Cualquier web de empresa que recoja datos —un formulario de contacto, una newsletter, una tienda, incluso las cookies de analítica— está tratando datos personales y, por tanto, sujeta al RGPD y a la normativa española de protección de datos. Cumplirlo no es solo evitar sanciones: es una cuestión de confianza y de seguridad. Esta guía resume, de forma práctica, qué debe cumplir tu web. (Es una orientación general, no asesoramiento legal.)
Qué datos recoge tu web (más de los que crees)
Aunque no vendas online, tu web casi seguro trata datos personales: los formularios de contacto o presupuesto, las suscripciones a newsletter, los comentarios, el chat, y las cookies de analítica, publicidad o redes sociales. Todo eso son datos sujetos a normativa. El primer paso es ser consciente de qué se recoge, dónde se guarda y para qué se usa; sin ese mapa, es imposible cumplir.
Las obligaciones básicas en tu web
- Aviso legal: identifica a la empresa titular de la web (datos fiscales, contacto).
- Política de privacidad: explica qué datos recoges, con qué finalidad y base legal, cuánto los conservas, con quién los compartes y cómo ejercer derechos. Debe ser clara y accesible.
- Política de cookies y un banner de consentimiento bien hecho.
- Consentimiento en los formularios: información clara y una casilla no premarcada para aceptar la política.
- Seguridad de los datos: medidas técnicas como el cifrado HTTPS para proteger lo que se transmite.
Las cookies: el punto que más se incumple
El banner de cookies es donde más webs fallan. La normativa (y la guía de la AEPD) es clara: el consentimiento debe ser libre, informado e inequívoco. En la práctica, eso significa que rechazar debe ser tan fácil como aceptar: un banner con solo el botón «Aceptar», o con un «Rechazar» escondido, no cumple. Tampoco se pueden cargar cookies no esenciales (analítica, publicidad) antes de que el usuario consienta. Es uno de los incumplimientos que más sanciones genera, y de los más fáciles de corregir.
La base legal: por qué tratas cada dato
El RGPD exige tener una base que legitime cada tratamiento. Las más habituales en una web son el consentimiento (para la newsletter o las cookies no esenciales), la ejecución de un contrato (gestionar un pedido) o el interés legítimo (responder a una consulta). Además rige el principio de minimización: pide solo los datos que necesitas de verdad. Un formulario que pide diez campos «por si acaso» no cumple ese principio y, de paso, reduce conversiones.
Los derechos de los usuarios
Las personas tienen derecho a acceder a sus datos, rectificarlos, suprimirlos («derecho al olvido»), oponerse a ciertos tratamientos, limitarlos y a la portabilidad. Tu web debe informar de cómo ejercerlos (normalmente, un correo o un formulario) y tu empresa debe estar preparada para atenderlos en plazo. No basta con mencionarlos en la política: hay que poder cumplirlos.
Proveedores y transferencias
Casi ninguna empresa trata los datos sola: usa hosting, herramientas de email marketing, analítica, CRM… Cada uno de esos proveedores es un encargado del tratamiento con el que debe existir un contrato que lo regule. Y si alguno almacena datos fuera de la UE, hay que comprobar que ofrece garantías adecuadas. Es una parte que suele pasarse por alto y que forma parte del cumplimiento.
Qué pasa si hay una brecha de datos
Si se produce una fuga o un acceso no autorizado a datos personales, el RGPD obliga, en muchos casos, a notificarlo a la autoridad de control (la AEPD en España) en un plazo breve, y a los afectados si el riesgo es alto. Por eso conviene tener un procedimiento de respuesta definido antes de que ocurra. La seguridad y el cumplimiento van de la mano: proteger los datos es, también, cumplir el RGPD.
Cumplir el RGPD también es seguridad
Más allá de los textos legales, el RGPD exige medidas de seguridad «apropiadas» para proteger los datos. Ahí se conecta directamente con la ciberseguridad de tu web: HTTPS, control de accesos, copias de seguridad y buenas prácticas no son solo seguridad, son parte del cumplimiento. Cumplir y proteger son, en el fondo, la misma tarea vista desde dos ángulos.
Cómo te ayudamos en WebsDirect
En WebsDirect dejamos tu web alineada con la normativa en lo técnico: aviso legal y política de privacidad enlazados y accesibles, banner de cookies que cumple (aceptar/rechazar/configurar), carga de cookies solo tras el consentimiento, formularios con consentimiento correcto y HTTPS. Con más de 450 proyectos, integramos cumplimiento y seguridad. (Para el detalle jurídico, conviene contar también con asesoramiento legal especializado.)
¿Tu web cumple de verdad con el RGPD? Solicita un diagnóstico de seguridad gratuito y lo revisamos.
Preguntas frecuentes sobre el RGPD en tu web
Como mínimo: aviso legal, política de privacidad clara, política y banner de cookies que permita rechazar tan fácilmente como aceptar, consentimiento correcto en los formularios (casilla no premarcada) y medidas de seguridad como el HTTPS. Además, tener identificada la base legal de cada tratamiento y poder atender los derechos de los usuarios.
Sí. Casi cualquier web trata datos personales: formularios de contacto, newsletter, comentarios, chat o cookies de analítica y publicidad. En cuanto recoges datos de personas, estás sujeto al RGPD y a la normativa española, vendas o no directamente desde la web.
El consentimiento debe ser libre, informado e inequívoco: rechazar tiene que ser tan fácil como aceptar (no vale solo el botón «Aceptar» ni esconder el «Rechazar»), y las cookies no esenciales no pueden cargarse antes de que el usuario consienta. Es uno de los puntos que más sanciones genera.
Es la razón que legitima que trates un dato. Las habituales en una web son el consentimiento (newsletter, cookies no esenciales), la ejecución de un contrato (un pedido) o el interés legítimo (responder a una consulta). El RGPD exige identificarla para cada tratamiento y aplicar el principio de minimización: pedir solo lo necesario.
El RGPD obliga, en muchos casos, a notificar la brecha a la autoridad de control (la AEPD en España) en un plazo breve, y a los afectados si el riesgo es alto. Por eso conviene tener un procedimiento de respuesta definido de antemano, junto con medidas de seguridad que reduzcan la probabilidad de que ocurra.
Ambos. Tiene una parte de textos y procedimientos (políticas, consentimientos, contratos con proveedores) y otra técnica de seguridad apropiada: HTTPS, control de accesos, copias de seguridad. Cumplir y proteger van de la mano; para el detalle jurídico conviene además asesoramiento legal especializado.
