Diseño web
RGPD y cookies en tu web: lo mínimo legal que debes cumplir
La normativa parece complicada, pero hay 5 cosas que cualquier web española tiene que tener para no exponerse a multas.
El RGPD lleva en vigor desde 2018 y la mayoría de webs de PYMEs en España siguen sin cumplir lo básico. Las multas pueden ser de 600 € a 600.000 €, pero la realidad es que la AEPD suele empezar por requerimientos. Aún así, no jugarte el negocio por algo que se arregla en una tarde tiene sentido.
Las cinco cosas mínimas
1. Aviso legal
Tiene que decir quién es el responsable de la web. Nombre comercial, razón social, NIF, dirección, email, datos registrales. Si la web es de una sociedad, los datos del Registro Mercantil.
Va en un enlace visible desde el footer de todas las páginas.
2. Política de privacidad
Tiene que explicar:
- Qué datos personales se recogen (formularios, cookies analíticas).
- Para qué se recogen.
- Cuánto tiempo se guardan.
- A quién se ceden (si se ceden).
- Cómo ejercer derechos (acceso, rectificación, supresión, oposición).
También va enlazada desde el footer y al lado de cada formulario.
3. Política de cookies
Específica para las cookies que usa tu web. Tiene que listar cada cookie, su finalidad, su duración, y permitir aceptar / rechazar.
4. Banner de cookies con consentimiento real
Atención aquí porque mucha gente lo hace mal. El banner tiene que:
- Aparecer antes de cargar cualquier cookie no esencial.
- Permitir aceptar y rechazar con la misma facilidad (no botón gigante "Aceptar" + link minúsculo "Configurar").
- No instalar cookies de analítica, publicidad o redes sociales hasta que el visitante acepte.
Si tu banner mete Google Analytics antes de que el visitante pulse "Aceptar", estás incumpliendo. Esto es lo más sancionado por la AEPD en los últimos años.
5. Consentimiento expreso en formularios
Cada formulario de contacto tiene que tener una casilla de verificación (no premarcada) donde el visitante acepta tu política de privacidad. Y tiene que estar separada de cualquier otra autorización (newsletter, marketing).
Lo que mucha gente no sabe
El "interés legítimo" no vale para casi nada
Algunas webs intentan justificar el uso de cookies analíticas sin consentimiento "por interés legítimo". La AEPD lo ha desestimado prácticamente siempre. Para cookies de analítica necesitas consentimiento expreso, no interés legítimo.
Google Analytics 4 con IP anonimizada sigue requiriendo consentimiento
GA4 anonimiza la IP por defecto, pero sigue tratando datos personales (cookies de identificación, ubicación aproximada). Necesita consentimiento.
Las cookies "técnicas" sí están exentas
Las cookies necesarias para que la web funcione (sesión iniciada, idioma, preferencias) son técnicas y no necesitan consentimiento. Sí tienes que informar de ellas en la política de cookies, pero no pedir permiso.
Lo que te puede costar incumplir
Las multas oficiales del RGPD van de 600 € a 600.000 €, pero en la práctica:
- Primera infracción leve: suelen ser advertencias o multas de 1.000-3.000 €.
- Infracciones reiteradas o graves: 5.000 € – 50.000 € es lo más habitual.
- Brechas de datos sin notificar: ahí entras en cifras mayores.
La AEPD publica cada año los expedientes sancionadores. Vale la pena leerlos para ver qué multan más.
Cómo cumplir sin pagar a un abogado caro
Para una PYME estándar (sin tratamiento masivo de datos), puedes:
- Usar plantillas de RGPD revisadas por abogados (las hay buenas, desde 50 € a 200 €).
- Adaptarlas con tus datos reales.
- Revisar que tu banner de cookies cumple con lo que hemos visto.
Si tu negocio trata muchos datos sensibles (salud, financiero, menores), entonces sí merece la pena un asesoramiento dedicado (300-800 € de honorarios) que te haga el documento ad hoc.
La cuenta
Cumplir el RGPD básico cuesta entre 0 € y 300 € de plantillas + media tarde de trabajo aplicarlo. No cumplirlo te puede costar entre 1.000 € y 50.000 €. Es una decisión obvia.