Redacción de Condiciones de Servicio y Política de Privacidad para SaaS

EN RESUMEN

Las condiciones de servicio de un SaaS no son términos y condiciones de un sitio web — regulan una relación de suscripción de software en curso que abarca el uptime, los cambios de funcionalidades, la titularidad de los datos, la rescisión y la responsabilidad. Las condiciones genéricas de un sitio web no abordan ninguna de estas cuestiones.
La política de privacidad de un producto SaaS debe describir cómo el producto trata específicamente los datos (datos de cuenta, registros de uso, datos en la aplicación) — no únicamente cómo el sitio web de la empresa utiliza las cookies.
Los clientes enterprise revisan habitualmente las condiciones de servicio y las políticas de privacidad durante la due diligence de proveedores. Los documentos incompletos, con lenguaje no estándar o que contradigan el ATD generan fricciones en el ciclo de ventas.
Redactamos toda la documentación jurídica SaaS específicamente para el producto, no a partir de una plantilla genérica — las condiciones reflejan cómo se entrega, se factura y se rescinde realmente el software.
Un paquete completo de documentación SaaS (condiciones de servicio, política de privacidad, política de cookies, política de uso aceptable y adenda de tratamiento de datos) está disponible como encargo combinado a tarifa fija.

La redacción de condiciones de servicio y política de privacidad para SaaS consiste en elaborar los documentos jurídicos de cara al usuario que rigen la relación de suscripción y describen el tratamiento de datos en un lenguaje claro, preciso y ejecutable. Para las empresas SaaS, estos documentos sirven simultáneamente a dos audiencias: los usuarios finales que necesitan comprender a qué están aceptando, y los equipos de compras enterprise que los revisan en busca de cumplimiento legal, exposición a la responsabilidad y adecuación al RGPD. Redactamos todos los documentos específicamente para el producto SaaS (reflejando cómo se entrega el software, qué datos trata, cómo funciona la facturación y cómo puede cualquiera de las partes poner fin a la relación) en inglés, con versiones en lituano cuando sea necesario.

Por Qué las Condiciones y la Política de Privacidad SaaS son Diferentes

El error más frecuente de las empresas SaaS con su documentación jurídica es utilizar una plantilla genérica: unas condiciones de sitio web adaptadas para software, o una plantilla descargada de un generador de condiciones. Las plantillas genéricas producen documentos que son o demasiado amplios (que cubren actividades que la empresa no realiza) o demasiado estrechos (que omiten las disposiciones específicas de SaaS que importan cuando algo va mal).

Condiciones de servicio: el contrato que rige el acceso continuo

Las condiciones de servicio de un SaaS son un documento fundamentalmente diferente de las condiciones generales de un comercio electrónico. Las condiciones de comercio electrónico regulan una transacción puntual: el cliente compra un producto, lo recibe y la relación está en gran medida completa. Las condiciones SaaS regulan una relación continua: el cliente paga por el acceso continuo al software, la empresa entrega el software de forma continua, y la relación implica obligaciones continuas de ambas partes (uptime, soporte, cambios de funcionalidades, gestión de datos y, finalmente, rescisión). Un documento de condiciones que no aborda estas dimensiones continuas (qué ocurre cuando el software no está disponible, si la empresa puede cambiar funcionalidades unilateralmente, quién es propietario de los datos que el cliente introduce, cuánto preaviso se requiere para rescindir) fracasa en su propósito comercial fundamental.

Política de privacidad: específica para el producto, no para el sitio web

La política de privacidad de un producto SaaS debe describir cómo el propio producto trata los datos personales, no únicamente el sitio web. La mayoría de las políticas de privacidad genéricas describen el rastreo de cookies, los envíos de formularios de contacto y el marketing por correo electrónico. Un producto SaaS trata mucho más: datos de registro de cuenta, información de perfil, actividad del usuario en la plataforma, documentos o registros cargados por los usuarios, comunicaciones a través del producto, datos de integración de herramientas de terceros conectadas y datos analíticos sobre el uso del producto. Una política de privacidad que no describe con precisión estas actividades de tratamiento incumple el Artículo 13 del RGPD (que exige transparencia sobre todo el tratamiento en el momento de la recopilación de datos) y genera una impresión engañosa sobre lo que la empresa hace realmente con los datos de los usuarios.

