El cumplimiento del RGPD en el Pasaporte Digital de Producto es la intersección de dos marcos regulatorios de la UE — la exigencia del ESPR de compartir datos de producto a través de DPP, y la exigencia del RGPD de proteger los datos personales — que las marcas deben navegar simultáneamente al implementar pasaportes de producto. La mayoría de los datos del DPP no son datos personales, pero varios puntos de contacto generan obligaciones de RGPD que las marcas no pueden pasar por alto. Entender dónde se sitúa el límite entre DPP y RGPD evita tanto sobredimensionar los controles de privacidad sobre datos de producto como infraproteger los datos personales que sí fluyen por el sistema.
¿Por qué importa el RGPD para los Pasaportes Digitales de Producto?
Un Pasaporte Digital de Producto implica flujos de datos entre múltiples partes: las marcas aportan datos de producto, las plataformas de DPP los alojan, los consumidores escanean códigos QR para acceder a ellos, los socios de la cadena de suministro contribuyen a ellos, y las autoridades de vigilancia del mercado los auditan. Cualquier flujo de datos que implique datos personales activa obligaciones de RGPD — independientemente de que el propósito principal de ese flujo sea la transparencia de producto.
La mayoría de los datos del DPP son información a nivel de producto: composición de materiales, huella de carbono, instrucciones de reciclaje, referencias a certificaciones. Nada de esto identifica a una persona. Pero varios puntos de contacto en el ecosistema del DPP pueden implicar datos personales, y las marcas necesitan saber exactamente dónde están.
El riesgo no es hipotético. Según el GDPR Enforcement Tracker (2025), las multas acumuladas del RGPD superan los 4 500 millones de EUR en más de 2 000 acciones de aplicación desde 2018. Mientras que las sanciones del RGPD pueden alcanzar los 20 millones de EUR o el 4 % de la facturación global anual, el marco sancionador del ESPR exige a cada Estado miembro que establezca sus propias sanciones «efectivas, proporcionadas y disuasorias» (artículo 77). Una marca que vulnere ambos se enfrenta a una exposición acumulada de dos regímenes de aplicación independientes.
¿Qué datos del DPP podrían ser datos personales?
Datos de contacto del operador económico
El ESPR exige que los DPP incluyan la identificación del fabricante: nombre de la empresa, dirección y datos de contacto de una persona responsable. Para las empresas, los datos de contacto empresariales generalmente no son datos personales. Pero para los empresarios individuales — habituales entre las marcas pequeñas — el nombre y la dirección del fabricante identifican a una persona física y, por tanto, constituyen datos personales en virtud del artículo 4(1) del RGPD.
Datos de escaneo del consumidor
Cuando un consumidor escanea el código QR de un DPP, la plataforma de alojamiento puede capturar metadatos: dirección IP, tipo de dispositivo, sistema operativo, ubicación aproximada y marca temporal. Según el RGPD, las direcciones IP son datos personales — el Tribunal de Justicia de la UE lo confirmó en el Asunto C-582/14, Breyer c. Alemania. Esto significa que los análisis de escaneo del consumidor requieren una base legal, ya sea interés legítimo o consentimiento explícito.
Si tu plataforma de DPP rastrea los escaneos de los consumidores con fines analíticos, necesitas un mecanismo de consentimiento de cookies/seguimiento conforme al RGPD — las mismas obligaciones que se aplican a cualquier sitio web que rastrea visitantes se aplican a tu plataforma de alojamiento de DPP. No asumas que, porque el ESPR exige el DPP, los requisitos de consentimiento del RGPD desaparecen.
Personas de la cadena de suministro
Las personas de contacto de fábricas, los inspectores de calidad y los auditores de certificaciones nombrados en la documentación de la cadena de suministro también pueden activar obligaciones de RGPD. Si sus nombres o datos de contacto fluyen hacia el sistema de DPP — incluso tras el nivel de acceso restringido — el RGPD se aplica a esos datos. Los acuerdos de tratamiento de datos con los socios de la cadena de suministro deben cubrir este punto.
