Si la respuesta es sí, tu web está tratando datos personales. Y eso significa que no basta con tener un banner de cookies o una política de privacidad visible: hay que asegurarse de que cada tratamiento tiene una base jurídica adecuada, que el usuario recibe la información necesaria y que puedes demostrar el cumplimiento si te lo solicitan.

Muchas empresas piensan que con esto ya es suficiente. Pero, ¿realmente es así?

Te explicamos qué puntos deberías revisar para saber si tu web cumple realmente con la normativa.

El cumplimiento del RGPD en una web: más allá del banner de cookies

El Reglamento General de Protección de Datos (RGPD) no exige únicamente informar al usuario, sino gestionar correctamente todo el ciclo de vida de los datos personales: desde el momento en que se recopilan hasta que se eliminan.

Esto incluye formularios, suscripciones, herramientas de analítica, cookies, plataformas de marketing, píxeles publicitarios, chats online, pasarelas de pago, plugins o cualquier otro sistema que permita identificar a una persona, directa o indirectamente.

Por eso, una web puede tener textos legales visibles y, al mismo tiempo, no cumplir correctamente con la normativa si no existe una base jurídica adecuada, si el consentimiento no es válido o si no se controla qué hacen los terceros con los datos.

Te puede interesar: La AEPD actualiza la Guía sobre el uso de las Cookies

Errores habituales en webs que aparentan cumplir con el RGPD

Muchas empresas disponen de una web aparentemente correcta, pero con carencias importantes en materia de protección de datos. Algunos errores habituales son:

• Utilizar textos legales genéricos que no reflejen los tratamientos reales.
• Activar cookies antes de que el usuario haya dado su consentimiento.
• No ofrecer una opción clara para rechazar cookies.
• Incluir formularios sin información básica de protección de datos.
• Realizar envíos comerciales sin consentimiento válido.
• No tener contratos con proveedores que tratan datos.
• Recopilar más datos de los necesarios.
• No definir plazos de conservación.
• No tener un procedimiento para atender derechos.
• No revisar periódicamente los plugins y herramientas instaladas.

Estos errores pueden derivar en requerimientos, reclamaciones, sanciones económicas y en una pérdida de confianza por parte de clientes y usuarios. Por eso, revisar el cumplimiento de tu web no debería limitarse a “tener un banner visible”, sino a comprobar que todo el tratamiento de datos está correctamente estructurado.

Te puede interesar: ¿Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio?

¿Cómo poner a punto la protección de datos de tu web?

1 | Evalúa cuál es el punto de partida

Antes de actualizar textos legales o instalar un nuevo banner de cookies, hay que entender qué datos personales recopila realmente tu web y qué recorrido hacen dentro de la organización.

En muchas empresas, la web ha ido incorporando funcionalidades con el tiempo: formularios de contacto, suscripciones a newsletters, chats online, herramientas de analítica o píxeles publicitarios. El problema es que, a menudo, estas herramientas se instalan sin revisar qué impacto tienen en materia de protección de datos.

No es lo mismo tener una web corporativa con un formulario básico que un comercio electrónico o ecommerce con pasarelas de pago e integraciones con terceros.

Antes de actuar, hay que identificar qué datos se recopilan, con qué finalidad, durante cuánto tiempo se conservan y qué proveedores tienen acceso a ellos. El principio de responsabilidad proactiva del RGPD exige que la empresa no solo cumpla, sino que pueda demostrarlo.

Te puede interesar: Política de uso de dispositivos: por qué es imprescindible si tu empresa trata datos personales

2 | Obtén un consentimiento válido cuando sea necesario

Uno de los errores más habituales es pensar que cualquier formulario web legitima automáticamente el tratamiento de datos. Pero el RGPD establece que el consentimiento solo es válido cuando es libre, específico, informado e inequívoco.

Esto afecta especialmente a formularios comerciales, suscripciones a newsletters, cookies analíticas, píxeles publicitarios o cualquier herramienta que implique seguimiento del comportamiento del usuario.

Las casillas premarcadas, los consentimientos genéricos o los banners que dificultan rechazar cookies siguen siendo prácticas problemáticas. El usuario debe poder decidir de forma clara qué acepta y qué no.

3 | Informa con transparencia

La política de privacidad no debería ser un texto genérico copiado de otra web. Debe explicar de forma clara cómo se tratan los datos personales.

La información debe indicar, como mínimo, quién es el responsable del tratamiento, qué datos se recopilan, con qué finalidad, qué base jurídica legitima el tratamiento, durante cuánto tiempo se conservarán y si existen cesiones de datos o transferencias internacionales.

También debe explicar cómo puede ejercer sus derechos la persona usuaria y cómo puede contactar con la empresa o con el delegado de protección de datos, si lo hay.

Esta información debe estar disponible antes de que el usuario facilite sus datos, especialmente en formularios de contacto, suscripción o registro.

4 | Controla a los terceros que intervienen en tu web

Es habitual que una web utilice múltiples proveedores externos: herramientas de analítica, plataformas de newsletters, CRM, sistemas de reservas o servicios de alojamiento web… Cuando estos proveedores tratan datos personales por cuenta de la empresa, pueden actuar como encargados del tratamiento, y esto implica formalizar el correspondiente contrato de encargo del tratamiento, tal y como establece el artículo 28 del RGPD.

Además, hay que comprobar si tratan datos fuera del Espacio Económico Europeo, ya que esto puede implicar transferencias internacionales de datos y exigir garantías adicionales.

Te puede interesar: Coordinación de Actividades Empresariales (CAE) y protección de datos: qué hay que tener en cuenta para cumplir la normativa?

5 | Facilita el ejercicio de derechos

Las personas usuarias tienen derecho a acceder, rectificar, suprimir, limitar, oponerse al tratamiento o solicitar la portabilidad de sus datos personales.

Aun así, muchas webs informan sobre estos derechos dentro de la política de privacidad, pero después no tienen ningún procedimiento real para gestionar estas solicitudes.

La web debe indicar de forma clara cómo se pueden ejercer estos derechos y ofrecer un canal de contacto accesible. Además, la empresa debe definir internamente quién será responsable de gestionar estas peticiones y responder dentro de los plazos legales.

No basta con informar: hay que poder responder adecuadamente cuando llegue una solicitud.

6 | Refuerza la seguridad de la información

El RGPD obliga a aplicar medidas técnicas y organizativas adecuadas al riesgo para proteger los datos personales.

En una web, esto implica utilizar conexiones seguras, limitar accesos al panel de administración, mantener actualizados plugins y sistemas, hacer copias de seguridad y restringir el acceso únicamente al personal autorizado.

Además, el RGPD incorpora el principio de protección de datos desde el diseño y por defecto, lo que implica que la privacidad debe tenerse en cuenta desde el momento en que se crea o modifica una web.