Revisión enterprise: la dimensión comercial

Los equipos de compras enterprise revisan las condiciones de servicio y las políticas de privacidad de SaaS como parte habitual del proceso de incorporación de proveedores. Buscan disposiciones específicas: un límite de responsabilidad claro (y su importe), una exención de garantías, cláusulas de titularidad de datos que confirmen que el cliente es propietario de sus datos, una disposición de portabilidad que confirme que los datos pueden exportarse a petición, una cláusula de rescisión con períodos de preaviso adecuados y una disposición de modificación de condiciones que no permita a la empresa cambiar términos materiales unilateralmente. Una política de privacidad revisada por el DPD de una empresa enterprise debe describir con precisión todos los subencargados y contener una referencia al acuerdo de tratamiento de datos. Los documentos que no superan estas comprobaciones (por ausencia, ambigüedad o contradicción) se devuelven con comentarios, añadiendo días o semanas al ciclo de ventas.

Documentos que Redactamos para Empresas SaaS

Preparamos el conjunto completo de documentos jurídicos de cara al usuario para productos SaaS. Cada uno se redacta específicamente para el producto (no a partir de una plantilla genérica) y se actualiza a medida que el producto y el entorno regulatorio evolucionan.

Condiciones de Servicio SaaS

Qué cubre: El contrato que rige el acceso al software: qué entrega la empresa, de qué es responsable, quién es propietario de los datos y cómo puede cualquiera de las partes poner fin a la relación.

Cesiones de licencia — el alcance de la licencia de software (por usuario, por uso o corporativa); usos permitidos; restricciones
Uso aceptable — qué pueden y no pueden hacer los usuarios con el software; consecuencias de la infracción
Niveles de servicio — compromisos de uptime (si los hay); qué constituye tiempo de inactividad; ventanas de mantenimiento programado
Condiciones de soporte — niveles de soporte, tiempos de respuesta, alcance del soporte, exclusiones
Tarifas y pago — precios de suscripción, ciclo de facturación, métodos de pago, pago tardío, disposiciones de cambio de precio
Titularidad de los datos — quién es propietario de los datos que el cliente introduce en la plataforma; qué puede y no puede hacer la empresa con ellos
Portabilidad de los datos — derecho del cliente a exportar sus datos; formato y plazo
Propiedad intelectual — titularidad de la empresa sobre el software; titularidad del cliente sobre su contenido
Límite de responsabilidad — responsabilidad agregada máxima de la empresa; exclusión de daños consecuentes e indirectos
Exención de garantías — qué garantiza y qué no garantiza la empresa sobre el software
Modificaciones — derecho de la empresa a modificar el software y las condiciones; período de preaviso; derecho del cliente a rescindir si los cambios son materiales
Rescisión — causas de rescisión por cualquiera de las partes; período de preaviso; efecto de la rescisión; gestión de datos tras la rescisión
Ley aplicable — derecho lituano; tribunales lituanos; mínimos de protección al consumidor de la UE preservados cuando proceda

El límite de responsabilidad — la cláusula más importante

Para una empresa SaaS, el límite de responsabilidad en las condiciones de servicio es la cláusula jurídica comercialmente más significativa. Sin un límite, un cliente cuyo negocio se vio perturbado por una caída de la plataforma puede reclamar daños ilimitados (potencialmente órdenes de magnitud superiores al valor de la suscripción anual). Un límite estándar acota la responsabilidad agregada a 12 meses de cuotas de suscripción pagadas. Algunos clientes enterprise negocian límites más altos para categorías de riesgo específicas; la posición de partida debe ser siempre un límite, nunca responsabilidad ilimitada. Incorporamos un límite de responsabilidad en todas las condiciones de servicio SaaS que redactamos y asesoramos sobre el nivel de límite comercialmente apropiado para el perfil de riesgo del producto.

Política de Privacidad SaaS

Qué cubre: El documento de transparencia exigido por el RGPD que describe todas las actividades de tratamiento de datos personales del producto SaaS (específico para el producto, no una política genérica de sitio web).

