Revisión Legal de tu Web: Auditoría RGPD Completa

Revisión Legal de tu Web: Auditoría RGPD Completa

Tu página web puede ser el mayor foco de incumplimiento RGPD sin que lo sepas. Descubre qué revisa la AEPD, los errores más comunes en auditorías web y cómo blindar tu sitio antes de recibir una denuncia.

Tu página web es, probablemente, el primer contacto que tienes con tus clientes. También es, en muchos casos, el primer lugar donde la Agencia Española de Protección de Datos (AEPD) detecta incumplimientos cuando recibe una denuncia sobre tu negocio. Y lo que es más preocupante: la mayoría de las empresas y autónomos que atendemos no saben que su web tiene problemas hasta que ya es demasiado tarde.

En este artículo te explicamos qué debe tener tu página web para cumplir con el RGPD y la LSSI, qué errores detectamos con más frecuencia en las auditorías que realizamos, cómo actúa la AEPD cuando inspecciona una web y qué puedes hacer hoy mismo para estar protegido.

¿Por qué tu web es un punto crítico en materia de protección de datos?

Cuando alguien visita tu página web, en el momento en que esa visita queda registrada o en que la persona rellena un formulario de contacto, ya se está produciendo un tratamiento de datos personales. Eso te convierte automáticamente en responsable del tratamiento, con todas las obligaciones que eso implica según el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Además, si tu web utiliza cookies o tecnologías similares de rastreo, entra en juego la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), que tiene sus propias exigencias sobre información y consentimiento.

Dato clave: El artículo 13 del RGPD obliga a informar al usuario, en el momento en que se recogen sus datos, de quién los trata, con qué finalidad, cuánto tiempo se conservan, cuáles son sus derechos y si van a cederse a terceros. Si tu formulario de contacto no incluye esta información, estás incumpliendo el RGPD desde el primer envío.

Lista de verificación: qué debe tener tu web para cumplir la ley

Esta es la checklist que utilizamos en ConfidencialyDat cuando realizamos una auditoría web. Puedes usarla como punto de partida para hacer una primera revisión de tu propio sitio.

1. Política de privacidad

  • ¿Existe una página de política de privacidad accesible desde cualquier punto del sitio?
  • ¿Identifica claramente al responsable del tratamiento (nombre, NIF/CIF, dirección, correo electrónico)?
  • ¿Detalla las finalidades por las que se tratan los datos (contacto, facturación, newsletter, etc.)?
  • ¿Indica la base jurídica de cada tratamiento (consentimiento, interés legítimo, ejecución de contrato)?
  • ¿Informa sobre los plazos de conservación de los datos?
  • ¿Menciona si los datos se ceden a terceros o se transfieren fuera del Espacio Económico Europeo?
  • ¿Enumera los derechos del usuario (acceso, rectificación, supresión, oposición, portabilidad, limitación) y cómo ejercerlos?
  • ¿Informa del derecho a reclamar ante la AEPD?

2. Política de cookies

  • ¿Existe una política de cookies independiente y detallada?
  • ¿Describe qué cookies usa el sitio, quién las instala (propias o de terceros) y con qué finalidad?
  • ¿Permite al usuario aceptar, rechazar o configurar las cookies de forma granular?
  • ¿Indica el período de vigencia de cada cookie?

3. Banner de cookies

  • ¿Aparece al entrar en la web por primera vez?
  • ¿Ofrece opciones claras de aceptar, rechazar o configurar?
  • ¿El botón de rechazo es igual de visible que el de aceptación?
  • ¿Las cookies de análisis y publicidad solo se activan tras obtener el consentimiento?
  • ¿El banner informa de forma resumida y enlaza a la política de cookies?

Riesgo legal: La AEPD ha sancionado a empresas por tener banners de cookies que no ofrecían la opción de rechazar con la misma facilidad que la de aceptar, o que precargaban cookies antes de obtener el consentimiento. La Guía de Cookies de la AEPD (actualizada en 2023) es muy clara: el consentimiento debe ser libre, específico, informado e inequívoco. Un banner que solo muestra el botón "Aceptar" no cumple este requisito.

4. Formularios de contacto y captación

  • ¿Cada formulario incluye un enlace a la política de privacidad?
  • ¿Hay una casilla de consentimiento (no premarcada) cuando el tratamiento requiere consentimiento explícito?
  • ¿El texto informativo del formulario es claro y no está redactado en jerga legal incomprensible?
  • ¿Los formularios de newsletter o suscripción tienen una casilla independiente para esa finalidad?
  • ¿Hay captcha u otro mecanismo anti-spam para proteger el formulario?