7 | Define políticas y procesos internos

El cumplimiento normativo de la web no depende únicamente del departamento legal o de la persona que ha desarrollado la página. Marketing, ventas, administración o equipos técnicos pueden incorporar nuevas herramientas, formularios o sistemas de seguimiento sin revisar su impacto legal.

Por eso, es importante definir responsabilidades internas y revisar periódicamente cualquier cambio que afecte al tratamiento de datos.

8 | Documenta todo el cumplimiento

El RGPD se basa en el principio de responsabilidad proactiva, y eso significa que la empresa debe poder demostrar que cumple.

Esto implica conservar pruebas de los consentimientos obtenidos, los contratos con proveedores, las políticas actualizadas, los análisis de riesgos y los procedimientos internos implantados. Si una autoridad de control solicita información, no será suficiente decir que la web cumple: habrá que acreditarlo documentalmente.

Una página web que informa de forma clara, solicita solo los datos necesarios y respeta las decisiones del usuario transmite profesionalidad, seguridad y confianza.

En ON4 te ayudamos a revisar tu web, adaptar los textos legales, configurar correctamente las cookies y definir los procesos internos necesarios para que tu negocio cumpla con el RGPD.

La entrada ¿Tu web cumple realmente con el RGPD o solo lo parece? s'ha publicat primer a On4.

Esta duda es cada vez más habitual. Con la cantidad de información que circula en Internet y con las posibilidades de la inteligencia artificial, es fácil encontrar contenidos que parecen fiables, pero que no siempre lo son.

De hecho, organismos como el Instituto Nacional de Ciberseguridad (INCIBE) alertan de que la desinformación y los llamados bulos forman parte de los principales riesgos digitales actuales, tanto en el ámbito personal como profesional. Por eso, saber identificar si una noticia es fiable se ha convertido en una habilidad imprescindible.

Te explicamos qué son las fake news, dónde se pueden encontrar y qué pasos debes seguir para verificar una información antes de creerla o compartirla.

¿Qué son exactamente las fake news y los deepfakes?

Las noticias falsas (fake news) son contenidos manipulados que buscan desinformar, generar alarma o influir en nuestra opinión. A menudo no son noticias completamente inventadas, sino información real sacada de contexto o presentada de manera sesgada.

Por otro lado, los deepfakes son una forma más avanzada de manipulación: son vídeos, audios o imágenes alterados mediante IA para hacer que alguien parezca que dice o hace cosas que nunca han pasado.

Te dejamos algunos ejemplos para entender la diferencia:

• El uso creativo (deepfake): El famoso anuncio de Cruzcampo «Con mucho acento», donde se «resucitó» a la artista Lola Flores. Aunque en este caso su uso era comercial y ético (con permiso de la familia), demuestra el potencial de la tecnología para recrear personas de forma hiperrealista.

• El engaño viral (deepfake con IA): Seguramente recuerdas la imagen del Papa Francisco con un abrigo blanco o las imágenes de un supuesto arresto de Donald Trump que nunca tuvo lugar. Son ejemplos recientes de imágenes generadas por IA que engañaron a millones de personas.

• Ejemplo de fake news típica: Durante catástrofes naturales (como la reciente DANA en Valencia) o crisis sanitarias, suelen aparecer mensajes falsos de WhatsApp que alertan de cortes de agua inminentes o curas milagrosas sin ninguna base científica, con el único objetivo de generar caos.

¿Por qué caemos? La trampa de la psicología

La desinformación no se propaga solo por falta de datos, sino por nuestra propia psicología:

1. Impacto emocional: Los contenidos que generan miedo o rabia se comparten mucho más rápidamente.
2. Sesgo de confirmación: Tenemos tendencia a creer y compartir aquello que confirma nuestras ideas previas. Si una noticia falsa refuerza lo que ya pensamos, es más probable que no la verifiquemos.

¿Qué hay que hacer antes de confiar en una noticia?

Antes de compartir, detente y sigue estos 6 pasos para verificar una información:

1 | Verifica la fuente

Es importante comprobar quién publica la información. ¿Se trata de un medio conocido? ¿Hay un autor identificado?
Las fuentes poco claras o sin autoría son uno de los indicadores más habituales de desinformación.

2 | Lee más allá del titular

Los titulares sensacionalistas están pensados para captar la atención. Por eso, es importante leer el contenido completo y no quedarse solo con la primera impresión.

Una señal de alerta habitual es cuando el titular promete más de lo que realmente explica el contenido, o utiliza expresiones impactantes para generar curiosidad o alarma.

3 | Contrasta la información

Si una noticia es real, es probable que también aparezca en otros medios fiables o fuentes oficiales. Cuando solo se encuentra en un único lugar, hay que desconfiar.

4 | Revisa la URL

Algunas webs imitan medios conocidos con direcciones muy parecidas. Pequeñas variaciones pueden indicar que se trata de una página no fiable.

5 | Analiza las imágenes y el contenido

Imágenes fuera de contexto, de baja calidad o textos con errores pueden ser una señal de alerta. También es habitual reutilizar imágenes antiguas para reforzar noticias falsas.

Utiliza herramientas como Google Lens o TinEye para hacer una búsqueda inversa de imágenes. Esto te dirá si la foto es antigua o se está utilizando fuera de contexto.

6 | Detente antes de compartir

Antes de reenviar una noticia, vale la pena hacer una última comprobación. Compartir contenidos falsos contribuye a amplificar la desinformación.

Herramientas que pueden ayudar a verificar información

Además de las comprobaciones básicas, existen plataformas especializadas que pueden ayudar a contrastar contenidos.

• Para noticias: Maldita, Newtral, RTVE Verifica, AFP Factual o EFE Verifica.
• Para vídeos y fotos hechas con IA: Deepware, Sensity, The Hive, InVID WeVerify o Illuminarty.

Estas plataformas están especializadas en verificación de datos (fact-checking). Pero, más allá de las herramientas, el factor principal sigue siendo el pensamiento crítico. Cuando una noticia genera alarma, urgencia o apela a compartirla inmediatamente, es recomendable detenerse y verificarla antes de darla por válida.

Te puede interesar: Cómo comprobar si un enlace es malicioso

¿Y en el ámbito profesional?

En una empresa, difundir información falsa puede provocar daños reputacionales graves o, incluso, pérdidas económicas por decisiones basadas en datos incorrectos. Además, muchas fake news se utilizan como «gancho» para ataques de ciberseguridad (como el phishing) o para obtener ilegalmente datos personales.

Te puede interesar: Riesgos de la inteligencia artificial: Protege tu empresa y tus datos

Por este motivo, organismos como el Instituto Nacional de Ciberseguridad (INCIBE) o la Agencia Española de Protección de Datos (AEPD) recomiendan fomentar el pensamiento crítico y establecer protocolos internos para validar la información antes de que circule por el entorno laboral.