Identidad y datos de contacto del responsable del tratamiento — nombre de la empresa, número de registro, domicilio social, contacto de protección de datos
Categorías de datos personales tratados — datos de cuenta, datos de uso, datos en el producto, datos de integración, comunicaciones de soporte
Finalidades y base jurídica — para qué se usan los datos; la base jurídica de cada actividad de tratamiento (contrato, interés legítimo, consentimiento, obligación legal)
Períodos de conservación de datos — durante cuánto tiempo se conserva cada categoría de datos; criterios para determinar la conservación cuando no se aplica un período fijo
Compartición con terceros — con quién se comparten los datos; subencargados (AWS, Stripe, herramientas de análisis); la base para la compartición
Transferencias internacionales de datos — dónde se tratan los datos geográficamente; mecanismos de transferencia para el tratamiento fuera del EEE
Derechos de los interesados — lista de derechos; cómo ejercerlos; plazos de respuesta; derecho a reclamar ante la INSPD
Toma de decisiones automatizada — si algún tratamiento automatizado tiene efectos significativos en los usuarios; información exigida por el Artículo 22
Información sobre cookies y rastreo — tipos de cookies utilizadas; finalidades; enlace a la política de cookies para más detalle
Información de contacto para consultas de protección de datos y el DPD (si se ha designado)

Política de privacidad específica para el producto frente a la genérica

Una política de privacidad conforme al RGPD debe describir todo el tratamiento de datos personales en el momento de la recogida, lo que significa que debe reflejar con precisión lo que el producto SaaS hace realmente con los datos de los usuarios. Una política que solo describe las cookies del sitio web y los envíos de formularios de contacto, pero no el tratamiento de los datos introducidos en el producto por los usuarios, incumple los Artículos 13 y 14 del RGPD. Los DPDs enterprise que revisan las políticas de privacidad de proveedores comprueban si las actividades de tratamiento descritas coinciden con los flujos de datos reales. Las discrepancias entre la política y el tratamiento real son un hallazgo de RGPD y una señal de alerta comercial. Redactamos las políticas de privacidad a partir de un análisis de los flujos de datos reales del producto, no de una plantilla genérica.

Política de Cookies y Especificación del Banner de Consentimiento

Qué cubre: La divulgación exigida por el RGPD sobre el uso de cookies y tecnologías de rastreo, más la especificación técnica para un mecanismo de consentimiento conforme.

Categorías de cookies — estrictamente necesarias, funcionales, analíticas, de marketing y de terceros; enumeradas con finalidad y duración
Lista específica de cookies — cookies nominadas con emisor, categoría, finalidad y fecha de caducidad para cada una
Descripción del mecanismo de consentimiento — cómo se obtiene el consentimiento para las cookies no esenciales; cómo cambiar o retirar el consentimiento
Emisores de cookies de terceros — identificando las herramientas de análisis, publicidad y soporte que establecen cookies
Especificación técnica del banner de consentimiento — requisitos de implementación de consentimiento conforme al RGPD para el equipo de desarrollo
Sin casillas premarcadas — especificación que confirma que los banners de consentimiento no utilizan opciones preseleccionadas
Requisito de igual prominencia — el botón de rechazo debe ser tan accesible como el de aceptación
Requisitos de registro de consentimiento — qué datos de consentimiento deben almacenarse y durante cuánto tiempo

Política de Uso Aceptable (AUP)

Qué cubre: Define qué pueden y no pueden hacer los usuarios con la plataforma SaaS, protegiendo a la empresa de la responsabilidad por contenido generado por los usuarios y actividades prohibidas, al tiempo que establece causas claras de suspensión de la cuenta.

Usos permitidos — las categorías de uso lícito y previsto del software
Actividades prohibidas — lista específica de usos prohibidos: contenido ilegal, acoso, spam, infracción de PI, ingeniería inversa, pruebas de seguridad sin autorización
Obligaciones de seguridad — qué deben hacer los usuarios para proteger las credenciales de su cuenta y prevenir el acceso no autorizado
Estándares de contenido — requisitos para el contenido generado por los usuarios donde la plataforma lo permita
Obligaciones de notificación — cómo deben los usuarios informar de infracciones de otros usuarios o incidentes de seguridad
Consecuencias de la infracción — derechos de la empresa ante una infracción: advertencia, suspensión, rescisión; preservación de acciones legales
Disposiciones de ejecución — derecho de la empresa a investigar presuntas infracciones y cooperar con las autoridades legales

Adenda de Tratamiento de Datos (ATD) para Condiciones B2B

Qué cubre: El acuerdo de encargado del Artículo 28 del RGPD integrado o adjunto a las condiciones SaaS, que cubre todo el tratamiento de datos de usuarios del cliente por la plataforma SaaS, satisfaciendo el requisito obligatorio de un acuerdo de tratamiento documentado con cada cliente B2B.

