Guía RGPD

RGPD y plataformas de diáspora: la guía de conformidad

Si usted gestiona una diáspora regional, una red alumni o una asociación internacional, trata datos personales sujetos al RGPD. Esto es lo que significa en la práctica: responsabilidades, alojamiento, transferencias internacionales, consentimiento, derechos de las personas, checklist de conformidad.

Abril 2026 Lectura ~7 min Por el equipo Terrilink

¿Quién es el responsable del tratamiento, quién es el encargado?

Esta distinción está en el corazón del RGPD (artículos 4.7 y 4.8). Para una red alumni o una diáspora que utiliza una plataforma SaaS:

  • Responsable del tratamiento: la asociación, la escuela o la estructura que decide por qué y cómo se recogen y utilizan los datos de sus miembros. Es quien asume la responsabilidad legal.
  • Encargado del tratamiento: el editor de la plataforma SaaS (p. ej. Terrilink), que trata los datos por cuenta del responsable del tratamiento, sin decidir las finalidades.

Este reparto debe formalizarse mediante un Data Processing Agreement (DPA), o Acuerdo de tratamiento de datos. Toda plataforma seria proporciona uno; sin DPA, el responsable del tratamiento incurre en incumplimiento.

Alojamiento: ¿Francia, UE, Estados Unidos?

El RGPD no prohíbe el alojamiento fuera de la UE, pero lo regula estrictamente:

  • Alojamiento Francia/UE: sin transferencia transfronteriza, la situación más sencilla. Recomendado para comunidades con miembros mayoritariamente europeos.
  • Alojamiento en EE. UU.: desde la invalidación del Privacy Shield (2020), una transferencia de datos personales de la UE a EE. UU. requiere cláusulas contractuales tipo (SCC) más medidas adicionales según el análisis de impacto. Jurídicamente complejo.
  • Países terceros sin decisión de adecuación: aún más restrictivo.

Para una diáspora o una red alumni, un alojamiento Francia/UE es la opción más sencilla y sólida. Consulte Terrilink for Diaspora, alojado en Francia.

Los 6 derechos de las personas interesadas

Cada miembro de su diáspora o red alumni dispone de derechos RGPD que la plataforma debe permitir ejercer:

  • Derecho de acceso: conocer los datos que se guardan sobre la persona
  • Derecho de rectificación: corregir datos inexactos
  • Derecho de supresión (olvido): solicitar la eliminación
  • Derecho a la limitación: suspender el tratamiento
  • Derecho a la portabilidad: recuperar los datos en un formato estructurado
  • Derecho de oposición: oponerse a ciertos tratamientos (prospección, perfilado)

En la práctica, la plataforma debe ofrecer un medio sencillo para ejercer estos derechos (email DPO, formulario, sección «Mis datos» en el espacio del miembro).

Consentimiento y base legal

El tratamiento debe basarse en una de las seis bases legales del artículo 6 del RGPD. Para una plataforma alumni o diáspora, las bases típicas son:

  • Ejecución de un contrato: adhesión a la asociación, cuota (no se requiere consentimiento adicional)
  • Interés legítimo: comunicación con los miembros sobre la vida de la asociación
  • Consentimiento: para la geolocalización en mapa público, la newsletter de marketing, el intercambio con terceros

El consentimiento debe ser libre, específico, informado e inequívoco. Una casilla premarcada no constituye un consentimiento válido.

Notificación de violación: 72 horas

En caso de violación de datos (acceso no autorizado, fuga, pérdida), el responsable del tratamiento debe notificar a la CNIL en un plazo de 72 horas (art. 33 RGPD) e informar a las personas afectadas si el riesgo es elevado. El encargado (la plataforma) debe comunicar sin demora cualquier violación al responsable del tratamiento.

Compruebe en el DPA de su plataforma los plazos de alerta y los procedimientos.

Caso particular: miembros fuera de la UE

Las diásporas suelen tener miembros establecidos fuera de la UE. El RGPD sigue aplicándose si el responsable del tratamiento (su asociación) está establecido en la UE, con independencia del país de residencia del miembro. Un miembro en Canadá o en Senegal disfruta de los mismos derechos que un miembro en París.

Checklist de conformidad para su plataforma

DPA firmado con el editor

Documento contractual que formaliza los roles responsable/encargado, medidas de seguridad, subcontratación ulterior, asistencia a las solicitudes de derechos.

Alojamiento documentado

Ubicación física de los servidores precisada. Si está fuera de la UE, SCC firmadas y análisis de impacto disponibles.

Política de privacidad accesible

Visible desde todas las páginas de la plataforma. Lenguaje claro, finalidades listadas, plazos de conservación, derechos de las personas.

Gestión del consentimiento

Opt-in para los tratamientos opcionales (newsletter, geolocalización en mapa público). Posibilidad de retirar el consentimiento con la misma facilidad con la que se dio.

Exportación de datos activable por cada miembro

Botón «Exportar mis datos» en el espacio del miembro. Formato estructurado (JSON, CSV).

Eliminación de cuenta efectiva

La eliminación de una cuenta borra realmente los datos (o los anonimiza), en un plazo razonable. No solo un «desactivado».

La posición de Terrilink

Terrilink está alojado en Francia (UE), proporciona un DPA estándar a cualquier estructura cliente, documenta su política de privacidad y permite a cada miembro exportar o eliminar sus datos desde su espacio. La separación responsable del tratamiento / encargado es explícita en el artículo 8 de las CGU/CGV.

Una plataforma RGPD-ready, alojada en Francia

DPA entregado, alojamiento en Francia, exportación de datos en cualquier momento. 14 días de prueba gratuita.

Probar Terrilink Reservar una demo