En muchos casos, una comprobación rápida puede evitar errores y riesgos innecesarios. En ON4 te ayudamos a implantar buenas prácticas en el uso de la información y la tecnología, con acciones de sensibilización, protocolos internos y asesoramiento en materia de protección de datos y entornos digitales.

La entrada Cómo saber si una noticia es falsa: pasos para detectar fake news s'ha publicat primer a On4.

Esta cuestión ha sido analizada recientemente por el Tribunal Supremo en la Sentencia 1302/2024, de 21 de noviembre de 2024, en relación con el contenido del registro retributivo y los límites derivados de la protección de datos.

Este tipo de situaciones no son excepcionales. En muchas empresas, la voluntad de cumplir con la transparencia retributiva convive con la duda de si se está exponiendo información sensible de la plantilla.

En este artículo te explicamos qué dice la normativa y qué criterio fija el Tribunal Supremo.

Te puede interesar: El reto del Plan de Igualdad: por qué muchas empresas aún no lo han implantado

El registro retributivo: ¿qué exige la normativa?

El registro retributivo está regulado en el artículo 28.2 del Estatuto de los Trabajadores y desarrollado por el Real Decreto 902/2020 sobre igualdad retributiva.

Esta normativa establece que las empresas deben disponer de un registro con los valores medios de las retribuciones de su plantilla, desagregados por sexo y por puestos de trabajo de igual valor.

Esto incluye:

• Media aritmética: es la media de los salarios dentro de un mismo grupo o puesto de trabajo. Permite tener una visión general del nivel retributivo.
• Mediana: es el valor central de los salarios. Es especialmente útil porque evita distorsiones cuando hay sueldos muy altos o muy bajos.
• Conceptos salariales: el registro no solo incluye el salario base, sino también otros conceptos como complementos, variables o percepciones extrasalariales.

El objetivo no es conocer el salario de cada persona trabajadora, sino detectar posibles desigualdades retributivas entre mujeres y hombres. Tal como recuerda el Tribunal Supremo, el registro retributivo se basa en datos agregados, no en información individualizada.

Te puede interesar: ¿Qué es el registro retributivo? Conoce las claves para una remuneración equitativa

El problema: cuando el dato deja de ser anónimo

En la práctica, sin embargo, esta lógica no siempre es tan clara.

Cuando se trabaja con grupos reducidos, la media aritmética o la mediana pueden permitir identificar indirectamente el salario de una persona.

Esto es habitual en puestos de trabajo con poca plantilla, categorías muy específicas y estructuras con baja representación de uno de los sexos. En estos casos, la transparencia puede entrar en conflicto con la protección de datos personales.

El criterio del Tribunal Supremo

Esta cuestión ha sido resuelta por el Tribunal Supremo en la Sentencia 1302/2024.

El Tribunal establece que el registro retributivo:

• Debe incluir valores medios, no salarios individuales.
• No puede incorporar datos que permitan identificar personas concretas.
• Debe respetar el principio de minimización de datos.

Por tanto, el Tribunal concluye que no existe una obligación legal que justifique facilitar datos que permitan identificar la retribución individual de una persona trabajadora.

¿Cuándo se deben incluir los datos?

Más allá del marco legal, la sentencia aporta un criterio práctico clave para las empresas.

Según el caso analizado, se pueden incluir medias y medianas cuando:

• Hay tres o más personas en cada sexo dentro del puesto de trabajo.

No se deben incluir datos cuando:

• Hay una sola persona de un sexo.
• Hay una persona de cada sexo.
• Hay solo dos personas del mismo sexo.

En estos supuestos, la información deja de ser agregada y puede permitir identificar salarios individuales, lo que vulneraría la confidencialidad.

Protección de datos y Plan de Igualdad: una relación directa

El registro retributivo forma parte del Plan de Igualdad, pero eso no significa que quede fuera de la normativa de protección de datos.

De hecho, todos los datos que se incluyen son datos personales y, por tanto, deben tratarse de acuerdo con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales.

Esto implica que las empresas deben:

• Tratar únicamente los datos necesarios: el registro debe contener información suficiente para analizar posibles desigualdades, pero sin incorporar datos innecesarios.
• Evitar la identificación directa o indirecta de personas: especialmente en grupos reducidos, donde una media o mediana puede revelar el salario de una persona concreta.
• Garantizar la seguridad de la información: estableciendo medidas que eviten accesos no autorizados o usos indebidos de los datos.
• Justificar cualquier tratamiento de datos personales: solo se pueden tratar datos cuando existe una base legal clara, como el cumplimiento de una obligación normativa.

El registro retributivo no legitima, por sí solo, el acceso a datos salariales individualizados, ya que la normativa exige trabajar con valores medios y respetar el principio de minimización de datos.

Te puede interesar: Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio

Las empresas deben revisar cómo están elaborando su registro retributivo y asegurarse de que los datos son realmente agregados, no se pueden identificar personas en grupos reducidos y se respeta el equilibrio entre transparencia y confidencialidad.

La falta de este equilibrio puede conllevar riesgos tanto en materia de igualdad como de protección de datos, ya sea porque el registro no permite analizar correctamente posibles desigualdades retributivas, o porque se facilitan datos que pueden llegar a identificar salarios individuales sin base legal suficiente, con el consiguiente riesgo de requerimientos o conflictos internos.

La transparencia retributiva es una obligación legal, pero no es absoluta. Según el Tribunal Supremo, debe convivir con el derecho a la protección de datos personales.

En ON4 te ayudamos a revisar tu registro retributivo y el Plan de Igualdad para garantizar que cumplen con la normativa vigente y se adaptan a la realidad de tu empresa.

Contacta con nosotros

La entrada Protección de datos en el Plan de Igualdad: ¿hasta dónde llega el registro retributivo? s'ha publicat primer a On4.

Este tipo de pronunciamientos ya no son excepcionales.

El derecho a la desconexión digital forma parte del ordenamiento jurídico español desde el año 2018. Siete años después de la entrada en vigor de la LOPDGDD, el margen de mejora en materia de desconexión digital sigue siendo amplio. La inexistencia de protocolos, su aplicación meramente formal o la falta de formación evidencian que, en muchas organizaciones, la cultura de cumplimiento en este ámbito todavía es insuficiente.

En este artículo te explicamos por qué el derecho a la desconexión digital no es una cuestión accesoria, sino una obligación legal directamente vinculada al descanso, a la intimidad y a la salud laboral.

Te puede interesar: Derecho a la desconexión digital: ¿Qué es y qué pasa si no se respeta?

El marco legal del derecho a la desconexión digital

El derecho a la desconexión digital está reconocido en el artículo 88 de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).