Objeto y duración — qué datos se tratan y durante cuánto tiempo
Naturaleza y finalidad del tratamiento — las actividades específicas de tratamiento realizadas por la plataforma SaaS en nombre del cliente
Tipo de datos personales y categorías de interesados — identificación de las categorías de datos que trata la plataforma
Obligaciones del encargado — la lista completa del Art. 28(3): tratar solo según instrucciones; confidencialidad; medidas de seguridad; gestión de subencargados; asistencia en derechos de interesados; notificación de brechas; supresión o devolución; cooperación en auditorías
Anexo de seguridad (Medidas Técnicas y Organizativas) — el marco de seguridad aplicado a los datos del cliente
Disposiciones sobre subencargados — lista de subencargados actuales; procedimiento de notificación para incorporaciones; mecanismo de oposición del cliente
Cláusula de transferencia internacional de datos — Cláusulas Contractuales Tipo para el tratamiento fuera del EEE
Calendario de devolución y supresión de datos — plazo y formato para la devolución o supresión de los datos del cliente al vencimiento del contrato

Contrato de Licencia de Usuario Final (CLUF)

Qué cubre: Para productos SaaS con un componente descargable o instalable (una aplicación de escritorio, aplicación móvil, extensión de navegador o software instalado localmente), el CLUF regula la licencia de uso de ese elemento de software específico junto con la suscripción basada en web.

Licencia de software — la concesión específica de licencia para el componente descargable/instalable; plataformas y dispositivos permitidos
Instalación y requisitos del sistema — qué debe tener el usuario para instalar el software
Restricciones de uso — sin ingeniería inversa, descompilación ni modificación del software
Actualizaciones y versiones — derecho de la empresa a emitir actualizaciones; disposiciones de actualización automática; ciclo de vida de soporte de versiones
Rescisión — cómo se rescinde la licencia; obligación de eliminar el software al vencimiento
Relación con las condiciones de suscripción — cómo interactúa el CLUF con el contrato de suscripción SaaS general
Garantía y responsabilidad — garantía limitada para el software; coherente con el límite de responsabilidad de las condiciones principales

Qué Verifican los Clientes Enterprise en Sus Condiciones y Política de Privacidad

Los equipos de compras enterprise y sus asesores jurídicos siguen un patrón de revisión consistente al evaluar la documentación jurídica de un nuevo proveedor SaaS. Comprender qué verifican (y asegurarse de que esté presente y claramente redactado) reduce el tiempo de revisión jurídica y acelera el cierre del contrato.

Qué verifican	En las Condiciones de Servicio	En la Política de Privacidad
Límite de responsabilidad	¿Existe un límite? ¿Cuál es el importe? ¿Hay categorías sin límite?	N/A
Titularidad de los datos	¿Reclama la empresa algún derecho sobre los datos del cliente? ¿Puede usar los datos para sus propios fines?	¿Se utilizan los datos del cliente para entrenar modelos, análisis o mejora del producto?
Portabilidad de los datos	¿Puede el cliente exportar sus datos? ¿En qué formato? ¿En qué plazo?	¿En qué formato se facilitan los datos en las solicitudes de portabilidad?
Rescisión	¿Qué preaviso se requiere? ¿Qué ocurre con los datos tras la rescisión? ¿Hay un período de gracia?	¿Cuál es el período de conservación de datos tras el cierre de la cuenta?
Nivel de servicio	¿Hay un compromiso de uptime? ¿Cuál es el remedio ante la caída?	N/A
Cambio de condiciones	¿Puede la empresa cambiar las condiciones unilateralmente? ¿Con qué preaviso? ¿Puede el cliente salir?	¿Actualiza la empresa la política de privacidad? ¿Cómo se notifica?
Subencargados	N/A	¿Se listan los subencargados? ¿Están las transferencias internacionales cubiertas por CCT?
Referencia al ATD	¿Se hace referencia a un ATD o adenda ATD en las condiciones?	¿Hace referencia la política de privacidad al ATD para el tratamiento B2B?
Ley aplicable	¿Qué derecho? ¿Qué tribunales? ¿Se preservan los mínimos de consumo de la UE?	¿Qué autoridad supervisora? ¿Se identifica la INSPD?