5. Aviso legal

  • ¿Existe un aviso legal conforme al artículo 10 de la LSSI?
  • ¿Incluye la denominación social, NIF, domicilio, datos de contacto y, si aplica, número de inscripción en el Registro Mercantil?
  • ¿Si el titular ejerce una profesión regulada, se indica el colegio profesional y el número de colegiado?

6. Certificado SSL (HTTPS)

  • ¿Tu web utiliza HTTPS en todas sus páginas?
  • ¿El certificado está vigente y no muestra advertencias en el navegador?
  • ¿Los formularios que recogen datos personales están protegidos por HTTPS?

7. Datos de contacto visibles

  • ¿Hay información de contacto clara (teléfono, email, dirección) sin necesidad de buscarla?
  • ¿Los datos de contacto permiten al usuario ejercer sus derechos de protección de datos?

Los errores más comunes que detectamos en auditorías web

Después de revisar cientos de páginas web de empresas y autónomos en la Región de Murcia y en toda España, hemos identificado un patrón claro de incumplimientos que se repiten una y otra vez. Estos son los que aparecen con más frecuencia:

Textos legales copiados de internet sin personalizar

Es el problema más extendido. El titular de la web copia una política de privacidad genérica que encuentra en otro sitio, cambia el nombre de la empresa y la publica. El resultado es un texto que menciona finalidades que no aplican, omite los tratamientos reales del negocio o indica datos de contacto que no corresponden. Para la AEPD, un texto legal copiado que no refleja la realidad del tratamiento de datos equivale a no tener política de privacidad.

Banner de cookies incompleto o engañoso

Siguen existiendo miles de webs con banners que solo muestran el botón "Aceptar todas", que no permiten rechazar las cookies no esenciales, o que directamente no tienen banner aunque sí utilizan cookies de Google Analytics, píxeles de Facebook u otras herramientas de seguimiento.

Formularios sin cláusula informativa

El formulario de contacto tiene campos de nombre, email y teléfono, pero no hay ninguna referencia a quién trata esos datos ni para qué. En muchos casos se añade una casilla de consentimiento sin ningún texto que explique a qué está consintiendo el usuario.

Falta de base jurídica clara

La política de privacidad existe, pero no especifica sobre qué base jurídica del artículo 6 del RGPD se apoya cada tratamiento. Decir que "los datos se tratan conforme a la legislación vigente" no es suficiente: hay que indicar si es por consentimiento, por ejecución de un contrato, por obligación legal o por interés legítimo.

Plazos de conservación ausentes o vagos

Frases como "los datos se conservarán el tiempo necesario" o "hasta que solicite su baja" no cumplen con la obligación de informar sobre los plazos de conservación. El RGPD exige indicar el plazo concreto o, si no es posible determinarlo, los criterios utilizados para determinarlo.

Web sin HTTPS o con certificado caducado

Aunque es un problema cada vez menos frecuente, todavía hay webs —especialmente de negocios locales y autónomos— que funcionan en HTTP o que tienen el certificado SSL caducado. Recoger datos personales sin cifrado es una brecha de seguridad flagrante.

Ausencia de aviso legal o aviso incompleto

La LSSI obliga a tener aviso legal con información mercantil básica del titular del sitio. Es frecuente encontrar webs donde no existe ese apartado, o donde solo hay una dirección de email sin ningún dato de identificación legal del responsable.

Cómo actúa la AEPD cuando inspecciona una web

La AEPD puede iniciar una investigación sobre tu web de tres formas: por una denuncia de un usuario, por una actuación de oficio (la propia Agencia detecta el problema) o como parte de una campaña sectorial de inspección. En cualquiera de estos casos, el procedimiento suele seguir estos pasos:

Fase de actuaciones previas de investigación

Los inspectores de la AEPD acceden a tu web como cualquier usuario y documentan su estado: capturan pantallas del banner de cookies, del formulario de contacto, de los textos legales y de cualquier elemento que pueda ser indicativo de incumplimiento. También analizan las cookies que instala el sitio antes y después del consentimiento utilizando herramientas técnicas.

Solicitud de información

La AEPD puede requerirte para que aportes documentación: el registro de actividades de tratamiento, los contratos con proveedores de servicios (como el alojamiento web o la plataforma de email marketing), las instrucciones dadas a tu encargado del tratamiento y cualquier evidencia de las medidas de seguridad aplicadas.