Este artículo establece que las personas trabajadoras y empleadas públicas tienen derecho a la desconexión digital fuera del tiempo de trabajo legal o convencionalmente establecido, con la finalidad de garantizar el respeto al descanso, a los permisos, a las vacaciones y a su intimidad personal y familiar.

Asimismo, la norma impone a la empresa la obligación de elaborar una política interna de desconexión digital, comunicada a la representación de las personas trabajadoras. Esta política debe definir las modalidades de ejercicio del derecho y debe incluir acciones de formación y sensibilización sobre un uso razonable de las herramientas tecnológicas.

Esta obligación es aplicable a todas las empresas, con independencia del número de personas trabajadoras en plantilla, e incluye expresamente a las personas que ocupan cargos directivos, así como a los supuestos de trabajo a distancia o teletrabajo.

Protocolo de desconexión digital y convenios colectivos

Aunque muchos convenios colectivos incorporan referencias al derecho a la desconexión digital, su regulación es a menudo genérica o limitada a una remisión a la normativa legal.

No obstante, la ausencia de regulación específica en el convenio colectivo aplicable no elimina la obligación empresarial de disponer de un protocolo de desconexión digital propio, adaptado a la organización, a la actividad y a los sistemas de trabajo existentes.

Te puede interesar: El derecho a la desconexión digital fuera del horario laboral

¿Audiencia o negociación? El criterio del Tribunal Supremo

Esta cuestión ha sido analizada recientemente por el Tribunal Supremo en la Sentencia STS 1041/2025, de 11 de noviembre de 2025 (Recurso 204/2024).

En esta resolución, el Tribunal Supremo ratifica el criterio de la Audiencia Nacional y confirma que la LOPDGDD exige de manera obligatoria el trámite de audiencia previa a la representación legal de las personas trabajadoras en la elaboración del protocolo de desconexión digital, pero no impone la obligación de negociarlo, salvo que así lo establezca expresamente el convenio colectivo aplicable.

El Tribunal señala que la política interna de desconexión digital debe atender a las exigencias legales y convencionales, pero que el cumplimiento del trámite de audiencia previa es suficiente desde el punto de vista legal cuando no existe una previsión convencional que imponga la negociación colectiva.

El derecho a la desconexión digital en el punto de mira de la Inspección de Trabajo

El derecho a la desconexión digital ha sido incorporado de manera expresa en el Plan Estratégico de la Inspección de Trabajo y Seguridad Social 2025–2027, aprobado por el Consejo de Ministros el 26 de agosto de 2025 y publicado en el Boletín Oficial del Estado el 12 de septiembre de 2025 mediante Resolución de la Secretaría de Estado de Trabajo.

Este Plan prevé actuaciones específicas en materia de desconexión digital, con una visión global que tiene en cuenta no solo el tiempo de trabajo, sino también los derechos de conciliación de la vida personal, familiar y laboral, el derecho a la intimidad y la posible exposición a riesgos psicosociales derivados de la hiperconexión.

Este contexto refuerza la idea de que la desconexión digital no es solo una cuestión organizativa, sino un elemento que puede dar lugar a actuaciones inspectoras, requerimientos formales y eventuales responsabilidades empresariales.

Te puede interesar: La conciliación, una medida clave en los Planes de Igualdad

Obligaciones legales de las empresas en materia de desconexión digital

Las empresas deben:

• Elaborar una política interna o protocolo de desconexión digital, aplicable a todas las personas trabajadoras, incluidas aquellas que ocupan cargos directivos, teniendo en cuenta lo que disponga el convenio colectivo de aplicación.
• Incluir acciones de formación y sensibilización sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
• Cumplir el trámite de audiencia previa a la representación legal de las personas trabajadoras, sin que sea exigible la negociación o el acuerdo, cuando esta exista, antes de la aprobación del protocolo.

La falta de protocolo, su aplicación meramente formal o la ausencia de acciones de sensibilización pueden comportar consecuencias como requerimientos de la Inspección de Trabajo, conflictos colectivos, reclamaciones individuales y eventuales indemnizaciones por vulneración de derechos fundamentales, especialmente cuando se vinculan a la salud laboral o a los riesgos psicosociales.

Cómo se elabora un protocolo de desconexión digital

La elaboración de un protocolo de desconexión digital no consiste solo en redactar un documento, sino en analizar la realidad de la empresa, sus sistemas de trabajo y los riesgos de hiperconexión, teniendo en cuenta el convenio colectivo aplicable y el resto de políticas internas.

Desde un punto de vista de compliance laboral, es clave que el protocolo:

• Defina criterios claros sobre tiempos de disponibilidad y canales de comunicación.
• Establezca pautas específicas para mandos y cargos de responsabilidad.
• Prevea mecanismos de seguimiento y revisión.
• Incorpore acciones reales de comunicación, formación y sensibilización.

Además, el proceso debe incluir el trámite de audiencia previa con la representación legal de las personas trabajadoras y su correcta integración dentro de los sistemas internos de cumplimiento normativo.

En ON4 te ayudamos a analizar, diseñar e implantar protocolos de desconexión digital adaptados a la actividad de tu empresa.

La entrada Desconexión digital: una asignatura pendiente en compliance laboral s'ha publicat primer a On4.

Este flujo constante de certificados, formaciones, DNI, aptitudes o datos de contacto es habitual en la Coordinación de Actividades Empresariales (CAE), y esto implica tratar y compartir datos personales entre diferentes organizaciones.

Si este intercambio no se controla adecuadamente, puede comportar riesgos de cumplimiento legal. Aquí es donde la CAE y la protección de datos se encuentran. Te explicamos qué dice la normativa y qué debe tener en cuenta cualquier empresa que participa en un proceso de CAE.

Te puede interesar: ¿Cómo garantizar el cumplimiento de la ley de protección de datos en tu negocio?

Marco legal de la CAE y la protección de datos

La Coordinación de Actividades Empresariales (CAE) es una obligación legal prevista en la Ley 31/1995 de Prevención de Riesgos Laborales (LPRL) y desarrollada por el Real decreto 171/2004. Su objetivo es garantizar que todas las empresas que trabajan en un mismo centro de trabajo compartan la información necesaria para prevenir riesgos y trabajar de manera segura.

Esta coordinación implica inevitablemente intercambiar documentación y datos personales del personal que accede al centro. Por ello, la CAE también tiene un impacto directo en la protección de datos y exige cumplir los requisitos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Te puede interesar: Documentación oficial del INSST sobre Coordinación de Actividades Empresariales

¿Qué tipo de datos se tratan en la CAE?

En un proceso de Coordinación de Actividades Empresariales, las empresas deben facilitar documentación para acreditar que el personal puede acceder y trabajar de manera segura dentro del centro.