Lo Que las Plantillas Genéricas Hacen Mal para SaaS

Las plantillas genéricas de condiciones y políticas de privacidad (de una herramienta generadora, de una biblioteca de plantillas jurídicas o tomadas prestadas del sitio web de otra empresa) fallan sistemáticamente a las empresas SaaS de formas predecibles. Estos son los problemas más frecuentes que encontramos al revisar documentación existente.

Sin límite de responsabilidad

La carencia más frecuente en las condiciones SaaS genéricas. La mayoría de las plantillas de condiciones de sitios web no incluyen un límite de responsabilidad porque fueron redactadas para relaciones comerciales de menor riesgo. Una empresa SaaS que opera bajo condiciones sin límite de responsabilidad está expuesta a reclamaciones no acotadas por el valor de la suscripción, lo que puede ser catastrófico ante un incidente grave. Añadimos o sustituimos esta disposición en cada encargo de revisión de condiciones.

Cláusula de titularidad de datos incorrecta o ausente

Las plantillas genéricas contienen con frecuencia un lenguaje vago sobre los datos (“podemos usar sus datos para mejorar nuestros servicios”) sin especificar si esto significa que los datos del cliente se utilizan para entrenar modelos, establecer comparativas de rendimiento o crear análisis agregados. Los clientes enterprise leen estas cláusulas detenidamente. El lenguaje ambiguo genera solicitudes de aclaración que retrasan los contratos. Una cláusula de titularidad de datos clara y específica (que confirme que los datos del cliente pertenecen al cliente y describa con precisión qué hace y qué no hace la empresa con ellos) elimina esta fricción.

Sin disposición de portabilidad de datos

Los usuarios tienen derecho en virtud del RGPD a recibir sus datos personales en un formato estructurado, de uso común y legible por máquina. Para los productos SaaS, esto significa que el cliente debe poder exportar sus datos cuando desee salir, no solo al cerrar la cuenta. Las condiciones que no mencionan la portabilidad de datos dejan a la empresa expuesta a las solicitudes de portabilidad de datos del RGPD y a las preguntas de las compras enterprise sobre el bloqueo del proveedor. Incluimos una cláusula específica de portabilidad en cada encargo de condiciones SaaS.

La política de privacidad describe el sitio web, no el producto

El problema más frecuente de política de privacidad en empresas SaaS. La política de privacidad fue redactada para describir el sitio web de la empresa (cookies, formularios de contacto, marketing por correo electrónico) y luego reutilizada como política de privacidad del producto sin actualizarse para reflejar lo que el producto hace realmente. Un DPD enterprise que revise la política comparándola con los flujos de datos reales del producto identificará la discrepancia de inmediato. Redactamos las políticas de privacidad a partir de un análisis de las actividades reales de tratamiento de datos del producto.

Las condiciones y la política de privacidad contradicen el ATD

Para las empresas SaaS B2B que tienen un ATD separado, las condiciones y la política de privacidad deben ser coherentes con él. Si las condiciones dicen que la empresa puede usar los datos del cliente para análisis, pero el ATD establece que la empresa solo trata los datos según las instrucciones del cliente, los documentos se contradicen. Los equipos jurídicos enterprise señalan las contradicciones porque crean ambigüedad sobre qué documento prevalece. Redactamos todos los documentos como un conjunto integrado, garantizando la coherencia interna entre condiciones, política de privacidad y ATD.

Precios de Redacción de Documentos

Todos los documentos tienen precios fijos y se entregan en inglés en formato editable, listos para revisión y publicación. Se proporcionan versiones en lituano para cualquier documento que el derecho lituano exija en ese idioma. Los documentos se redactan específicamente para el producto SaaS, no a partir de una plantilla genérica.

