Software con el RGPD de base: qué significa en la práctica
Qué significa construir software con el RGPD de base. La diferencia práctica entre el cumplimiento como trámite y la privacidad como principio de diseño, contada desde una empresa de software europea.
Toda empresa SaaS con sede en Europa tiene en su política de privacidad un párrafo que menciona el RGPD. La mayoría lo escribió porque su abogado les dijo que tenían que hacerlo. Eso es el cumplimiento como trámite, y es muy diferente de lo que entendemos nosotros cuando decimos que construimos software con el RGPD de base.
Aquí está la diferencia práctica.
El RGPD de base es una restricción de diseño, no una tarea legal
Cuando el RGPD se trata como un requisito legal, recopilas los datos que quieres, construyes las funciones que quieres y al final tienes a un abogado que lo revisa. El resultado es una política de privacidad larga que técnicamente lo divulga todo.
Cuando el RGPD es una restricción de diseño, haces la pregunta antes de construir: ¿necesitamos realmente este dato? Si la respuesta es sí, ¿cuál es el mínimo que necesitamos y durante cuánto tiempo? ¿Quién puede acceder y podemos limitarlo automáticamente?
Estas preguntas cambian lo que construyes. A menudo significan que construyes menos.
Cómo se refleja en nuestros productos
Recopilamos lo mínimo
k-notes almacena tus notas, el correo de tu cuenta y una contraseña hasheada. Eso es todo. Sin fingerprinting de dispositivo, sin análisis de patrones de lectura, sin seguimiento del comportamiento.
k-tasks almacena tus tareas, tus membresías de equipo y la actividad básica para el registro de auditoría. No analizamos cómo usas el producto para mostrarte publicidad, porque no tenemos publicidad.
k-cv almacena el contenido de tu CV, porque eso es el producto. No lo cruzamos con LinkedIn ni lo vendemos a empresas de selección. Tus datos profesionales son tuyos.
Mantenemos los datos en Europa
Nuestra infraestructura corre en Neon Postgres con residencia de datos en la UE. La red edge de Vercel se usa para la entrega, pero el contenido generado por los usuarios permanece en bases de datos europeas. Esto importa bajo las restricciones de transferencia de datos del RGPD.
El borrado es real
Cuando eliminas tu cuenta, tus datos se eliminan. No archivados durante noventa días "por si acaso". No retenidos indefinidamente en copias de seguridad. Ejecutamos un cron de limpieza que borra los datos de cuentas eliminadas de las copias de seguridad en un plazo de treinta días.
Parece obvio. No lo es. Muchas empresas retienen los datos mucho más tiempo de lo que implican sus políticas de privacidad, ya sea porque el borrado es difícil de implementar o porque los datos tienen valor.
Analítica sin vigilancia
Usamos Vercel Analytics, que no utiliza cookies ni rastrea a usuarios individuales entre sesiones. Para los usuarios que dan su consentimiento, Google Analytics proporciona datos de tráfico agregados. No usamos píxeles, retargeting ni seguimiento de terceros.
Por qué esto importa a las empresas que compran software
Si compras herramientas SaaS para tu empresa, las obligaciones del RGPD se extienden a ti. Cuando usas una herramienta que procesa datos personales de tus clientes o empleados, te conviertes en el responsable del tratamiento. La empresa SaaS es tu encargado del tratamiento. Bajo el RGPD, eres responsable de garantizar que ese encargado cumple los estándares requeridos.
Esto significa que las prácticas de privacidad de las herramientas que usas también son tu problema.
Algunas preguntas que vale la pena hacerles a tus proveedores SaaS actuales:
- ¿Dónde se almacenan nuestros datos?
- ¿Cuánto tiempo los retenéis después de que cancelemos?
- ¿Compartís nuestros datos con terceros? ¿Con qué finalidad?
- ¿Podemos firmar un Acuerdo de Tratamiento de Datos?
Los buenos proveedores responden estas preguntas de inmediato. Las respuestas evasivas son una señal de alarma.
El argumento de negocio a favor de la privacidad
El software que respeta la privacidad no es solo éticamente preferible: es cada vez más una ventaja comercial. Los clientes enterprise en sectores regulados (finanzas, sanidad, derecho) exigen proveedores conformes con el RGPD antes de firmar contratos. La privacidad se ha convertido en un criterio de compra.
Además, es operativamente más simple. No recopilar datos innecesarios significa menos que proteger, menos riesgo en caso de brecha y menos que gestionar cuando alguien ejerce su derecho de supresión.
No construimos software con el RGPD de base porque sea rentable cumplir. Lo construimos así porque se alinea con cómo creemos que debe funcionar el software: pagas por un servicio, el servicio funciona, tus datos son tuyos.
Si estás desarrollando un producto y quieres pensar la arquitectura de privacidad desde el principio, podemos ayudarte a consultarlo. Un buen diseño de privacidad es mucho más fácil de hacer desde el principio que de añadir después.