrir lo básico bien hecho. La mayoría de los problemas no vienen de no tener un sistema perfecto, sino de no tener nada.

El primer paso real: un inventario de datos

Antes de redactar políticas o pedir permisos, hay un paso que casi nadie hace y que ordena todo lo demás: escribir, en una hoja, qué datos tienes. Recorre tu negocio y anota cada punto donde entra información de personas: el formulario de la web, la lista de correos, el CRM, la pasarela de pago, el chat de WhatsApp, las facturas. Para cada uno responde tres cosas: qué dato es, para qué lo usas y con quién lo compartes. Ese mapa, aunque sea a mano, te muestra de un vistazo dónde estás cumpliendo y dónde tienes huecos. Es la diferencia entre cumplir a ciegas y cumplir sabiendo qué proteges.

La política de privacidad, en simple

Tu política de privacidad no tiene que ser un texto legal indescifrable. Su único trabajo es responder, en lenguaje claro, cinco preguntas: qué datos recoges, para qué los usas, con quién los compartes, cuánto tiempo los guardas y cómo puede la persona ver, corregir o borrar lo suyo. Si responde eso y dice la verdad sobre lo que tú haces, cumple. Si está copiada de otro negocio y describe prácticas que no son las tuyas, no te protege: te delata.

3 cosas que puedes hacer hoy

1. Revisa tu política de privacidad. Si la copiaste de otro sitio o la generaste con un template genérico sin personalizar, actualízala con lo que TÚ realmente haces.
2. Revisa tus formularios. El checkbox donde alguien acepta recibir comunicaciones tiene que ser un checkbox que la persona marque activamente. No pre-marcado.
3. Define un proceso para solicitudes de datos. Si mañana alguien pide que borres su información, ¿quién lo atiende? ¿En cuánto tiempo? Define eso antes de que ocurra.

La privacidad bien manejada no es un límite, es un diferencial. Los clientes confían más en marcas que son claras sobre cómo usan su información, y la confianza es justo lo que hace que un cliente vuelva y te recomiende. Tratar bien los datos de alguien es, al final, tratar bien a la persona. Empieza por el inventario, ordena el consentimiento y la política, y define quién atiende las solicitudes. Con eso ya estás por delante de la mayoría, y lo haces convirtiendo una obligación en una razón más para confiar en ti.

Preguntas frecuentes

Si alguien me dio su correo, ¿no puedo usarlo como quiera?

No. Que te den un dato no te da permiso para cualquier uso. El permiso es para lo que la persona aceptó: si se suscribió a tu newsletter, puedes mandarle el newsletter, pero no usar ese correo para otra publicidad ni pasarlo a un tercero sin avisarle.

Solo tengo un formulario de contacto en mi web. ¿Igual tengo obligaciones?

Sí. Con recoger un solo dato personal, como un correo en un formulario, ya tienes responsabilidad legal sobre esos datos. En Colombia aplica la Ley 1581; en Europa, el GDPR. No depende del tamaño del negocio.

Un cliente me pide borrar sus datos. ¿Estoy obligado a hacerlo?

Sí. Existe el derecho de supresión: la persona puede pedir que elimines su información y tienes plazos para responder. Conviene tener un proceso y un responsable definidos, porque ignorar la solicitud es lo que suele terminar en una queja ante la autoridad.