Idioma: 🇺🇸 🇲🇽 🇷🇺
Esta página es una traducción al español de una página sobre servicios legales basados en la ley de EE. UU. y, cuando corresponda, la ley de California. Las citas legales se mantienen en inglés y todos los montos están en dólares estadounidenses.
Aceptando nuevos asuntos de privacidad y SaaS

Políticas de privacidad y Términos de Servicio que resisten una auditoría de CCPA y una queja real de un usuario.

La mayoría de las políticas de privacidad en la web son plantillas copiadas del sitio de otra persona, con el contacto del AG equivocado, el mecanismo de exclusión voluntaria equivocado y divulgaciones que no coinciden con los flujos de datos reales. Yo leo su stack, redacto el documento y le digo exactamente qué obligaciones de CPRA, GDPR y FTC no son negociables para la manera en que usted realmente opera su negocio.

Sergei Tokmakov, Esq. · CA Bar #279869 · Con licencia desde 2011
Ver paquetes →
Sergei Tokmakov, Esq., California attorney
01 · Contráteme

Tres maneras de dejar de adivinar en materia de privacidad.

Tarifas fijas. Trabajo directo conmigo. Sin sorpresas por hora, a menos que solicite específicamente el nivel de redacción personalizada.

Documento Único

Revisión de Política de Privacidad o Términos de Servicio

Un documento. Una marcación de revisión. Notas en lenguaje claro sobre lo que está mal y un borrador corregido que puede publicar.

$575
tarifa fija · un documento
  • Su Política de Privacidad o sus Términos de Servicio (un documento)
  • Marcación completa con correcciones, eliminaciones y divulgaciones insertadas
  • Memorando en lenguaje claro que identifica cada defecto y la norma aplicable
  • Verificación de alineación con CCPA/CPRA · GDPR · FTC vinculada a su stack
  • Resumen de seguimiento por escrito que recorre la marcación de revisión
  • Tiempo de entrega: 3 a 5 días hábiles
Comenzar la Revisión → Se conecta a PaypalButtons.contractReview349 cuando llegue el id NCP.
Recomendado
Paquete de Cumplimiento

Paquete de Cumplimiento de Privacidad

Política de Privacidad + reescritura de Términos de Servicio + plantilla de Data Processing Agreement. Una ronda de revisiones. Memorando de brechas de cumplimiento.

$1,200
tarifa fija · PP + ToS + DPA
  • Política de Privacidad redactada desde cero: CCPA/CPRA, GDPR, COPPA y capas específicas por estado según corresponda
  • Términos de Servicio reescritos con cláusulas de arbitraje, responsabilidad, propiedad intelectual y terminación ajustadas a su modelo de negocio
  • Plantilla de Data Processing Agreement que puede enviar a proveedores y clientes B2B
  • Una ronda de revisiones en cada documento después de que su equipo lo revise
  • Memorando de brechas de cumplimiento: evaluación por escrito de 8 a 15 páginas sobre dónde sus operaciones aún no coinciden con sus políticas
  • Dos llamadas de estrategia incluidas (inicio + recorrido de entrega)
  • Tiempo de entrega: 5 a 7 días hábiles para los primeros borradores
Comenzar el Paquete → Botón PayPal NCP pendiente: nueva clave privacyComplianceBundle1200. Escríbame para comenzar mientras se crea el id.
Contratación Personalizada

Redacción de Privacidad Personalizada

Trabajo fuera de plantilla: flujos de datos novedosos, coordinación de representante en la UE/Reino Unido, aviso biométrico, reescrituras de ad-tech, respuesta a reguladores.

$240
Written Attorney Consultation para definir el alcance antes de empezar
  • Redacción de avisos de privacidad para flujos de datos novedosos (biométricos, de ubicación, de salud, financieros)
  • Coordinación de representante en la UE/Reino Unido e incorporación según el Artículo 27
  • Revisión de la configuración del banner de cookies y de la plataforma de gestión de consentimiento
  • Redacción de respuestas a consultas de la CPPA / del AG estatal
  • Negociación de subprocessors y DPA con proveedores
  • Estimación por escrito con tope antes de comenzar cualquier trabajo
02 · Entregables

Qué hay realmente en el paquete de $1,200.

Seis entregables concretos, cada uno redactado para su stack y sus jurisdicciones específicas, no una plantilla genérica con otra etiqueta.