Lo que explícitamente NO son datos personales
La mayoría del contenido del DPP queda fuera del ámbito del RGPD:
- Composición de materiales del producto (p. ej., 95,2 % algodón orgánico, 4,8 % elastano)
- Métricas ambientales (p. ej., 7,2 kg CO₂e de huella de carbono)
- Referencias a certificaciones (p. ej., OEKO-TEX Standard 100, GOTS)
- Ubicación de fabricación (dirección de la fábrica, no contacto individual)
- Instrucciones de reciclaje y fin de vida
- Identificadores de producto (GTIN, números de lote, números de serie)
Categorías de datos del DPP: personales vs. no personales
| Categoría de datos | ¿Datos personales? | ¿Se aplica el RGPD? |
|---|---|---|
| Composición de materiales | No | No |
| Métricas de impacto ambiental | No | No |
| Identificadores de producto (GTIN, lote) | No | No |
| Datos de la empresa fabricante | Generalmente no | Solo si es empresario individual |
| Nombre/email de la persona responsable | Sí (si persona física) | Sí |
| Metadatos de escaneo del consumidor (IP, ubicación) | Sí | Sí |
| Persona de contacto de la fábrica | Sí (si se identifica) | Sí |
| Certificaciones y estándares | No | No |
| Instrucciones de reciclaje | No | No |
Para la mayoría de las marcas pequeñas, la superficie de datos personales en un DPP es reducida — pero no es cero.
Lo que dice el ESPR sobre los datos personales
El ESPR no ignora la privacidad de datos. El reglamento aborda directamente la relación entre los DPP y los datos personales en varias disposiciones:
- Exclusión de datos de clientes: Los datos personales relativos a los clientes no pueden almacenarse en el DPP sin su consentimiento explícito. Este es un estándar más estricto que el requisito general de "base legal" del RGPD — el ESPR exige específicamente consentimiento, no interés legítimo.
- Restricciones para proveedores de servicios: Los proveedores de servicios de DPP no pueden vender, reutilizar ni tratar los datos del pasaporte más allá de lo estrictamente necesario para los servicios de alojamiento y tratamiento. Esto refleja el principio de limitación de la finalidad del RGPD y está recogido directamente en el ESPR.
- Verificación de credenciales de acceso: La Comisión adoptará actos de ejecución para los procedimientos de emisión y verificación de credenciales digitales de usuarios autorizados — asegurando que los datos del nivel restringido solo sean accesibles para las partes con una razón legítima.
- Obligaciones de exactitud de datos: Los operadores económicos deben asegurar que los datos del DPP sean exactos, completos y actualizados — en consonancia con el principio de exactitud del RGPD.
Estas disposiciones significan que el ESPR se diseñó con la compatibilidad del RGPD en mente. Los dos reglamentos son complementarios, no contradictorios.
Los 7 principios del RGPD aplicados a los DPP
Los siete principios fundamentales del RGPD (artículo 5) se aplican cuando datos personales entran en el ecosistema del DPP. Así es como cada principio se proyecta en el contexto del DPP:
| Principio del RGPD | Qué significa para los DPP |
|---|---|
| 1. Licitud, lealtad y transparencia | Identificar una base legal para cualquier tratamiento de datos personales. El interés legítimo puede cubrir los contactos del operador; el seguimiento de escaneos del consumidor normalmente requiere consentimiento. |
| 2. Limitación de la finalidad | Los datos del DPP recogidos para cumplimiento normativo no pueden reutilizarse con fines de marketing sin consentimiento separado. Una marca no puede usar los datos de escaneo del consumidor para crear perfiles de clientes. |
| 3. Minimización de datos | Recoger solo los datos personales estrictamente necesarios. El sistema de acceso de tres niveles lo apoya limitando quién ve qué datos. |
| 4. Exactitud | Los datos del DPP deben mantenerse actualizados. Los datos personales obsoletos (p. ej., el contacto de una persona responsable anterior) deben corregirse o suprimirse. |
| 5. Limitación del plazo de conservación | Los datos personales en el contexto del DPP pueden necesitar una conservación más prolongada (alineada con la vida útil del producto), pero esto debe justificarse y documentarse. |
| 6. Integridad y confidencialidad | Se requieren controles de acceso, cifrado y alojamiento seguro para cualquier dato personal dentro del sistema de DPP. |
| 7. Responsabilidad proactiva | Documenta tus medidas de cumplimiento del RGPD. Mantén registros de actividades de tratamiento (artículo 30 del RGPD) que cubran todos los flujos de datos personales en tu implementación de DPP. |
El sistema de acceso de tres niveles del DPP (público / cadena de suministro / regulatorio) está bien alineado con el principio de minimización de datos del RGPD. Cada nivel expone solo los datos relevantes para el rol de ese usuario — los consumidores no ven los datos de contacto de proveedores, y el público no ve las formulaciones propietarias. Este control de acceso integrado simplifica significativamente el cumplimiento del RGPD.