Esto hace que la CAE implique el tratamiento de diversas categorías de datos personales:

• Datos identificativos: nombre, apellidos, DNI/NIE, pasaporte o fotografía.
• Datos laborales básicos: categoría profesional, empresa de origen, fechas de contratación o duración del servicio.
• Formación y acreditaciones: cursos de prevención de riesgos laborales, permisos, carnés profesionales o certificados requeridos para el puesto de trabajo.
• Aptitudes para el puesto de trabajo: habitualmente la conclusión del servicio de prevención (“Apta/Apta con restricciones”).
• Datos de contacto: teléfono o correo corporativo, si son necesarios para la coordinación.

El RGPD establece que solo se pueden tratar y compartir los datos estrictamente necesarios para cumplir la normativa de prevención de riesgos laborales (principio de minimización, art. 5.1.c RGPD).

¿Quién es responsable del tratamiento en un proceso de CAE?

No hay un único responsable del tratamiento por defecto. Cada empresa es responsable de los datos que trata y comparte, y por eso es esencial definir bien los roles:

1 | Empresa titular del centro de trabajo

Es responsable de los tratamientos de datos que lleva a cabo para verificar el cumplimiento de la normativa de prevención de riesgos y gestionar el acceso al centro.

2 | Empresas contratistas y subcontratistas

Son responsables de los datos de su propio personal y los comunican a la empresa principal cuando es necesario para cumplir las obligaciones de la CAE.

3 | Plataformas CAE o herramientas de gestión documental

Cuando se utiliza una plataforma digital para intercambiar documentación, esta actúa como encargada del tratamiento, tal como establece el artículo 28 del RGPD. Esto exige firmar el correspondiente contrato de encargo y verificar sus medidas de seguridad.

Errores habituales en la CAE que vulneran el RGPD (y cómo evitarlos)

En muchos centros de trabajo, la gestión de la CAE se hace de manera rápida y práctica… pero a menudo sin criterio de protección de datos. Algunos errores habituales son:

Una buena gestión de la CAE reduce riesgos, evita exposición de datos y hace el día a día mucho más ágil. Y, sobre todo, garantiza que las obligaciones de prevención y protección de datos se cumplen de manera segura y eficiente.

En ON4 te ayudamos en todo el proceso de regular la gestión de datos de manera ordenada, segura y totalmente alineada con la normativa vigente.

La entrada Coordinación de Actividades Empresariales (CAE) y protección de datos: ¿qué se debe tener en cuenta para cumplir la normativa? s'ha publicat primer a On4.

El resultado es siempre el mismo: un Plan pendiente… y un riesgo creciente para la empresa.

En este artículo analizamos por qué pasa y qué hay que tener en cuenta para implantarlo con garantías.

Te puede interesar: La igualdad de género, el gran reto de las empresas

¿Qué es exactamente un Plan de Igualdad?

Un Plan de Igualdad es un documento estratégico que contiene un conjunto de medidas para garantizar la igualdad real entre mujeres y hombres dentro de la organización. No es un formulario ni un trámite a cumplir: es un proyecto que requiere análisis, participación y seguimiento.

Según la Ley Orgánica 3/2007 y el Real Decreto 901/2020, un Plan de Igualdad debe incluir: 

• Diagnóstico completo de la situación de la empresa (y también estudio de brecha salarial).

• Objetivos y medidas para corregir desigualdades.

• Calendario de aplicación.

• Indicadores y sistemas de seguimiento.

• Protocolo de prevención del acoso sexual y por razón de sexo (obligatorio para todas las empresas, tengan Plan o no).

• Registro oficial en el REGCON (Registro y Depósito de Convenios y Acuerdos Colectivos de Trabajo). 

Es, por tanto, una herramienta de gestión que impacta en políticas de contratación, promoción, remuneración, conciliación y cultura interna.

¿Quién está obligado a tener un Plan de Igualdad?

Hay diversos supuestos en que la empresa debe elaborar e implantar un Plan de Igualdad. Según la Ley Orgánica 3/2007, modificada por el Real Decreto-ley 6/2019, y el Real Decreto 901/2020, los casos son: 

• Las empresas de 50 o más personas trabajadoras.

• Las empresas obligadas por convenio colectivo.

• Las empresas obligadas por resolución de autoridad laboral.

• Las empresas que participan en licitaciones públicas donde se requiera.

Te puede interesar: Todo lo que debes saber para implantar un Plan de Igualdad en tu empresa

Requisito técnico imprescindible: registrarlo en el REGCON

Tal como establece el RD 901/2020, un Plan de Igualdad no se considera válido hasta que no se ha registrado en el REGCON. Esto es clave porque:

• Acredita ante la Inspección de Trabajo que el Plan existe y está vigente.

• Permite acceder a ayudas y licitaciones.

• Da validez jurídica al proceso de negociación con la RLT.

El registro se realiza de manera telemática y requiere documentación detallada: diagnóstico, actas de la comisión negociadora, calendario de aplicación e indicadores de seguimiento.

¿Por qué muchas empresas todavía no han implantado el Plan de Igualdad?

A pesar de la obligatoriedad, muchas empresas, sobre todo pymes, todavía no disponen de un Plan de Igualdad. Los motivos suelen ser una combinación de factores:

1 | Desconocimiento de la normativa y de su alcance real

Una buena parte de las pymes desconocen que la ley exige tener un Plan de Igualdad. También es habitual confundir «tener un protocolo de prevención del acoso» con «tener un Plan de Igualdad». El protocolo es obligatorio para todas las empresas, pero no sustituye al Plan.

2 | Complejidad técnica del proceso 

Elaborar un Plan de Igualdad implica un trabajo exhaustivo: diagnóstico, datos desglosados por sexo, análisis de brecha salarial, negociación con la RLT, definición de medidas… Sin experiencia previa, el proceso puede resultar farragoso y bloquearse con facilidad.

3 | Falta de tiempo y recursos para priorizarlo 

El Plan de Igualdad requiere dedicación y, en empresas pequeñas, suele faltar personal especializado para asumirlo. El día a día a menudo deja poco margen para abordar un proceso técnico y estructurado. El Plan queda pendiente ante otras urgencias.

4 | Dificultad para percibir los beneficios 

Cuando una empresa ve el Plan de Igualdad como un simple trámite, es fácil que no lo priorice.

Sin embargo, un Plan bien elaborado puede aportar retención del talento, mejora del clima laboral, reducción de conflictos, relaciones laborales más equilibradas, ventaja en concursos públicos, acceso a ayudas y mejor reputación corporativa.

Te puede interesar: La conciliación, una medida clave en los Planes de Igualdad  

5 | Miedo a “no hacerlo bien” o a las obligaciones que comporta

Algunas empresas temen que el Plan implique demasiada burocracia, medidas difíciles de implementar, exigencias costosas o conflictos internos si no hay cultura de igualdad. Este miedo, sumado al desconocimiento, contribuye a posponerlo.

