Dominios y Servicios Digitales: Lo Que el RGPD Exige
RGPD para empresas 30 junio 2026 · 12 min de lectura

Dominios y Servicios Digitales: Lo Que el RGPD Exige

Registrar un dominio o contratar servicios digitales implica ceder y tratar datos personales con terceros. Conoce los riesgos legales, las cláusulas RGPD que debes exigir a tu proveedor y cómo protegerte ante la AEPD.

Cuando un autónomo o una pequeña empresa decide crear su presencia en internet, lo primero que hace es registrar un dominio y contratar un hosting. Dos pasos que parecen puramente técnicos y comerciales, pero que desde el momento en que se completan arrastran obligaciones concretas bajo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Este artículo te explica, de forma práctica y sin rodeos, qué ocurre con tus datos cuando registras un dominio, qué debes exigir a tu proveedor de hosting o de cualquier servicio digital (SaaS, CRM en la nube, herramientas de email marketing…), y cuáles son los riesgos reales —con sanciones incluidas— de ignorar estas obligaciones.

1. El registro de un dominio: ¿qué datos se tratan y quién los ve?

Cuando contratas un nombre de dominio (.com, .es, .net…), el registrador recopila una serie de datos del registrante: nombre completo o razón social, dirección postal, correo electrónico, número de teléfono y, en algunos casos, datos de facturación. Hasta aquí, todo parece normal. El problema surge cuando esos datos se publican de forma abierta.

El sistema WHOIS y la protección de privacidad

El WHOIS es una base de datos pública donde históricamente podía consultarse la identidad completa del titular de cualquier dominio. Antes del 25 de mayo de 2018 (fecha de aplicación del RGPD), era práctica habitual que cualquier persona pudiera introducir un dominio en un buscador WHOIS y obtener el nombre, el correo y el teléfono del propietario al instante.

Tras la entrada en vigor del RGPD, la ICANN (organismo que coordina la asignación de dominios a nivel mundial) modificó sus políticas para limitar los datos visibles en el WHOIS público. Sin embargo, la situación no es uniforme: cada registrador aplica sus propias políticas, y la información que permanece accesible varía según el tipo de dominio y el país del registrador.

Dato clave: Para los dominios .es, Red.es (entidad pública española que gestiona este espacio de nombres) exige que el titular sea identificable, pero aplica restricciones de acceso público a los datos de personas físicas desde 2018. Si eres autónomo y registras un dominio .es a tu nombre personal, tus datos quedan protegidos frente a consultas abiertas. No así en muchos registradores internacionales de dominios .com o .net si no activas expresamente la protección de privacidad (Privacy Protection o WHOIS Guard).

¿Qué debes hacer como registrante?

  • Comprueba siempre si tu registrador ofrece servicio de protección de privacidad WHOIS y actívalo si estás registrando a nombre de una persona física.
  • Si registras el dominio a nombre de tu sociedad (S.L., S.A.), los datos de la empresa son públicos por naturaleza, pero asegúrate de que el correo de contacto publicado no sea el de un empleado concreto.
  • Revisa la política de privacidad del registrador: debe indicar con qué terceros comparte tus datos (ICANN, registros nacionales, revendedores) y con qué base jurídica lo hace.

2. El proveedor de hosting: no es solo un almacén de archivos

Cuando contratas un hosting para tu web, lo que técnicamente sucede es que un tercero almacena y procesa datos que pertenecen a tus clientes: formularios de contacto, datos de pedidos, registros de usuarios, cookies… El proveedor de hosting accede a esos datos para prestar el servicio. Desde la perspectiva del RGPD, eso lo convierte en un encargado del tratamiento.

El artículo 28 del RGPD es taxativo: si un encargado del tratamiento accede a datos personales de tus clientes o empleados, debes firmar con él un contrato de encargado del tratamiento. No es opcional, no es burocracia, es una obligación legal cuyo incumplimiento puede acarrear sanciones.

⚠ Riesgo legal: La AEPD ha sancionado a empresas españolas por no disponer de contrato con el encargado del tratamiento. El artículo 83.4 del RGPD fija para estas infracciones multas de hasta 10 millones de euros o el 2% del volumen de negocio global anual (la cifra que resulte mayor). Para una PYME, incluso una sanción "menor" de unos pocos miles de euros puede ser devastadora. No firmar el contrato con tu hosting es, en papel, la misma infracción que la de una multinacional.

¿Qué cláusulas RGPD debes exigir a tu proveedor de hosting?

