English Español Português (Brasil) Français Deutsch Italiano Română
Iniciar sesión Empezar gratis

Formularios de contacto conformes con el GDPR: lo que todo negocio necesita saber

Si recopila datos personales a través de un formulario de contacto — y prácticamente todos lo hacen — el Reglamento General de Protección de Datos (GDPR) se aplica a usted si alguno de sus visitantes se encuentra en la Unión Europea. Esto aplica independientemente de dónde esté ubicado su negocio.

El cumplimiento del GDPR para formularios de contacto no es tan complicado como puede parecer, pero sí requiere elementos específicos que muchos negocios pasan por alto o implementan incorrectamente. Esta guía cubre lo que necesita, por qué existe y cómo implementarlo correctamente.

Por qué los formularios de contacto están en el alcance del GDPR

Un formulario de contacto recopila datos personales — como mínimo una dirección de correo electrónico y, generalmente, un nombre, el contenido del mensaje y, a veces, un número de teléfono o empresa. Bajo el GDPR, cualquier recopilación de datos personales de residentes de la UE requiere:

  1. Una base legal para el tratamiento
  2. Transparencia — informar a las personas sobre el uso que se dará a sus datos
  3. Minimización de datos — recopilar solo lo necesario
  4. Seguridad adecuada — proteger los datos del acceso no autorizado
  5. Respeto de los derechos de los interesados — proporcionar un mecanismo para que las personas accedan, corrijan o eliminen sus datos

La mayoría de los formularios de contacto en la práctica tienen una base legal y la intención de recopilar datos mínimos — pero fallan en la transparencia y en los mecanismos del consentimiento.

El error de cumplimiento más común

Muchos negocios agregan una casilla de consentimiento GDPR a su formulario de contacto con un texto similar a:

☐ Acepto los Términos de Servicio y la Política de Privacidad

Esto no es un consentimiento GDPR válido por dos razones:

  1. Consentimiento agrupado: combinar el acuerdo con los términos de servicio y el consentimiento de privacidad en una sola casilla no está permitido. Son dos cosas diferentes y requieren acuerdos separados.
  2. Casillas premarcadas: el GDPR requiere una aceptación activa. Una casilla premarcada no constituye consentimiento.

El consentimiento válido debe ser:

  • Libre: el visitante debe poder enviar el formulario y contactarle sin verse obligado a aceptar el marketing
  • Específico: cada propósito requiere su propia declaración de consentimiento
  • Informado: el visitante debe entender a qué está consintiendo
  • Inequívoco: requiere una acción positiva (marcar una casilla, no aceptar un valor predeterminado)

Base legal para los envíos de formularios de contacto

No todo en un formulario de contacto requiere consentimiento. El GDPR establece múltiples bases legales para el tratamiento de datos personales:

Interés legítimo (artículo 6(1)(f))

Si alguien completa un formulario de contacto y le hace una pregunta, el tratamiento de su nombre y correo electrónico para responder a esa pregunta cae bajo el interés legítimo. Usted tiene un interés legítimo en responder a las consultas que le envían. El visitante tiene un interés legítimo en recibir una respuesta. Esto no requiere una casilla de consentimiento para el tratamiento principal — es inherente al acto de enviarle un mensaje.

Consentimiento (artículo 6(1)(a))

Requerido para cualquier tratamiento que vaya más allá del alcance de responder la consulta:

  • Agregar al visitante a una lista de correo de marketing
  • Usar sus datos para perfilado o análisis
  • Compartir sus datos con terceros con fines de marketing
  • Contactarle sobre futuras ofertas no relacionadas con su consulta

Estos casos requieren una casilla de aceptación explícita y separada — no incluida junto con el envío en sí.

Contrato (artículo 6(1)(b))

Si el envío del formulario forma parte del inicio de una relación contractual (por ejemplo, solicitar una cotización), el tratamiento de los datos necesarios para cumplir ese contrato tiene una base legal sin necesidad de consentimiento.

Lo que necesita su formulario de contacto

1. Un enlace a la política de privacidad

Todo formulario de contacto debe incluir una referencia a su política de privacidad. El enfoque mínimo de cumplimiento es una frase cerca del botón de envío:

Al enviar este formulario, su información será tratada de acuerdo con nuestra [Política de Privacidad].

El enlace debe dirigir a una política de privacidad real y actualizada que describa: qué datos se recopilan, cómo se usan, durante cuánto tiempo se conservan, con quién pueden compartirse y cómo pueden ejercer sus derechos los visitantes.