¿Qué consecuencias tiene no disponer de un Plan de Igualdad?

Las sanciones pueden variar en función de la gravedad de la infracción y la autoridad laboral competente. No cumplir con la obligación puede comportar:

• Sanciones económicas: Según la LISOS (Ley sobre Infracciones y Sanciones en el Orden Social), no tener Plan de Igualdad cuando es obligatorio puede suponer multas de hasta 225.018 euros en casos graves.

• Pérdida de ayudas y subvenciones públicas: Muchas administraciones requieren el Plan como requisito para acceder a programas de apoyo y contratación pública.

• Riesgo reputacional: La igualdad forma parte de la cultura corporativa y de la imagen de marca. Un incumplimiento puede afectar la confianza, la atracción de talento y la relación con clientes e instituciones.

• Limitaciones en licitaciones y concursos: Sin un Plan registrado en el REGCON, la empresa puede quedar excluida de procesos.

A pesar de la obligatoriedad y la importancia estratégica que tiene, el Plan de Igualdad continúa siendo uno de los procesos que más se retrasan dentro de las empresas. Y, más allá de la obligación legal, los Planes de Igualdad son una oportunidad para construir organizaciones más justas, transparentes y competitivas.

Si tu empresa necesita asesoramiento, en ON4 podemos acompañarte en todo el proceso: diagnóstico, elaboración, implantación y registro.

La entrada El reto del Plan de Igualdad: ¿por qué muchas empresas todavía no lo han implantado? s'ha publicat primer a On4.

Sea cual sea el motivo, todas comparten una misma necesidad: encontrar formaciones útiles, actuales y adaptadas a la realidad de su equipo.

En ON4 ofrecemos programas diseñados para que empresas y profesionales adquieran nuevas competencias y las puedan aplicar de manera efectiva en su día a día. Con esta idea en mente, hemos recopilado las formaciones más solicitadas de 2025.

Por qué apostar por la formación bonificada

La formación no debería ser un lujo. Gracias a la formación bonificada para empresas, cualquier organización puede capacitar a su equipo sin asumir grandes costes, ya que las empresas pueden recuperar parte o la totalidad de la inversión a través de las cuotas de la Seguridad Social.

Además de ser una herramienta de crecimiento profesional, es también una forma de mejorar la productividad, el clima laboral y la retención del talento. Formarse es, en definitiva, una inversión que devuelve valor.

Si quieres saber cómo funciona la formación bonificada y cómo puedes aprovechar el crédito formativo de tu empresa, te explicamos detalladamente qué es y cómo funciona la formación bonificada para empresas en este otro artículo.

Las formaciones imprescindibles de ON4 este 2025

A continuación, te presentamos los cinco cursos más solicitados por las empresas este año, pensados para adquirir nuevas competencias y poner en práctica los aprendizajes en el día a día laboral.

1. Curso RGPD y Ciberseguridad

Formadora: Laura Vila.
Duración: 36 h online | 5 h presenciales.

La protección de datos continúa siendo uno de los puntos más delicados para cualquier empresa. Este curso da las claves para entender y aplicar correctamente la normativa (RGPD) y para establecer medidas de ciberseguridad reactivas y preventivas.

Objetivos y público:
Dirigido a personas interesadas en conocer la normativa básica de protección de datos y que quieran asumir el rol de responsables de seguridad dentro de la empresa.

Contenido destacado:

• Derechos del interesado y figuras principales.
• Transferencias internacionales de datos.
• Responsabilidades y sanciones.
• Medidas prácticas de ciberseguridad.

2. Implementación práctica de LLM’s, GPTs personalizados y automatización con n8n (nivel avanzado IA)

Formador: Albert Farré.
Duración: 10 h presenciales y online.

Muchas empresas se preguntan cómo pueden aprovechar la inteligencia artificial de manera práctica y autónoma, sin depender de terceros ni de herramientas externas.

Este curso permite profesionalizarse en el uso de la IA aplicada, aprendiendo a crear flujos automatizados y modelos GPT personalizados a partir de los propios datos de la empresa.

Objetivos y público:
Aprender a implementar y adaptar la IA al ámbito corporativo según las necesidades del usuario, programando, entrenando y personalizando modelos específicos.

Contenido destacado:

• Instalación local de LLM’s.
• Entrenamiento con datos propios y uso de GPT personalizados.
• Creación de flujos automatizados con n8n.
• Casos prácticos y consideraciones éticas.

3. Curso de Manipulador de Alimentos

Formadora: Gemma Fernández.
Duración: 4 h presenciales y online.

Este curso asegura que los trabajadores adquieran hábitos de higiene y seguridad alimentaria cumpliendo con la normativa.

Objetivos y público:
Capacitar al personal que manipula, transporta o almacena alimentos, incorporando buenas prácticas de higiene y seguridad.

Contenido destacado:

• Limpieza y desinfección.
• Control de plagas.
• Buenas prácticas de manipulación.
• Trazabilidad y condiciones de transporte.
• Prohibiciones e incompatibilidades.

4. Curso de Organización y Comunicación de Equipos

Formadoras: Meritxell Benavente y Esther Algarra.
Duración: 5 h presenciales y online.

Cuando la comunicación falla, se nota: tareas duplicadas, malentendidos y estrés dentro del equipo. Esta formación ayuda a mejorar la coordinación y la comunicación interna para lograr equipos más cohesionados y eficientes.

Objetivos y público:
Formación libre orientada a la organización y comunicación de equipos de trabajo para favorecer el éxito profesional.

Contenido destacado:

• Fundamentos de la comunicación efectiva.
• Técnicas para mejorar la comunicación interpersonal.
• Organización y orden.
• Compromiso personal e identificación de las áreas de mejora.

5. Curso de Introducción y Conceptos Básicos sobre Igualdad

Formadoras: Filo Rodié y Esther Algarra.
Duración: 2 h presenciales y online.

La igualdad no es solo una obligación legal, sino un valor estratégico para las empresas que quieren crecer de manera sostenible y saludable.

Objetivos y público:
Sensibilizar al personal de las empresas para garantizar el cumplimiento de la normativa de igualdad.

Contenido destacado:

• Roles y estereotipos de género.
• Lenguaje inclusivo.
• Conciliación y corresponsabilidad.
• Prevención del acoso.
• Violencia en el ámbito digital.
• Plan de igualdad y acciones en la empresa.

Prepara a tu equipo para 2026

Ahora que encaramos la recta final de 2025, es momento de seguir formándose, alcanzar nuevos objetivos y preparar el terreno para 2026.

