Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Ejemplos de hallazgos
Falta la descripción de los derechos de los titulares de datos bajo GDPR
Tu política de privacidad no describe los derechos que se conceden a los titulares de datos bajo los artículos 15–22 del GDPR (acceso, rectificación, eliminación, portabilidad, limitación, oposición). Esta omisión material aplica a cualquier sitio que procese datos de residentes de la UE y es una de las deficiencias más citadas en acciones de cumplimiento de DPAs.
Ítem de rúbrica: gdpr.data-subject-rights Framework : GDPR Resultado : FAIL Evidencia : (ninguna — la política no incluye descripción de derechos) Citación : Artículos 15, 16, 17, 18, 20, 21 del GDPR
No hay divulgación de CCPA de "No vender o compartir"
La política no menciona el derecho de consumidores de California a optar por no vender o compartir información personal, ni describe cómo ejercer ese derecho. CCPA/CPRA requiere esta divulgación para cualquier negocio que cumpla los umbrales de ingresos o de datos, incluso si no crees que vendes datos — la definición legal es más amplia que la definición coloquial.
Ítem de rúbrica: ccpa.do-not-sell Framework : CCPA / CPRA Resultado : FAIL Evidencia : (ninguna — no se describe un mecanismo de opt-out) Citación : Cal. Civ. Code §1798.135
No se especifican períodos de retención de datos
La política dice que retienes datos "mientras sea necesario" sin especificar duraciones reales ni los criterios usados para determinarlos. El artículo 13(2)(a) del GDPR exige el período de retención — o, si no es posible, los criterios usados para determinarlo. Solo "mientras sea necesario" ha sido rechazado por múltiples DPAs por ser insuficiente.
Ítem de rúbrica: gdpr.retention-periods Framework : GDPR Resultado : FAIL Evidencia : "Conservamos tus datos mientras sea necesario para brindar el Servicio." Citación : Artículo 13(2)(a), 14(2)(a) del GDPR Fix: lista duraciones específicas por categoría de datos, p. ej. "Datos de cuenta: hasta la eliminación + 30 días. Logs: 30 días. Facturación: 7 años (legal)".
Escanea tu sitio en 60 segundos
25 créditos gratis. Sin tarjeta de crédito. Hallazgos reales en la página que te importa.