Muchos proveedores de hosting grandes (OVH, Ionos, SiteGround, Raiola Networks…) ofrecen ya un documento de encargado del tratamiento en sus paneles de cliente o área legal. Si el tuyo no lo tiene o no sabes dónde encontrarlo, pídelo expresamente. Este contrato debe incluir:

  1. Descripción del tratamiento: qué datos procesa el hosting, con qué finalidad y durante cuánto tiempo.
  2. Obligación de confidencialidad: el proveedor y sus empleados no pueden usar tus datos para fines propios ni cederlos a terceros sin tu autorización.
  3. Medidas de seguridad: descripción de las salvaguardas técnicas y organizativas aplicadas (cifrado, control de accesos, copias de seguridad, etc.).
  4. Subcontratación: si el hosting utiliza centros de datos de terceros (subencargados), debes saberlo y tener la posibilidad de oponerte.
  5. Devolución o destrucción de datos: al finalizar el contrato, el proveedor debe devolverte los datos o destruirlos de forma segura.
  6. Transferencias internacionales: si los servidores están fuera del Espacio Económico Europeo (por ejemplo, en EE.UU.), debe haber garantías adecuadas como las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
  7. Cooperación en el ejercicio de derechos: el proveedor debe ayudarte si un usuario solicita acceso, rectificación o supresión de sus datos.

3. Servicios SaaS: cuando tus datos viven en la nube de otro

Hoy en día es difícil encontrar una empresa —por pequeña que sea— que no use algún servicio SaaS (Software as a Service): un CRM en la nube, una herramienta de email marketing, un sistema de gestión de citas online, un software de facturación, una plataforma de videoconferencia… Todos ellos procesan, en mayor o menor medida, datos de tus clientes o empleados.

La lógica del RGPD es la misma que con el hosting: si el proveedor SaaS trata datos personales por cuenta tuya, es un encargado del tratamiento y necesitas el contrato del artículo 28. Si, por el contrario, usa esos datos para sus propios fines (publicidad dirigida, análisis de mercado…), podría ser considerado corresponsable del tratamiento, lo que complica aún más la relación legal.

Preguntas que debes hacerte antes de contratar un SaaS

  • ¿Dónde están los servidores? ¿En la UE o fuera?
  • ¿El proveedor ofrece un DPA (Data Processing Agreement) o contrato de encargado del tratamiento?
  • ¿Quiénes son sus subencargados (AWS, Google Cloud, Azure…)?
  • ¿Cómo notifica brechas de seguridad? ¿En qué plazo?
  • ¿Qué ocurre con mis datos si cancelo la suscripción?
  • ¿Puedo exportar todos mis datos en un formato portable?
Referencia legal: El considerando 81 del RGPD señala que el responsable del tratamiento (tu empresa) solo debe recurrir a encargados que ofrezcan garantías suficientes. El artículo 28.3 lista el contenido mínimo obligatorio del contrato. Si el proveedor SaaS no puede ofrecerte ese contrato o se niega a firmarlo, es una señal de alerta importante sobre su nivel de cumplimiento.

4. El peligro de los servicios gratuitos

Uno de los errores más frecuentes entre autónomos y pequeñas empresas es usar herramientas gratuitas para gestionar información de sus clientes, pensando que al no pagar dinero no hay responsabilidad. Nada más lejos de la realidad.

Los servicios gratuitos tienen un modelo de negocio: generalmente, tus datos (y los de tus clientes) son el producto. Plataformas de formularios gratuitos, CRMs freemium, servicios de email masivo con plan gratuito, o herramientas de firma digital sin coste pueden estar usando los datos que introduces para perfilar usuarios, entrenar modelos de inteligencia artificial o compartir información con anunciantes.

Riesgos concretos de los servicios gratuitos

  • Ausencia de contrato de encargado del tratamiento: Muchos servicios gratuitos no ofrecen DPA. Tú sigues siendo el responsable del tratamiento y eres quien responde ante la AEPD si algo falla.
  • Transferencias internacionales sin garantías: Herramientas de origen estadounidense pueden transferir datos a EE.UU. sin las salvaguardas adecuadas tras la invalidación del Privacy Shield (Sentencia Schrems II del TJUE, 2020). Aunque el nuevo Marco de Privacidad UE-EE.UU. (2023) ha mejorado la situación, conviene verificar si el proveedor está certificado.
  • Uso de datos para fines propios: Si el proveedor usa los datos de tus clientes para entrenar algoritmos o mostrar publicidad, la base jurídica del tratamiento original (el consentimiento que tu cliente te dio a ti) no cubre ese uso adicional.
  • Falta de control sobre subencargados: Un servicio gratuito puede cambiar de infraestructura o ceder datos a partners sin notificártelo.
  • Imposibilidad de portabilidad: En planes gratuitos, la exportación de datos suele estar limitada o bloqueada, lo que te deja atrapado y sin posibilidad de cumplir con el derecho de portabilidad de tus clientes (art. 20 RGPD).
⚠ Caso real: La AEPD ha investigado y sancionado a empresas que usaban herramientas de terceros sin verificar sus garantías RGPD. En 2023, varias resoluciones recordaron que el responsable del tratamiento no puede alegar desconocimiento de las prácticas de sus encargados si no firmó el contrato y no realizó diligencia debida. La ignorancia no exime de responsabilidad.

5. Registro de actividades de tratamiento: no olvides incluir a tus proveedores digitales

El artículo 30 del RGPD obliga a las empresas (con algunas excepciones para organizaciones muy pequeñas sin tratamientos de riesgo) a mantener un Registro de Actividades de Tratamiento (RAT). Este documento debe recoger, entre otros, los destinatarios de los datos, incluidos los encargados del tratamiento.