Documento / Servicio	Precio
Condiciones de servicio SaaS — estándar (B2B) Condiciones de suscripción completas: licencia, SLA, límite de responsabilidad, titularidad de datos, rescisión; inglés + lituano	€900
Condiciones de servicio SaaS — B2C (dirigido al consumidor) Condiciones estándar más las disposiciones obligatorias de la Directiva de Derechos del Consumidor de la UE; derechos de desistimiento y protecciones al consumidor	€1.250
Condiciones de servicio SaaS — modelo freemium Que cubra tanto el nivel gratuito como el de pago; disposiciones de actualización y conversión; restricciones de funcionalidades entre niveles	€1.200
Política de privacidad — específica para el producto SaaS Entrada completa de mapeo de datos del producto; conforme al RGPD Arts. 13/14; lista de subencargados referenciada; inglés + lituano	€700
Política de cookies + especificación del banner de consentimiento Lista de cookies nominadas; requisitos técnicos del banner de consentimiento para una implementación RGPD conforme	€550
Política de uso aceptable (AUP) Actividades prohibidas, estándares de contenido, obligaciones de seguridad, derechos de ejecución	€650
Adenda de Tratamiento de Datos (ATD) — B2B integrada Conforme al Art. 28; anexo de seguridad; disposiciones sobre subencargados; cláusula CCT — como anexo a las condiciones de suscripción	€600
Contrato de Licencia de Usuario Final (CLUF) Para productos SaaS con componentes descargables o instalables	€700
Revisión de condiciones existentes e informe de carencias Análisis escrito que identifica disposiciones ausentes, problemas de plantilla y modificaciones prioritarias	€700
Modificación de condiciones — añadir límite de responsabilidad y titularidad de datos Incorporación de las dos disposiciones prioritarias ausentes a las condiciones existentes	€600
Revisión y actualización anual de documentos Revisión de los documentos existentes frente a las directrices regulatorias actuales y los cambios del producto	€200–€350 por documento
Respuesta a redlines de condiciones enterprise Revisión y respuesta a los cambios propuestos por el cliente a las condiciones estándar; comentario escrito	€650
Paquete de documentación estándar SaaS (CdS + política de privacidad + política de cookies + AUP + ATD) Cinco documentos esenciales para el lanzamiento de un producto SaaS B2B conforme — ahorro de €500 frente a los precios individuales	€3.100
Suite completa de documentación SaaS (los 6 documentos, incluido CLUF) Los seis documentos — ahorro de €550 frente a los precios individuales; incluye el CLUF para productos con componentes descargables	€3.500

Paquete de documentación estándar SaaS — qué incluyeEl paquete de €3.100 incluye los cinco documentos que toda empresa SaaS B2B necesita antes de incorporar clientes: condiciones de servicio con límite de responsabilidad y cláusula de titularidad de datos, una política de privacidad específica para el producto, una política de cookies con especificación del banner de consentimiento, una política de uso aceptable y una adenda de tratamiento de datos. Los cinco se redactan como un conjunto integrado, internamente coherentes, específicamente adaptados al tratamiento de datos real del producto y formateados para su publicación inmediata. Encargarlos por separado cuesta €3.600. El paquete ahorra €500.

El RGPD se aplica en función de la ubicación de los interesados, no de la ubicación de la empresa. Si su plataforma SaaS trata datos personales de personas físicas ubicadas en la UE, el RGPD es de aplicación, independientemente de dónde esté constituida su empresa o de dónde estén ubicados sus servidores. A la inversa, si todos sus usuarios están fuera de la UE (por ejemplo, exclusivamente en EE. UU. o en el Sudeste Asiático) y su plataforma no trata ningún dato personal de residentes en la UE, el ámbito de aplicación territorial del RGPD no aplica (aunque otras normativas de privacidad en esas regiones sí pueden hacerlo). Una empresa SaaS lituana con una base de usuarios global casi con toda certeza tiene usuarios en la UE y está, por tanto, plenamente sujeta al RGPD.

Un aviso de privacidad (o política de privacidad) es un documento de transparencia dirigido a los propios usuarios de la empresa SaaS: describe qué datos personales recoge directamente de los usuarios, con qué finalidades, sobre qué base jurídica y cuáles son los derechos del usuario. Cumple la obligación de transparencia del responsable en virtud de los Artículos 13 y 14 del RGPD. Un acuerdo de tratamiento de datos (ATD) es un contrato entre la empresa SaaS (como encargada) y un cliente empresarial (como responsable): regula cómo la empresa SaaS trata los datos personales de los usuarios del cliente en nombre de este, y contiene las disposiciones obligatorias del Art. 28 del RGPD. Ambos documentos son necesarios para una empresa SaaS B2B, pero sirven a finalidades completamente diferentes y van dirigidos a audiencias completamente distintas.