01

Divulgaciones de CCPA + CPRA

Notice at Collection, categorías de información personal recopilada, fines comerciales del procesamiento, periodos de retención, terceros a quienes se venden o comparten datos y la matriz de derechos del consumidor, vinculados a los flujos de datos reales de su stack, no un copiar y pegar de una plantilla de SaaS.

02

Mecánica de Exclusión Voluntaria y GPC

Enlace "Do Not Sell or Share My Personal Information", enlace "Limit the Use of My Sensitive Personal Information", declaración de respeto de Global Privacy Control y el endpoint de exclusión voluntaria real o la integración del banner documentada para su equipo de ingeniería.

03

Registro de Data Brokers / Subprocessors

Una lista funcional de cada proveedor que toca PI de usuarios, categorizada por rol de procesamiento (controller, processor, sub-processor) y jurisdicción. Requerida como divulgación de CPRA si vende o comparte, y requerida por el Artículo 28 del GDPR de todos modos. El registro inicial alimenta su plantilla de DPA.

04

Lenguaje de Notificación de Brechas

Cláusulas de notificación vinculadas al California Civ. Code 1798.82, al mosaico de 50 estados, a los plazos de los Artículos 33/34 del GDPR y a la FTC Health Breach Notification Rule cuando hay datos de salud en alcance. Además, un manual interno de escalamiento para que su equipo sepa qué hacer en las primeras 72 horas.

05

Cumplimiento de Cookies + Rastreo

Categorización de cada cookie y rastreador en el despliegue real de su sitio, texto y configuración del banner de consentimiento y una política de cookies actualizada que coincida con el banner. Alineado con las posturas actuales de aplicación de la CPPA sobre Google Analytics, Meta Pixel y similares.

06

Manejo de Sensitive Personal Info

Si procesa geolocalización precisa, cuentas financieras, identificadores biométricos, datos de salud o el contenido de comunicaciones, la CPRA los trata de forma diferente. El paquete incluye el lenguaje del aviso, el mecanismo "Limit the Use" y los controles de almacenamiento/procesamiento que necesita para invocar las exenciones.

03 · Detonantes

Cuándo necesita esto antes de lanzar.

Si alguno de estos escenarios coincide con su negocio, el paquete se paga solo en el momento en que un cliente, un inversionista o un regulador le pida "muéstreme su programa de privacidad".

SaaS Pre-Lanzamiento

Está lanzando un producto SaaS y necesita una Política de Privacidad y unos Términos de Servicio defendibles desde el primer día

Los inversionistas preguntan. Los prospectos empresariales preguntan. Las tiendas de aplicaciones rechazan el listado sin una URL de privacidad funcional. Lanzar con la política de un generador gratuito es la forma más rápida de encerrarse en declaraciones que lamentará en la llamada de diligencia de la ronda semilla.

E-commerce → CA

Su tienda de comercio electrónico está expandiéndose hacia el tráfico de California y cruzando los umbrales de CPRA

Una vez que cruza los 100,000 consumidores u hogares de California, o alcanza los detonantes de ingresos/porcentaje de ventas, debe las divulgaciones de CPRA, el respeto de GPC y los enlaces de exclusión voluntaria. La mayoría de las políticas predeterminadas de Shopify no incluyen ninguno de estos.

App de Datos de Salud

Su aplicación recopila datos de salud y no está seguro de si se aplica HIPAA, CMIA o la FTC HBNR

La mayoría de las aplicaciones de salud para consumidores no están cubiertas por HIPAA, pero sí están sujetas al CMIA de California y a la FTC Health Breach Notification Rule (ampliada recientemente por las enmiendas de 2024). Cada una tiene sus propias obligaciones de notificación y sus propios plazos de brechas.

B2B + Usuarios de la UE

Es una plataforma B2B con usuarios de la UE y sus clientes están empezando a exigir un DPA

Los clientes empresariales no firmarán sin un Data Processing Agreement que corresponda al Artículo 28 del GDPR. El paquete incluye una plantilla de DPA que puede enviar para que los tratos dejen de estancarse en compras, además de las SCCs para las transferencias internacionales.

FinTech / CFPB

Es una FinTech avanzando hacia la preparación para CFPB y GLBA

La Sección 1033 de Dodd-Frank, la GLBA Privacy Rule, la Safeguards Rule y la nueva regla de CFPB Personal Financial Data Rights interactúan todas con su aviso de privacidad. El paquete alinea las capas para que su política no contradiga su postura ante Reg E y 1033.