Cuando contratas un hosting, un SaaS o un registrador de dominios que procesa datos de tus clientes, debes incluir esa relación en tu RAT. No basta con tener firmado el contrato de encargado; la documentación interna debe reflejar el ecosistema completo de proveedores digitales que intervienen en el tratamiento.

Para una PYME o un autónomo, este registro no tiene por qué ser un documento complejo. Puede ser una hoja de cálculo bien organizada con las siguientes columnas por cada actividad de tratamiento:

  • Nombre de la actividad (ej: "Gestión de contactos comerciales")
  • Responsable del tratamiento (tu empresa)
  • Finalidad del tratamiento
  • Categorías de datos tratados
  • Base jurídica (consentimiento, interés legítimo, ejecución de contrato…)
  • Plazos de conservación
  • Destinatarios y encargados (aquí entran tu hosting, tu CRM, tu herramienta de email…)
  • Transferencias internacionales y garantías aplicadas

6. Checklist práctico antes de contratar cualquier servicio digital

Para que puedas aplicar todo lo anterior de forma inmediata, te dejamos una lista de verificación rápida. Antes de contratar un dominio, hosting, SaaS o cualquier herramienta digital que vaya a procesar datos de tus clientes o empleados, comprueba:

  1. ¿El proveedor tiene una política de privacidad clara y accesible?
  2. ¿Ofrece un contrato de encargado del tratamiento (DPA) conforme al art. 28 RGPD?
  3. ¿Los servidores están en la UE o en un país con nivel de protección adecuado?
  4. Si hay transferencias a terceros países, ¿existen Cláusulas Contractuales Tipo u otras garantías?
  5. ¿El proveedor te notificará brechas de seguridad en 72 horas (para que tú puedas cumplir con la AEPD)?
  6. ¿Puedes exportar o recuperar tus datos si cambias de proveedor?
  7. ¿La herramienta gratuita no utiliza los datos de tus clientes para sus propios fines comerciales?
  8. ¿Has incluido este proveedor en tu Registro de Actividades de Tratamiento?
  9. ¿Has activado la protección de privacidad WHOIS si registras el dominio como persona física?
  10. ¿Tienes copia firmada (o confirmación por email) del contrato de encargado?

7. Lo que puede pasar si no cumples

El incumplimiento de las obligaciones relacionadas con encargados del tratamiento no es una cuestión teórica. La AEPD publica periódicamente resoluciones sancionadoras que afectan a empresas de todos los tamaños. Las infracciones más comunes en este ámbito son:

  • No disponer de contrato con el encargado del tratamiento (art. 28 RGPD).
  • Usar proveedores que transfieren datos fuera de la UE sin garantías (arts. 44-49 RGPD).
  • No incluir a los encargados en el Registro de Actividades (art. 30 RGPD).
  • No notificar a la AEPD una brecha de seguridad en el plazo de 72 horas cuando el encargado (hosting, SaaS) la detecta tarde porque no existe protocolo de comunicación pactado (art. 33 RGPD).

Las sanciones del RGPD son escalonadas: las infracciones del artículo 83.4 (entre las que se incluye la falta de contrato con el encargado) tienen un techo de 10 millones de euros o el 2% del volumen de negocio anual. Las infracciones más graves del artículo 83.5 (principios fundamentales, base jurídica, derechos de los interesados) pueden alcanzar los 20 millones o el 4%.

Para una PYME, incluso una sanción en el tramo más bajo puede ser significativa. Y más allá de la multa, existe el daño reputacional: que tus clientes sepan que sus datos no estaban protegidos correctamente puede costar mucho más que cualquier sanción económica.

Conclusión: la presencia digital tiene un precio legal que conviene conocer

Montar una web, registrar un dominio y contratar herramientas digitales son decisiones empresariales cotidianas. Pero cada una de ellas activa obligaciones bajo el RGPD que no desaparecen por desconocimiento. La buena noticia es que cumplir no es tan complicado como parece: se trata de hacer las preguntas correctas a tus proveedores, firmar los contratos adecuados y documentar correctamente tu actividad.

Si no sabes por dónde empezar, o si ya tienes hosting, dominios y herramientas SaaS contratadas y quieres revisar si cumples con el RGPD, el mejor paso es hablar con un especialista que pueda hacer un diagnóstico rápido y orientarte sin tecnicismos.

¿Tu empresa usa hosting o servicios digitales? Revisa tu cumplimiento RGPD antes de que lo haga la AEPD

En ConfidencialyDat llevamos años ayudando a empresas y autónomos de Murcia a cumplir con el RGPD de forma sencilla y sin tecnicismos. Solicita tu presupuesto personalizado sin ningún compromiso.

📞 633 705 235 · ✉ confidencialydat@veltaris.es

→ Pide tu presupuesto gratis ahora

← Antivirus para empresas y autónomos: qué exige el RGPD