RGPD para webs: el mínimo imprescindible para cumplir la ley sin volverte loco

La Agencia Española de Protección de Datos (AEPD) sancionó en 2023 con más de 30 millones de euros en multas a empresas por incumplimientos del RGPD. La mayor parte de estas sanciones no fueron a grandes corporaciones —muchas fueron a pymes y autónomos por errores básicos: banners de cookies engañosos, políticas de privacidad copiadas sin adaptar, o formularios que recogían datos sin base legal clara. La buena noticia es que cumplir el RGPD de manera básica es alcanzable para cualquier web en menos de un día de trabajo.

Los 6 elementos que ningún web puede ignorar

El primero es el banner de cookies correcto. No es suficiente con un banner que dice 'Usamos cookies'. El RGPD exige consentimiento activo, libre, específico e informado. Esto significa: el banner debe tener una opción clara de 'Aceptar todo' y 'Rechazar todo' (o equivalente), no puede haber ninguna opción pre-marcada, y las cookies no analíticas ni de marketing no pueden activarse hasta que el usuario las acepte explícitamente. Usar Google Analytics sin el consentimiento previo del usuario es una infracción.

El segundo es la política de privacidad real. No la que has copiado de otro web. Tu política debe indicar: quién es el responsable del tratamiento (nombre, NIF o CIF, dirección), para qué se usan los datos (base legal de cada uno de los tratamientos), con quién se comparten (Google Analytics, tu proveedor de hosting, el servicio de email marketing), cuánto tiempo se guardan, y cómo puede el usuario ejercer sus derechos (acceso, rectificación, supresión, portabilidad).

• Banner de cookies RGPD-compliant: plataformas como Cookiebot, Axeptio o CookieYes generan banners conformes automáticamente. Conectan con GA4 y Google Ads para activarlos o desactivarlos según el consentimiento.
• Política de privacidad adaptada: revísala al menos una vez al año o cuando cambies algún proveedor de servicios que trate datos. Una plantilla genérica que no menciona tus proveedores reales no es válida.
• Registro de actividades de tratamiento: el RGPD exige a los responsables del tratamiento mantener un registro interno de todas las actividades de tratamiento de datos. En la práctica, es un documento que lista: tipo de datos, propósito, base legal, destinatarios, plazos de conservación.
• Contratos con encargados del tratamiento: cada proveedor externo que trata datos de tus usuarios (hosting, CRM, herramienta de email marketing, chat online) es un "encargado del tratamiento". Debes tener firmado con ellos un DPA (Data Processing Agreement). La mayoría de proveedores grandes (Google, Mailchimp, HubSpot) los ofrecen a través de su panel.
• Formularios con base legal clara: cada formulario de tu web (contacto, newsletter, compra) debe indicar para qué se usarán los datos y, si es necesario, tener una casilla de consentimiento activo (no pre-marcada) para los usos no esenciales.
• Procedimiento para ejercicio de derechos: debes tener un canal claro para que los usuarios puedan ejercer sus derechos (acceso, rectificación, supresión, portabilidad, oposición). Un email como privacidad@tuweb.com es suficiente. Debes responder en 30 días.
• Retención y borrado de datos: define cuánto tiempo guardas cada tipo de dato. Un contact form guardado indefinidamente no cumple el principio de minimización del RGPD. Implementa una política de borrado automático o manual periódico.
• Transferencias internacionales: si usas servicios de empresas norteamericanas (Google, Meta, HubSpot), los datos se transfieren a EE.UU. Verifica que la empresa tiene el Data Privacy Framework (DPF) activo o Cláusulas Contractuales Tipo (SCC) firmadas.

El RGPD es un proceso continuo, no un proyecto puntual

El error más común es tratar el RGPD como un proyecto que se hace una vez y se deja. La realidad es que el RGPD requiere una revisión regular: cada vez que añades una nueva herramienta (un píxel, un chat, un CRM), cada vez que cambias de proveedor de hosting, cada vez que lanzas un nuevo formulario o una nueva campaña de marketing.

Una buena práctica es designar internamente un 'responsable de privacidad' (no tiene que ser un DPO si la empresa no es grande) que haga una revisión trimestral de: el registro de actividades, los contratos con encargados, el banner de cookies, y la política de privacidad. Con 2-3 horas al trimestre, una empresa pequeña puede mantener un nivel de cumplimiento razonablemente alto.

La clave no es parecer compliant —es poder demostrarlo cuando haga falta. La AEPD no multa a las empresas que cometen errores; multa a las que no pueden probar que han tomado medidas razonables.