Niveles de acceso del DPP y minimización de datos
El sistema de acceso de tres niveles del ESPR se corresponde directamente con los requisitos del RGPD:
Nivel público: Contiene solo datos de producto no personales — composición de materiales, métricas ambientales, instrucciones de cuidado, certificaciones. No hay problema de RGPD para los datos visualizados en sí. Sin embargo, el acto de escanear el código QR puede generar metadatos personales (dirección IP, datos del dispositivo), lo que sí requiere una base legal.
Nivel de cadena de suministro: Puede incluir datos de contacto de proveedores que constituyen datos personales. Requiere acuerdos de tratamiento de datos (ATD) entre la marca, la plataforma de DPP y los socios de la cadena de suministro. El acceso se limita a partes verificadas con una necesidad legítima — recicladores, reparadores, distribuidores. Para ejemplos reales de cómo funcionan estos niveles de acceso en la práctica, consulta nuestro recorrido comentado de DPP.
Nivel regulatorio: Acceso completo para las autoridades de vigilancia del mercado. La base legal se establece directamente por el ESPR — las autoridades tienen habilitación legal explícita para acceder a todos los datos del DPP, incluidos los datos personales que contenga.
Esta estructura escalonada significa que las marcas no necesitan aplicar el mismo nivel de protección de RGPD a todos los datos del DPP. Concentra los controles de privacidad en las categorías de datos que realmente contienen datos personales, y deja que el sistema de niveles de acceso se encargue del resto.
¿Cómo puedes garantizar el cumplimiento del RGPD en tu DPP?
Cinco pasos concretos para asegurar que tu implementación de DPP cumple con los requisitos del RGPD:
1. Realiza una Evaluación de Impacto en la Protección de Datos (EIPD)
Mapea todos los flujos de datos personales en tu sistema de DPP. Identifica cada punto donde se recogen, tratan o almacenan datos personales — desde los datos de la persona responsable hasta los análisis de escaneo del consumidor. Una EIPD es legalmente obligatoria si tu tratamiento implica monitorización sistemática o tratamiento de datos personales a gran escala, y se recomienda como buena práctica en todos los casos. En España, la Agencia Española de Protección de Datos (AEPD) ofrece orientación específica sobre la realización de EIPD.
2. Implementa mecanismos de consentimiento para el seguimiento de consumidores
Si tu plataforma de DPP rastrea los escaneos del consumidor (la mayoría lo hace, con fines analíticos), añade un mecanismo de consentimiento conforme al RGPD. Esto es idéntico al requisito de consentimiento de cookies en cualquier sitio web. Si tu plataforma no rastrea escaneos individuales — solo visitas agregadas de páginas — tus obligaciones de consentimiento se reducen significativamente.
3. Formaliza Acuerdos de Tratamiento de Datos (ATD)
Firma ATD con tu proveedor de servicios de DPP y con cualquier socio de la cadena de suministro cuyos datos personales fluyan hacia el sistema. El ATD debe especificar: qué datos personales se tratan, la finalidad y duración del tratamiento, las obligaciones de seguridad del encargado del tratamiento, y los procedimientos para los derechos de los interesados.
4. Define políticas de conservación de datos
El ESPR exige que los datos del DPP persistan durante la vida útil esperada del producto — que puede ser años o décadas. Alinea la conservación de datos de producto con los requisitos del ESPR, pero establece calendarios de revisión separados para los datos personales. Los datos de contacto de una persona responsable de 2027 no deberían permanecer intactos en el sistema hasta 2040.
5. Documéntalo todo
Mantén registros de actividades de tratamiento según lo exigido por el artículo 30 del RGPD. Esto incluye: categorías de datos personales tratados, finalidades del tratamiento, categorías de destinatarios, plazos de conservación previstos y descripción de las medidas de seguridad. Esta documentación también respalda tus obligaciones de responsabilidad proactiva del ESPR.
La mayoría de los DPP de marcas pequeñas contendrán muy pocos datos personales. Si usas una plataforma de DPP que no rastrea escaneos individuales del consumidor y tus datos de producto solo referencian nombres de empresas (no de personas), tu exposición al RGPD es mínima. Concentra tu esfuerzo de cumplimiento de forma proporcional — no sobredimensiones los controles de privacidad sobre datos que no son datos personales.