Cuando un usuario de un cliente contacta directamente con la empresa SaaS para ejercer un derecho (solicitar acceso a sus datos o pedir su supresión) la empresa SaaS actúa en el rol de encargada del tratamiento. En este rol, trata los datos siguiendo las instrucciones del cliente y no puede responder directamente al interesado sin la autorización del cliente. El procedimiento correcto es: acusar recibo de la solicitud; notificar inmediatamente al cliente correspondiente (el responsable del tratamiento); y proporcionar al cliente la asistencia técnica que necesite para responder (por ejemplo, ejecutar un extracto de datos o eliminar los registros del usuario específico). El cliente responde entonces al interesado dentro del plazo del RGPD. Documentamos este procedimiento de escalado como parte de los procedimientos de derechos de los interesados.

Una Evaluación de Impacto de la Transferencia (EIT) es un análisis obligatorio cuando se transfieren datos personales desde la UE a un país fuera del EEE que no tiene una decisión de adecuación de la UE, como EE. UU. Las EITs se volvieron obligatorias tras la sentencia Schrems II, que invalidó el Privacy Shield UE-EE. UU. y exigió a las organizaciones que utilizan Cláusulas Contractuales Tipo para transferencias a EE. UU. que evaluaran si las CCT proporcionan una protección efectiva en la práctica. Si la empresa SaaS utiliza subencargados con sede en EE. UU. (AWS us-east, Google Cloud, Stripe, SendGrid) y estos tratan datos personales de la UE, pueden ser necesarias EITs. En la práctica, la mayoría de los principales proveedores cloud han publicado documentación de EIT en la que las organizaciones pueden apoyarse. Asesoramos sobre los requisitos de EIT para acuerdos específicos de subencargados como parte de la evaluación de transferencias internacionales.

Como encargada del tratamiento, la empresa SaaS debe notificar a cada cliente afectado de una brecha que involucre sus datos, pero solo a los clientes cuyos datos hayan resultado realmente afectados. Si la brecha afecta a los sistemas internos de la empresa y no compromete ningún dato de clientes, no existe obligación de notificar a los clientes en la condición de encargada. Sin embargo, si se ven involucrados datos personales de algún cliente (aunque solo se haya accedido o divulgado el dato de un único cliente) ese cliente debe ser notificado sin demora indebida. El registro interno de brechas debe documentar todas las brechas, incluidas las que no alcanzan el umbral de notificación a la INSPD, ya que estos registros deben estar disponibles para la auditoría de la INSPD.

No es lo ideal. Los visitantes del sitio web y los usuarios del producto tienen relaciones de tratamiento de datos materialmente diferentes con la empresa SaaS. Los visitantes del sitio web pueden estar sujetos al rastreo mediante cookies y al tratamiento básico de formularios de contacto. Los usuarios del producto están sujetos a un tratamiento más extenso: datos de cuenta, análisis de uso, interacciones con el producto, comunicaciones de soporte y, potencialmente, datos que introducen en el producto. Un único aviso de privacidad que intente cubrir a ambas audiencias suele producir un documento que o bien es demasiado vago para satisfacer los requisitos de transparencia del RGPD para los usuarios del producto, o bien demasiado detallado para que los visitantes del sitio web puedan leerlo. Recomendamos avisos de privacidad separados para el sitio web (orientado a visitantes) y el producto (orientado a usuarios), con señalizaciones claras desde cada contexto.

La privacidad desde el diseño (PbD) es un principio del RGPD (Art. 25) que exige que la protección de datos se incorpore al diseño de los sistemas y productos de tratamiento, en lugar de añadirse como medida a posteriori. Para las empresas SaaS, esto significa: evaluar las implicaciones en materia de protección de datos de las nuevas funcionalidades del producto antes de desarrollarlas; aplicar la minimización de datos (recopilar únicamente los datos realmente necesarios); implementar las protecciones técnicas adecuadas (cifrado, seudonimización, controles de acceso) desde el inicio; y realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) para funcionalidades que impliquen tratamiento de alto riesgo. La privacidad desde el diseño es tanto una obligación legal como una ventaja comercial: los productos construidos con ella desde el inicio requieren menos adaptaciones cuando los clientes enterprise realizan revisiones de seguridad de proveedores.

¿Listo para poner en orden su documentación SaaS?

Contáctenos para hablar sobre su producto, el estado actual de la documentación y sus prioridades inmediatas. Confirmaremos qué documentos son más urgentes, proporcionaremos presupuestos a tarifa fija y comenzaremos la redacción en un plazo de 24 horas desde su instrucción. El paquete de documentación estándar SaaS (cinco documentos esenciales) está disponible a €3.100.