2. Una casilla de consentimiento de marketing separada (si aplica)

Si tiene la intención de agregar a los remitentes del formulario a un boletín o lista de marketing, esto requiere una casilla de verificación separada, sin marcar y con redacción clara:

☐ Me gustaría recibir actualizaciones ocasionales y novedades sobre productos por correo electrónico. Puedo cancelar mi suscripción en cualquier momento.

Debe ser independiente del envío del formulario y debe estar desmarcada por defecto.

3. Minimización de datos

Recopile solo los campos necesarios para procesar la consulta. Un formulario de contacto no debe recopilar fecha de nacimiento, nacionalidad o información de salud a menos que su contexto empresarial específico lo requiera. Cada campo que recopila debe poder justificarse.

4. Seguridad en tránsito y en reposo

Los envíos de formularios deben transmitirse a través de HTTPS. Los datos almacenados en sus servidores deben estar adecuadamente protegidos. Si utiliza una herramienta de formularios de contacto o una plataforma de help desk de terceros, verifique su acuerdo de tratamiento de datos (DPA) y dónde se almacenan los datos.

5. Un acuerdo de tratamiento de datos con su encargado

Si utiliza cualquier plataforma de terceros para recibir o almacenar envíos de formularios (un CRM, un help desk, un proveedor de correo electrónico), esa plataforma es un encargado del tratamiento bajo el GDPR. Está obligado a tener un DPA firmado con ellos. La mayoría de las plataformas reconocidas proporcionan un DPA estándar bajo solicitud o como documento de autoservicio en su configuración.

Retención de datos: ¿cuánto tiempo puede conservar los envíos?

El GDPR establece que los datos personales no deben conservarse más tiempo del necesario para su finalidad. Para los envíos de formularios de contacto, un enfoque razonable:

  • Consultas activas: conservar durante la duración de la relación con el cliente
  • Consultas cerradas sin relación con el cliente: eliminar después de 12–24 meses (ajuste según su contexto empresarial)
  • Registros de consentimiento de marketing: conservar mientras la persona esté en su lista, más el tiempo suficiente para demostrar que se otorgó el consentimiento

Defina una política de retención por escrito e impleméntela — ya sea manualmente o mediante eliminación automatizada en su help desk o CRM.

Derechos de los interesados

Su política de privacidad y sus procesos deben respetar estos derechos, que cualquier residente de la UE puede invocar respecto a sus datos:

  • Derecho de acceso: recibir una copia de los datos que usted conserva sobre ellos
  • Derecho de supresión ("derecho al olvido"): eliminación de sus datos personales
  • Derecho de rectificación: corrección de datos inexactos
  • Derecho a la limitación del tratamiento: restricción de lo que hace con sus datos
  • Derecho de oposición: oponerse al tratamiento basado en interés legítimo

Para los envíos de formularios de contacto en concreto, debe poder localizar todos los datos asociados a una dirección de correo electrónico en sus sistemas (tickets de help desk, CRM, listas de correo) y proporcionarlos o eliminarlos a solicitud en un plazo de 30 días.

Preguntas frecuentes

¿Necesito una casilla de consentimiento en cada formulario de contacto? No. Si el tratamiento se basa en el interés legítimo (responder la consulta), no se requiere una casilla de consentimiento para ese tratamiento. Solo se requiere una casilla de consentimiento para tratamientos adicionales — como agregar a la persona a una lista de marketing.

¿Esto aplica si mi negocio no está ubicado en la UE? Sí. El GDPR se aplica a cualquier organización que trate datos personales de personas ubicadas en la UE, independientemente de la ubicación de la organización.

¿Qué pasa si un visitante de fuera de la UE envía el formulario? El GDPR aplica solo a los residentes de la UE. Sin embargo, adoptar prácticas conformes con el GDPR para todos los envíos de formularios es más sencillo que intentar detectar y diferenciar por ubicación del visitante, y lo prepara para regulaciones similares en otras jurisdicciones (UK GDPR, PIPEDA en Canadá, LGPD en Brasil).

Cómo apoya Nura24 el cumplimiento del GDPR en formularios de contacto

El módulo de página de contacto de Nura24 incluye un componente nativo de casilla de consentimiento GDPR con texto de etiqueta configurable y un enlace obligatorio a la política de privacidad. La casilla está desmarcada por defecto y puede marcarse como obligatoria, impidiendo el envío del formulario sin consentimiento explícito. La aceptación de marketing utiliza una casilla adicional separada. Los envíos de formularios se almacenan dentro del sistema de tickets de Nura24 con un historial de auditoría visible. Los acuerdos de tratamiento de datos están disponibles para los clientes del plan empresarial. Para negocios que operan en la UE o que atienden a clientes de la UE, Nura24 proporciona las características de cumplimiento estructural integradas en la configuración del formulario de contacto — sin necesidad de desarrollo personalizado.

← Back to blog