Lista de verificación de cumplimiento RGPD para el DPP
Usa esta lista de verificación para comprobar sistemáticamente el cumplimiento del RGPD en toda tu implementación de DPP. Cada elemento se corresponde con una obligación específica del RGPD. Para la mayoría de las marcas pequeñas, la mayoría de estos elementos serán confirmaciones rápidas: la superficie de datos personales en un DPP típico es pequeña.
Mapeo de datos
- Identifica todos los datos personales en tu sistema de DPP — Enumera cada campo de datos que podría identificar a una persona física (nombre/email de persona responsable, datos de empresario individual, personas de contacto de fábricas)
- Mapea la recopilación de datos de escaneo del consumidor — Documenta qué metadatos captura tu plataforma de alojamiento de DPP cuando alguien escanea un código QR (dirección IP, tipo de dispositivo, ubicación, marca temporal)
- Clasifica cada campo de datos por nivel de acceso ESPR — Confirma que los datos personales están restringidos al nivel apropiado (cadena de suministro o regulatorio) y no expuestos en el nivel público sin consentimiento
Base legal
- Establece la base legal para cada categoría de datos personales — El interés legítimo puede cubrir los contactos del operador económico; el seguimiento de escaneos del consumidor normalmente requiere consentimiento
- Implementa mecanismo de consentimiento para el seguimiento del consumidor — Si tu plataforma registra datos de escaneo individuales, añade un banner de consentimiento conforme al RGPD (idéntico a los requisitos de consentimiento de cookies del sitio web)
- Revisa la exposición de empresarios individuales — Si eres empresario individual, tu nombre y dirección en el DPP constituyen datos personales — confirma que tienes base legal para esta publicación
Acuerdos y documentación
- Formaliza Acuerdos de Tratamiento de Datos (ATD) con tu proveedor de servicios de DPP — Cubriendo: qué datos personales se tratan, finalidad, duración, obligaciones de seguridad del encargado, procedimientos para derechos de los interesados
- Formaliza ATD con socios de la cadena de suministro cuyos datos personales fluyen hacia el sistema — Contactos de fábricas, inspectores de calidad, auditores de certificaciones nombrados en datos del DPP
- Mantén Registros de Actividades de Tratamiento (ROPA) conforme al artículo 30 del RGPD — Categorías de datos personales, finalidades, destinatarios, plazos de conservación, medidas de seguridad
Derechos de los interesados
- Establece un proceso para solicitudes de acceso de los interesados — Las personas identificadas en tu DPP (personas responsables, contactos de proveedores) tienen derecho a acceder, corregir y solicitar la eliminación de sus datos personales
- Define calendarios de conservación de datos para datos personales — Separado de la conservación de datos de producto (que sigue los requisitos de vida útil del producto del ESPR). Revisa los datos personales anualmente; actualiza cuando las personas cambien de puesto.
Seguridad
- Confirma las medidas de seguridad de la plataforma de DPP — Cifrado, controles de acceso, residencia de datos en la UE (si procede)
- Verifica el cumplimiento del artículo 10 del ESPR — Los datos personales de clientes no pueden almacenarse en el DPP sin consentimiento explícito. Confirma que tu sistema lo aplica.
Para las marcas que ya cumplen con el RGPD para su sitio web y datos de clientes, la mayoría de estos elementos son extensiones de procesos existentes, no capacidades nuevas. El esfuerzo incremental de RGPD para el DPP es proporcional a la cantidad de datos personales en tu sistema, que para la mayoría de las marcas pequeñas es mínima.
¿Qué significa esto para tu marca?
El solapamiento entre las obligaciones del DPP y el RGPD es más estrecho de lo que parece a primera vista. La gran mayoría de los datos del DPP — composición de materiales, métricas ambientales, certificaciones, instrucciones de reciclaje — son datos de producto, no datos personales, y quedan fuera del ámbito del RGPD.
Donde el RGPD sí se aplica — análisis de escaneo del consumidor, contactos de la persona responsable, personas de la cadena de suministro identificadas — las obligaciones son gestionables y están bien definidas. Las marcas que ya cumplen con el RGPD en sus sitios web y datos de clientes cuentan con los procesos y la infraestructura para gestionar los datos personales relacionados con el DPP sin construir nada nuevo.