04 · Defectos que veo

Errores comunes de política de privacidad que veo cada semana.

Una lista escaneable de los defectos que encuentro en aproximadamente la mitad de las políticas que llegan a mi escritorio, y cómo se ve la versión corregida.

1

Contacto incorrecto del CA AG / CPPA

Las plantillas copiadas en 2018-2020 todavía remiten a los usuarios al California Attorney General para las quejas de CCPA. La aplicación ha pasado a la California Privacy Protection Agency (CPPA) para la mayoría de los asuntos de consumidores desde julio de 2023.

SoluciónVía de queja actualizada que apunta a la CPPA, conservando el AG para los asuntos exceptuados en los que todavía tiene jurisdicción.

2

Faltan divulgaciones de CMIA para datos de salud

Las aplicaciones de salud para consumidores asumen que HIPAA no se aplica (correcto) y se detienen ahí (incorrecto). El CMIA de California alcanza los datos de salud y bienestar de cara al consumidor de maneras en que la norma federal no lo hace.

SoluciónCapa de divulgación conforme al CMIA para los usuarios de California, además de la alineación con la FTC Health Breach Notification Rule ampliada en las enmiendas de 2024.

3

Sin exclusión voluntaria para sensitive personal information

La CPRA creó un derecho separado de "Limit the Use of My Sensitive Personal Information" además de "Do Not Sell or Share". La mayoría de las políticas todavía solo tienen el segundo, dejando sin cumplir el derecho sobre SPI.

SoluciónAmbos enlaces presentes, ambos vinculados a un endpoint de exclusión voluntaria funcional, ambos respetados junto con Global Privacy Control.

4

"No vendemos sus datos" mientras se ejecuta ad-tech

La definición de "sell" y "share" de la CPRA es más amplia que la venta coloquial: la publicidad conductual de contexto cruzado cuenta. Decir "no vendemos" mientras se ejecuta Meta Pixel o Google Ads es una tergiversación que las acciones de aplicación ya han citado.

SoluciónDivulgación honesta de "compartimos para publicidad conductual de contexto cruzado" más el enlace de exclusión voluntaria, o desactivar de verdad los rastreadores.

5

Periodos de retención declarados como "el tiempo que sea necesario"

Tanto la CPRA como el GDPR exigen periodos de retención específicos o determinables de forma específica. "El tiempo que sea necesario" por sí solo no cumple y fue el foco de varios avisos de aplicación de la CPPA en 2024.

SoluciónTabla de retención específica por categoría con plazos concretos, más los criterios para cualquier categoría residual de "el tiempo que sea necesario".

6

Aviso de GDPR injertado sobre un aviso de CCPA sin reconciliar

Dos marcos de aviso grapados juntos producen contradicciones: la capa de CCPA dice "recopilamos para fines comerciales" mientras la capa de GDPR dice "tenemos intereses legítimos". Ambas pueden ser ciertas, pero tienen que corresponder limpiamente.

SoluciónUn único aviso unificado con secciones específicas por jurisdicción que se remitan entre sí en lugar de duplicarse, y una matriz clara de derechos del titular de los datos.

7

Banner de cookies que no coincide con la política de cookies

El banner dice "solo usamos cookies esenciales" mientras la política enumera 47 rastreadores. O el banner es engañoso o lo es la política. De cualquier manera, es un objetivo de la CPPA y un problema de validez del consentimiento bajo el Artículo 7 del GDPR.

SoluciónAuditoría de las cookies realmente desplegadas, texto del banner que coincida y plataforma de gestión de consentimiento configurada para una aceptación granular donde se requiera.

8

Cláusula de arbitraje enterrada en los Términos de Servicio pero no presentada a los usuarios

Los demandantes de arbitraje masivo, la exención de Sexual Assault de la FAA de 2022 y los recientes fallos sobre las App Store de California dependen todos de si la cláusula de arbitraje fue presentada de forma razonable. Un enlace clickwrap enterrado 14 párrafos abajo cada vez más se considera inejecutable.

SoluciónAviso de arbitraje visible con casilla de verificación o reconocimiento mediante desplazamiento, lenguaje protector frente al arbitraje masivo y las exenciones exigidas por ley.

05 · Elija su camino

Generador gratuito vs reescritura por cuenta propia vs redactado por mí como abogado.

Una instantánea de cuatro filas. La forma rápida de ver si el paquete se paga solo para la etapa de su negocio.