En ON4 te lo ponemos fácil: te ayudamos a detectar necesidades, diseñar planes formativos y gestionar la bonificación para que cada hora invertida aporte valor real.

Si quieres saber qué formación se adapta mejor a tu empresa,

La entrada Los imprescindibles de ON4: 5 formaciones clave para tu empresa s'ha publicat primer a On4.

Organismos como la Agencia Española de Protección de Datos ya han elaborado documentos específicos para guiar a las organizaciones en este ámbito. Para más información, consulta la Nota técnica (PDF) de la AEPD sobre cómo proteger los datos en entornos de teletrabajo.

Y es que, cuando se trabaja fuera de la oficina —a través de redes domésticas, conexiones públicas o dispositivos sin la configuración adecuada—, los datos son más vulnerables a accesos no autorizados, pérdidas o ataques.

Todo ello hace imprescindible disponer de una política de gobernanza y uso de dispositivos corporativos que regule claramente las condiciones de uso y las medidas de seguridad aplicables, especialmente cuando estos equipos son utilizados por personal que accede o trata datos confidenciales.

¿Para qué sirve la política de uso de dispositivos?

El objetivo principal de esta política es prevenir riesgos asociados al uso indebido de los dispositivos —como por ejemplo pérdidas de información, accesos no autorizados, instalación de software malicioso o exposición a redes inseguras—, así como delimitar responsabilidades y garantizar el cumplimiento del marco legal.

La política de uso de dispositivos debería contemplar, entre otros:

• Los dispositivos que pueden ser asignados y sus condiciones de uso.
• Los criterios de seguridad aplicables: contraseñas, cifrado, actualizaciones, antivirus, etc.
• Los usos permitidos y prohibidos.
• Las responsabilidades de la persona usuaria.
• El procedimiento de devolución o sustitución del dispositivo.

En ausencia de una política clara, la empresa o entidad puede verse expuesta a incidencias de seguridad que afecten datos personales y, por lo tanto, a consecuencias legales y reputacionales graves. Estas medidas no solo son recomendables, sino que también están recogidas en el marco normativo vigente.

¿Qué marco normativo lo exige?

Disponer de una política de uso de dispositivos no solo es una buena práctica: es una obligación legal si se tratan datos personales. Esto queda recogido en dos normativas fundamentales:

• Reglamento (UE) 2016/679, General de Protección de Datos (RGPD): obliga a los responsables del tratamiento a aplicar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo la protección frente a accesos no autorizados o la pérdida de datos. Una política de uso de dispositivos es una de estas medidas.
• Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): refuerza la obligación de establecer políticas internas y medidas que aseguren el cumplimiento del RGPD y protejan los derechos digitales del personal.

Estos dos textos son claros: las empresas deben controlar cómo se gestionan los datos personales dentro y fuera de sus instalaciones, también a través de los dispositivos que asignan.

Una guía para empezar con garantías

Para muchas empresas que quieren implantar una política de uso de dispositivos, una buena base es la guía elaborada por el Instituto Nacional de Ciberseguridad (INCIBE). Entre otros aspectos, la guía recomienda:

• Mantener un inventario actualizado de los dispositivos asignados.
• Establecer normas de configuración y protección (contraseñas, antivirus, cifrado…).
• Delimitar el uso profesional respecto del uso personal.
• Definir cómo se deben gestionar las incidencias (software malicioso, pérdida, robo).
• Formar al personal en relación con buenas prácticas y riesgos de seguridad asociados a los dispositivos.

Además de mejorar la seguridad de la información, tener una política basada en estas directrices demuestra el compromiso de la empresa o entidad con la protección de datos, tanto ante auditorías como en la gestión cotidiana de los riesgos. Si quieres ver un ejemplo real, puedes consultar la Política de uso de dispositivos móviles y PDA (Personal Device Assistant) del Cambridge College.

¿Cómo implementarla con garantías?

Si asignas portátiles, móviles u otros equipos a personas que acceden a datos personales o información sensible, es imprescindible disponer de una política clara y adaptada a la realidad y a los riesgos concretos de tu empresa y ser entendida y aceptada por todas las personas que harán uso de los equipos.

En ON4 te asesoramos en todo el proceso: desde el análisis de riesgos hasta la redacción, validación jurídica y formación del personal. Contacta con nosotros y protege la información de tu empresa, desde el dispositivo más pequeño hasta el sistema más complejo.

La entrada Política de uso de dispositivos: por qué es imprescindible si tu empresa trata datos personales s'ha publicat primer a On4.

Respondemos las preguntas más frecuentes para entender qué implica este cambio. 

¿Qué ha decidido la AEPD? 

La AEPD ha ordenado que se ponga fin a la comunicación y tratamiento de datos personales de empresarios autónomos provenientes del censo cameral. 

• Cámara de España debe dejar de ceder datos a Camerdata. 

• Camerdata debe dejar de tratar estos datos, eliminarlos y cesar la comunicación a empresas como Informa, Iberinform Internacional y Datacentric. 

• Informa, Iberinform Internacional y Datacentric deben suprimir los datos y no podrán volver a utilizarlos salvo que cuenten con una base legal clara del artículo 6.1 del RGPD. 

¿A quién afecta esta decisión? 

• A las empresas que utilizaban estos datos para comercializar con información empresarial. 

• A los empresarios autónomos, cuyos datos no podrán ser utilizados con fines comerciales sin su consentimiento o sin una base legal adecuada. 

¿Qué cambia? 

Algunas empresas utilizaban la información del censo de las Cámaras de Comercio con fines comerciales. A partir de ahora, los datos solo podrán usarse para la finalidad institucional prevista en la ley, como las funciones representativas de las Cámaras o la elaboración del censo electoral cameral. 

¿Por qué no pueden usarse con fines comerciales? 

• El censo cameral tiene un objetivo exclusivamente institucional y electoral, no está pensado como base de datos comercial. 

• En España no existe un marco normativo que autorice la reutilización abierta de estos datos, a diferencia de otros países de la UE. 

• El interés legítimo de las empresas no es suficiente si no está recogido en una ley ni se justifica con una evaluación rigurosa de proporcionalidad. 

¿Qué pasa con mis datos si soy autónomo? 

La AEPD protege tu derecho a que tus datos no se utilicen para fines que no podías prever. En la práctica, esto significa que: 

• No podrán comercializarse sin una base legal. 

• Solo se utilizarán para las funciones públicas de las Cámaras de Comercio. 

¿Se podrán utilizar en el futuro? 

Únicamente si se produce una reforma legal que lo autorice de manera expresa y con garantías de protección. Con la normativa actual, no está permitido. 

¿Qué deben hacer ahora las empresas sancionadas? 

• Dejar de tratar estos datos sin base legal. 

• Suprimir los datos que ya tengan. 