La clave es no confundir transparencia de producto con datos personales. Un DPP que informa al consumidor de que una camiseta es 95 % algodón orgánico y se fabricó en Portugal no es un problema de privacidad. Una plataforma de DPP que registra silenciosamente la dirección IP y la ubicación de cada consumidor cuando escanea un código QR sí lo es.
Conoce la diferencia y construye tu implementación del DPP en consecuencia. Si el coste o la complejidad operativa te preocupan, nuestra guía de retos del DPP cubre los 7 mayores obstáculos para marcas pequeñas — incluida la calidad de datos. Usa nuestro Comprobador de Preparación para el DPP para evaluar dónde se encuentra tu marca tanto en datos de producto como en preparación para el cumplimiento.
Preguntas frecuentes
¿Cuáles son los 7 requisitos del RGPD?
Los 7 principios del RGPD son: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; y responsabilidad proactiva. En el contexto del DPP, se aplican principalmente a los datos de escaneo del consumidor (direcciones IP, información del dispositivo), los datos de contacto del operador económico (cuando identifican a una persona física) y cualquier persona de la cadena de suministro nombrada en el sistema. La mayoría de los datos de producto del DPP — composición de materiales, métricas ambientales, certificaciones — no son datos personales y quedan fuera de estos principios.
¿Escanear un código QR de DPP recoge datos personales?
Puede, dependiendo de la implementación de la plataforma de alojamiento. Cuando un consumidor escanea un código QR, la plataforma puede capturar la dirección IP, el tipo de dispositivo, el sistema operativo y la ubicación aproximada — todo lo cual son datos personales según el RGPD conforme a la sentencia Breyer del TJUE (C-582/14). Si la plataforma solo sirve la página del DPP sin registrar datos individuales del visitante, no se recogen datos personales. Consulta la documentación de privacidad de tu proveedor de DPP para entender qué captura.
¿Los datos personales de mis proveedores pueden acabar en un DPP?
Sí, si tu sistema de DPP incluye personas identificadas de organizaciones proveedoras — personas de contacto de fábricas, inspectores de calidad, auditores de certificaciones. Si solo referencia nombres de empresas y direcciones de instalaciones sin identificar a personas concretas, no hay datos personales involucrados. Cuando los nombres de personas sí fluyen hacia el sistema, necesitas acuerdos de tratamiento de datos con esos socios de la cadena de suministro, y los datos deben limitarse a los niveles de acceso de cadena de suministro o regulatorio — nunca visibles en el nivel público.
¿Cuánto tiempo deben conservarse los datos del DPP según el RGPD?
El ESPR exige que los datos del DPP persistan durante la vida útil esperada del producto, lo que puede abarcar años o décadas. Esto puede generar tensión con el principio de limitación del plazo de conservación del RGPD. La solución es separar los datos de producto (conservar durante todo el ciclo de vida del producto como exige el ESPR) de los datos personales (revisar y minimizar periódicamente). Los datos de contacto de la persona responsable deben actualizarse cuando la persona cambia de puesto; los datos de escaneo del consumidor deben tener un período de conservación definido, normalmente no superior al necesario para fines analíticos.
¿Necesito una EIPD para mi DPP?
Si tu sistema de DPP trata datos personales a gran escala o implica monitorización sistemática — como el seguimiento de escaneos de consumidores a través de múltiples productos o regiones — una Evaluación de Impacto en la Protección de Datos es legalmente obligatoria en virtud del artículo 35 del RGPD. Para una marca pequeña con un DPP sencillo que solo contiene datos de producto e información a nivel de empresa, una EIPD puede no ser legalmente obligatoria pero sigue siendo recomendable como buena práctica. Te obliga a mapear los flujos de datos e identificar riesgos antes de que se conviertan en problemas. La AEPD ofrece guías y herramientas para facilitar este proceso.
¿Cuáles son 5 ejemplos de datos personales en un DPP?
Cinco ejemplos de datos personales que podrían aparecer en el contexto de un DPP son: (1) el nombre y correo electrónico de la persona responsable indicados como contacto del producto, (2) la dirección IP de un consumidor capturada al escanear el código QR, (3) el nombre de un inspector de calidad de fábrica registrado en la documentación de la cadena de suministro, (4) la dirección particular de un empresario individual utilizada como dirección del fabricante, y (5) los datos de geolocalización del dispositivo procedentes de los análisis de escaneo del consumidor. De estos, solo el primero y el cuarto se almacenan en el propio DPP — los demás son generados por la plataforma de alojamiento durante las interacciones.