Lo que obtiene
Generador de plantillas gratuito
Reescritura por cuenta propia (interna)
Redactado por mí como abogado
Costo
$0
~10-25 horas de tiempo interno
$575 un documento / $1,200 paquete
Precisión de CCPA / CPRA
Genérica, a menudo desactualizada
Depende de la experiencia del personal
Específica de su stack, actual
Capacidad de resistir una auditoría
Baja: las declaraciones no coinciden con las operaciones
Mixta
Diseñada para resistir una consulta de la CPPA
Tiempo hasta el lanzamiento
El mismo día
2-6 semanas
3-7 días hábiles
Plantilla de DPA incluida
No
A veces
Sí (nivel de paquete)

¿No está seguro de qué paquete necesita?

Envíeme una descripción de un párrafo de su producto y de dónde viven sus usuarios. Le diré si la revisión de un solo documento de $575 es suficiente o si el paquete tiene más sentido.

Escríbame directamente
Triage gratuito

12 preguntas, un informe escrito de brechas.

Antes de elegir un nivel, ejecute el Privacy Compliance Readiness Score. Puntaje de 0 a 100 más una lista de los puntos no superados, asignados a CCPA, GDPR, gestión de proveedores, flujo de exclusión voluntaria y respuesta a brechas. Puntaje inferior a 40 → Paquete. Puntaje de 40 a 75 → revisión de un documento. Puntaje superior a 75 → mantenimiento trimestral.

Hacer el cuestionario →
06 · Preguntas frecuentes

Preguntas frecuentes.

Cada respuesta se resuelve en una oración antes de la ampliación. Haga clic en cualquier pregunta para ver la respuesta completa.

¿Se aplica la CCPA a mi SaaS?
Si cruza cualquiera de tres umbrales (ingresos, número de consumidores o porcentaje de ingresos por venta), sí.
La CCPA/CPRA se aplica si su empresa cumple cualquiera de tres umbrales: (1) ingresos brutos anuales superiores a $26.625M (cifra de 2025), (2) compra, venta, intercambio o recepción de información personal de más de 100,000 consumidores u hogares de California, o (3) obtener el 50% o más de los ingresos anuales de la venta o el intercambio de información personal de California. Las empresas de SaaS cruzan con mayor frecuencia el segundo umbral en el momento en que tienen una base significativa de usuarios de California, incluso antes de generar ingresos. El Paquete de Cumplimiento de Privacidad incluye un análisis de umbrales por escrito vinculado a su modelo de negocio.
¿Puedo simplemente usar un generador gratuito de Política de Privacidad?
Puede publicar una, pero una política desalineada es peor que ninguna política porque es una declaración por escrito que los reguladores y los demandantes pueden citar en su contra.
Los generadores gratuitos producen rutinariamente políticas que describen erróneamente sus prácticas de datos, indican información de contacto incorrecta del AG, omiten las divulgaciones de sensitive personal information de la CPRA, no incluyen el obligatorio CCPA Notice at Collection y contienen lenguaje de exclusión voluntaria que no coincide con su mecanismo real. La revisión de $575 detecta los peores de estos defectos y le da un borrador corregido que puede publicar.
¿Cuál es la diferencia entre una Política de Privacidad y un DPA?
Una Política de Privacidad es su aviso público a los consumidores. Un DPA es un contrato entre usted y un proveedor o cliente B2B que asigna las responsabilidades de GDPR/CCPA.
Un DPA especifica quién es el controller, quién es el processor, qué categorías de datos se procesan, qué medidas de seguridad se aplican y cómo se gestionan las transferencias internacionales. El Paquete de Cumplimiento de Privacidad incluye ambos porque la mayoría de las empresas de SaaS B2B necesitan ambos, y tienen que ser coherentes entre sí: una política de privacidad que niegue el procesamiento en nombre de los clientes mientras un DPA lo asume crea una contradicción que las acciones de aplicación han citado.
¿Necesito un enlace de exclusión voluntaria de CCPA si aún no genero ingresos?
Posiblemente: no generar ingresos no lo exime de la CCPA. Solo lo hacen los tres umbrales.
Si recopila información personal de usuarios de California y la vende o comparte con terceros (lo que incluye la mayoría de las integraciones de ad-tech y de analítica según la interpretación actual de la CPPA), necesita un enlace "Do Not Sell or Share My Personal Information", un enlace "Limit the Use of My Sensitive Personal Information" si procesa PI sensible, y un mecanismo que respete la señal de preferencia de exclusión voluntaria (Global Privacy Control). La revisión le indica qué enlaces necesita realmente según su stack.
¿Qué pasa si mis clientes son residentes de la UE?
El GDPR se aplica de forma extraterritorial cuando ofrece bienes o servicios a personas en la UE/Reino Unido o monitorea su comportamiento: eso significa un aviso más largo, una base legal para cada actividad y probablemente un representante en la UE.
Necesita un aviso de privacidad conforme al GDPR (más largo y específico que el de la CCPA), una base legal para cada actividad de procesamiento, un representante en la UE si no tiene un establecimiento en la UE, Standard Contractual Clauses para las transferencias internacionales y una plantilla de Data Processing Agreement para sus processors. El Paquete de Cumplimiento de Privacidad incluye la capa de GDPR cuando corresponde; la contratación del representante en la UE en sí es un servicio de proveedor independiente que puedo recomendar.
¿Cuánto tarda el paquete?
De cinco a siete días hábiles para el primer borrador una vez que tengo sus insumos.
Insumos que necesito: la Política de Privacidad actual si la hay, los Términos de Servicio actuales, la lista de subprocessors, la lista de integraciones, las jurisdicciones donde tiene usuarios y una descripción de un párrafo de sus flujos de datos. Se incluye una ronda de revisiones. Si necesita una entrega más rápida por una fecha límite de lanzamiento, dígamelo al momento de la contratación y le cotizaré un cronograma acelerado por separado.
¿Es usted abogado de California?
Sí: California Bar #279869, con licencia desde 2011. Trabajo con clientes de todo el país en asuntos de privacidad y Términos de Servicio.
Soy Sergei Tokmakov, con licencia en California (CA Bar #279869) desde 2011. El trabajo de privacidad y Términos de Servicio es redacción de contratos y cumplimiento de leyes federales, no litigio específico de un estado, por lo que trabajo con clientes de todo el país. La contratación es por correo electrónico y Zoom.