• Cumplir siempre con los principios del RGPD: transparencia, minimización, limitación de la finalidad y responsabilidad proactiva. 

¿Se pueden recurrir estas resoluciones? 

Sí. Las empresas sancionadas pueden presentar un recurso de reposición ante la misma AEPD o acudir directamente a la Audiencia Nacional. 

Estas resoluciones refuerzan la protección de los autónomos frente a usos comerciales no autorizados de sus datos. El mensaje de la AEPD es claro: sin base legal expresa, los datos personales no pueden utilizarse más allá de la finalidad institucional para la que fueron recogidos. 

Puedes consultar la resolución de la AEPD en este enlace: Tratamiento de datos personales de empresarios autónomos: legitimación e información 

La entrada ¿Quién ya no puede utilizar tus datos si eres autónomo?  s'ha publicat primer a On4.

Para hacer frente a esta situación, la Comisión Europea ha publicado nuevas directrices en el marco del Reglamento de Servicios Digitales, conocido como Digital Services Act (DSA), con el objetivo de garantizar una experiencia en línea más segura para los menores.

Pautas para aplicar el DSA con garantías

El Digital Services Act (DSA) es aplicable desde febrero de 2024 y obliga a las plataformas digitales a proteger a los menores. Sin embargo, hasta ahora, la norma no especificaba cómo hacerlo en la práctica.

Por este motivo, en el marco del artículo 28.1 del DSA, la Comisión Europea ha publicado el 14 de julio de 2025 unas directrices específicas sobre la protección de los menores en línea.

Estas directrices tienen como finalidad ofrecer una guía clara con medidas concretas para hacer frente a riesgos como:

• El grooming o acoso sexual
• El contenido nocivo o adictivo
• El ciberacoso
• Las prácticas comerciales manipulativas, como las loot boxes o el diseño adictivo

Las medidas propuestas se basan en la experiencia de expertos, entidades del sector infantil y jóvenes de diferentes países europeos. Aunque no tienen carácter vinculante, podrían servir como criterio orientador en las evaluaciones de cumplimiento del DSA.

Te puede interesar: Comisión publica directrices sobre la protección de los menores

¿A quién afectan estas directrices?

Las directrices se dirigen a todas las plataformas digitales accesibles a menores, con la excepción de las micro y pequeñas empresas.

No se limitan a servicios diseñados específicamente para niños o adolescentes, ya que incluyen cualquier plataforma a la que un menor pueda acceder, incluso si los términos de uso indican lo contrario.

Por tanto, afectan a entornos digitales como:

• Redes sociales
• Plataformas de vídeo y streaming
• Juegos en línea y comunidades virtuales
• Aplicaciones de mensajería
• Otros servicios interactivos accesibles públicamente

Según el artículo 28.1 del DSA, estas plataformas deben adoptar “medidas apropiadas y proporcionadas” para garantizar la seguridad, privacidad y protección de los menores.

Esa proporcionalidad implica que las medidas deben ajustarse al nivel de riesgo, la naturaleza del servicio, su dimensión y su público potencial.

Aunque las directrices no sean obligatorias, la Comisión las tendrá como referencia para evaluar el cumplimiento del DSA y también pueden orientar las actuaciones de los reguladores nacionales.

¿Qué recomiendan las directrices del DSA?

Las directrices del DSA ofrecen una serie de medidas prácticas que las plataformas pueden aplicar para proteger a los menores. Estas recomendaciones abordan aspectos tanto de diseño como de funcionalidad y moderación.

Entre las medidas destacadas se encuentran:

• Privacidad por defecto: configurar las cuentas de menores como privadas para que su contenido y datos personales no sean visibles para desconocidos.
• Recomendaciones transparentes y seguras: modificar los sistemas de recomendación para evitar que los menores queden atrapados en contenidos nocivos o adictivos. Se recomienda priorizar las preferencias elegidas por el usuario por encima de los patrones de comportamiento detectados automáticamente.
• Funciones adictivas desactivadas por defecto: como las reproducciones automáticas, las notificaciones constantes o los mensajes efímeros.
• Control de las interacciones: facilitar que los menores puedan bloquear o silenciar a otros usuarios, y evitar que sean añadidos a grupos sin su consentimiento (o el del tutor legal).
• Limitaciones a la difusión de contenidos: prohibir la descarga y las capturas de pantalla de contenidos generados por menores, como medida preventiva contra la difusión no deseada o la extorsión.
• Restricción de prácticas comerciales abusivas: evitar diseños que puedan explotar la falta de alfabetización comercial de los menores, como las loot boxes (cajas de recompensa), las monedas virtuales u otros sistemas que puedan inducir a compras compulsivas.
• Más herramientas de moderación y denuncia: garantizar sistemas de denuncia accesibles y con respuesta ágil. También se recomiendan requisitos mínimos para herramientas de control parental.

¿Cómo garantizar el acceso adecuado según la edad y el riesgo?

Las directrices también abordan cómo garantizar que los menores solo accedan a contenidos y servicios apropiados para su edad. Por ejemplo, servicios con más riesgo —como plataformas de juegos con compras integradas o redes sociales con interacción pública— deben aplicar controles más estrictos. En cambio, servicios con menor riesgo pueden adoptar medidas más sencillas.

Verificación de edad

Para asegurar un acceso adecuado, las directrices recomiendan sistemas de verificación de edad que sean:

• Seguros y fiables
• No intrusivos ni discriminatorios
• Respetuosos con la privacidad

Una de las herramientas destacadas es el uso de las EU Digital Identity Wallets, una solución oficial europea que permitirá verificar la edad de los usuarios sin revelar datos personales innecesarios.

Nuevas herramientas que ayudarán a proteger a los menores y evitar que accedan a contenidos no adecuados, como por ejemplo el contenido para adultos o los juegos de apuestas, con la intención de mantener un equilibrio entre los derechos y la privacidad de los usuarios.

Las nuevas directrices europeas no solo suponen un cambio normativo, sino que ofrecen una oportunidad para desarrollar servicios más responsables y seguros.

¿Qué puedes hacer ahora?

• Revisa si tu plataforma puede ser utilizada por menores, aunque no esté pensada para ellos.
• Identifica los riesgos que pueden afectarles y ajusta las funcionalidades y las políticas de privacidad.
• Implanta medidas proporcionadas según el nivel de riesgo y la naturaleza de tu servicio.
• Colabora con expertos legales y técnicos para garantizar que cumples con el marco del Digital Services Act.

En ON4 te ayudamos a identificar riesgos, aplicar mejoras y asegurar que tu plataforma cumple la normativa aplicable.

Te puede interesar: Protocolo de Protección a la Infancia: qué es y quién debe implantarlo

La entrada Nuevas directrices de la Unión Europea para proteger a los menores en línea s'ha publicat primer a On4.