Procedimiento sancionador

Si la investigación detecta indicios de infracción, se abre un expediente sancionador. Las infracciones relacionadas con la web (falta de información, cookies sin consentimiento, formularios sin cláusula informativa) pueden clasificarse como graves o muy graves según el RGPD, con multas que van desde los 300 euros en el caso de las infracciones leves de la LSSI hasta los 20 millones de euros o el 4% del volumen de negocio anual en las infracciones muy graves del RGPD.

Para tener en cuenta: En 2023 y 2024, la AEPD realizó campañas de inspección específicas sobre el uso de cookies en webs españolas, con especial atención al banner de consentimiento y a la instalación de cookies de terceros sin consentimiento previo. Muchas de las webs inspeccionadas pertenecían a pymes y autónomos, no solo a grandes empresas. La AEPD no distingue por tamaño: si tienes web y tratas datos, tienes obligaciones.

Apercibimiento o sanción

En el caso de empresas pequeñas o autónomos con infracciones no graves y sin antecedentes, la AEPD suele aplicar primero un apercibimiento: se te indica el incumplimiento y se te da un plazo para corregirlo. Si no corriges o si la infracción es grave, se impone la multa directamente. Es importante saber que el apercibimiento también consta en el expediente, lo que puede agravar sanciones futuras.

Por qué no es suficiente con hacer la web "a ojo"

Una de las ideas más extendidas entre empresarios y autónomos es que basta con "poner los textos legales que he visto en otras webs" o con "activar el aviso de cookies del plugin". La realidad es que ninguna de estas soluciones garantiza el cumplimiento real, por varias razones:

  • Los textos legales genéricos no reflejan los tratamientos concretos de tu negocio.
  • Los plugins de cookies pueden estar mal configurados y activar cookies antes del consentimiento.
  • La normativa evoluciona: lo que era válido en 2020 puede no serlo hoy.
  • La integración de herramientas de terceros (Google Analytics, Meta Pixel, chat en vivo, CRM) crea nuevos tratamientos que deben documentarse y comunicarse.
  • Si cambias de proveedor de hosting o incorporas una nueva funcionalidad, el análisis de cumplimiento debe actualizarse.

El cumplimiento web no es un trámite que se hace una vez y se olvida. Es una responsabilidad continua que forma parte de la gestión ordinaria de tu negocio.

Qué incluye el servicio de revisión web de ConfidencialyDat

En ConfidencialyDat ofrecemos un servicio de auditoría y adecuación web específico para autónomos, pymes y pequeñas empresas. Nuestro trabajo no se limita a decirte qué está mal: te entregamos las soluciones listas para implementar y te acompañamos hasta que todo esté en orden.

Análisis técnico y legal de tu web

Revisamos tu sitio web con las mismas herramientas que utiliza la AEPD: verificamos qué cookies instala tu web antes y después del consentimiento, analizamos todos los formularios, comprobamos los textos legales existentes y evaluamos el banner de cookies. El resultado es un informe detallado que identifica cada incumplimiento y lo clasifica por nivel de riesgo.

Redacción de textos legales a medida

Redactamos o revisamos tu política de privacidad, política de cookies y aviso legal adaptados a la realidad de tu negocio: tus tratamientos concretos, tus proveedores de servicios, tus finalidades reales. No usamos plantillas genéricas.

Configuración del banner de cookies

Te ayudamos a configurar correctamente tu sistema de gestión del consentimiento para que cumpla con la Guía de Cookies de la AEPD: opciones granulares, igual de fáciles de usar para aceptar que para rechazar, y sin carga de cookies no esenciales antes del consentimiento.

Adecuación de formularios

Revisamos y adecuamos todos los formularios de tu web: contacto, presupuesto, suscripción, reserva, o cualquier otro que recoja datos de usuarios. Te proporcionamos los textos informativos correctos y las casillas de consentimiento que correspondan.

Certificado de cumplimiento

Una vez completada la adecuación, emitimos un documento que acredita el estado de cumplimiento de tu web, útil tanto para tu tranquilidad como para acreditar ante la AEPD, si fuera necesario, que has tomado medidas activas de cumplimiento.

¿Tu web cumple el RGPD? Descúbrelo antes de que lo haga la AEPD

En ConfidencialyDat llevamos años ayudando a empresas y autónomos de Murcia a cumplir con el RGPD de forma sencilla y sin tecnicismos. Solicita tu presupuesto personalizado sin ningún compromiso.

📞 633 705 235 · ✉ confidencialydat@veltaris.es

→ Pide tu presupuesto gratis ahora

← Textos Legales Web Obligatorios: Aviso Legal, Privacidad y Cookies