Relacionado en Terms.Law

Centro Privacy Watchdog Revisiones de Privacidad de Apps de Citas Revisiones de Privacidad de Telesalud Revisiones de Privacidad de Redes Sociales Metodología de Puntuación de Privacidad Centro de Healthcare SaaS Revisión de Acuerdos SaaS Servicio de Revisión de Contratos Herramienta Terms Scanner Plantillas de Cartas de Reclamación de Privacidad

Conversaciones sobre este tema

Preguntas reales del foro de Terms.Law donde fundadores, freelancers e inquilinos resolvieron situaciones como la suya.

cliente exige la eliminación de todos los datos bajo la CCPA, pero tengo copias de seguridad
seguimiento de mi hilo de stripe: ahora es un problema distinto. un excliente (residente de CA) presentó una solicitud de eliminación de CCPA. fácil...
Hilo del foro
un pequeño SaaS tuvo una brecha de datos: ¿cuál es el plazo real de notificación?
descubrí ayer que una herramienta de soporte de terceros que usamos sufrió una brecha y los atacantes podrían haber accedido a ~2,400 de nuestros...
Hilo del foro
SaaS de salud expandiéndose al Reino Unido: ¿necesito residencia de datos en la UE?
seguimiento de mi hilo de BAA: el primer cliente del Reino Unido pregunta por la residencia de datos. nuestra infraestructura es toda AWS de EE. UU. quieren la garantía de que los datos...
Hilo del foro

Empiece con el paquete.

Envíeme por correo su Política de Privacidad y sus Términos de Servicio actuales (o una nota de que aún no los tiene) más una descripción de un párrafo del producto. Le devolveré una confirmación de alcance y la factura de PayPal dentro de un día hábil.

Escríbame para empezar →

Aviso legal. La información en esta página tiene únicamente fines informativos y no constituye asesoramiento legal. Leer esta página o contactarme no crea una relación abogado-cliente. El derecho de privacidad y de protección al consumidor evoluciona rápidamente: la aplicación de CPRA, la reglamentación de la CPPA, las enmiendas a la FTC HBNR, la divergencia entre la UE y el Reino Unido y el mosaico de leyes integrales de privacidad estatales cambian todos el análisis, y cualquier contratación es vigente a la fecha de la contratación. Sergei Tokmakov tiene licencia en California (CA Bar #279869); los asuntos de privacidad y Términos de Servicio que no requieren litigio específico de un estado se atienden en todo el país. Los resultados anteriores no garantizan resultados futuros.