Página web, formularios y cookies: qué debe tener tu negocio para evitar incumplimientos
Tener una página web es prácticamente obligatorio para cualquier negocio, pero tenerla sin cumplir la normativa puede salirte muy caro. El RGPD, la LOPD-GDD y la LSSI establecen requisitos concretos sobre formularios, cookies, avisos legales y políticas de privacidad que muchas webs siguen ignorando.
La doble obligación: LSSI y RGPD
Cuando una empresa tiene presencia en internet, se somete a dos marcos normativos principales. Por un lado, la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE), que regula el comercio electrónico, las comunicaciones comerciales y las cookies. Por otro, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPD-GDD), que establecen cómo deben recogerse, tratarse y protegerse los datos personales.
Ambas normativas son complementarias. La LSSI obliga a identificarse como prestador de servicios y a regular el uso de cookies, mientras que el RGPD exige informar y obtener consentimiento para cualquier tratamiento de datos personales que se realice a través de la web.
No importa si tu web es una simple landing page con un formulario de contacto: si recoges datos personales, el RGPD te aplica. Y si la web está accesible al público, la LSSI también.
Qué necesita cada formulario web
Los formularios son el punto más sensible de cualquier web desde el punto de vista de protección de datos. Cada vez que un usuario rellena un formulario de contacto, solicitud de presupuesto, suscripción a newsletter o registro, estás recogiendo datos personales. Estos son los requisitos que debe cumplir cada formulario:
1. Casilla de consentimiento informado
Debe existir una casilla (checkbox) que el usuario marque activamente antes de enviar el formulario. Esta casilla no puede estar premarcada. El texto junto a la casilla debe indicar que el usuario ha leído y acepta la política de privacidad, con un enlace directo a dicha política.
2. Información sobre la finalidad del tratamiento
El usuario debe saber para qué se van a utilizar sus datos antes de facilitarlos. Es recomendable incluir una primera capa informativa junto al formulario que indique, como mínimo: quién es el responsable del tratamiento, la finalidad concreta (responder consultas, enviar presupuesto, etc.) y la base jurídica del tratamiento.
3. Minimización de datos
Solo debes solicitar los datos estrictamente necesarios para la finalidad declarada. Si el formulario es de contacto, no necesitas la fecha de nacimiento ni el DNI. Pedir datos innecesarios es una infracción del principio de minimización del RGPD.
Atención: Un formulario sin casilla de consentimiento o con la casilla premarcada se considera un tratamiento de datos sin base jurídica válida. La AEPD ha sancionado este tipo de prácticas con multas de hasta 20.000 euros a pequeñas empresas.
Cookies: la guía de la AEPD y lo que exige en 2026
El uso de cookies en páginas web está regulado por la LSSI y las directrices de la AEPD, actualizadas con la Guía sobre el uso de cookies. Los requisitos son claros y no admiten atajos:
- Consentimiento previo: Las cookies no esenciales (analíticas, de marketing, de personalización) solo pueden instalarse después de que el usuario haya dado su consentimiento explícito. Navegar por la web o hacer scroll NO constituye consentimiento.
- Configuración granular: El usuario debe poder aceptar o rechazar cada categoría de cookies de forma independiente. No basta con un botón de "aceptar todo".
- Botón de rechazar obligatorio: Debe existir un botón de rechazo de cookies no esenciales en la primera capa del banner, con la misma visibilidad y accesibilidad que el botón de aceptar. Ocultar el rechazo tras un enlace de "configurar" ya no es válido.
- Prohibición de cookie walls: No puedes impedir el acceso al contenido de la web si el usuario rechaza las cookies. Los muros de cookies (cookie walls) están prohibidos como práctica general por la AEPD.
- Renovación del consentimiento: El consentimiento debe renovarse periódicamente, como mínimo cada 24 meses, y el usuario debe poder modificar sus preferencias en cualquier momento.
Si tu banner de cookies solo tiene un botón de "Aceptar" y un enlace pequeño de "Más información", no cumples la normativa vigente. Se requiere botón de rechazar visible en la primera capa.
Política de privacidad: qué debe contener
La política de privacidad es un documento obligatorio que debe ser accesible desde cualquier página de tu web (normalmente desde el footer). Según el artículo 13 del RGPD, debe incluir como mínimo:
- Identidad y datos de contacto del responsable del tratamiento
- Datos de contacto del Delegado de Protección de Datos (si existe)
- Finalidades del tratamiento y base jurídica
- Destinatarios o categorías de destinatarios de los datos
- Plazos de conservación de los datos
- Derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad, limitación)
- Derecho a presentar reclamación ante la AEPD
- Si se realizan transferencias internacionales de datos
Aviso legal: la carta de presentación obligatoria
La LSSI obliga a todo prestador de servicios de la sociedad de la información a publicar un aviso legal que identifique al titular de la web. Este documento debe incluir:
- Denominación social, NIF/CIF y datos de inscripción registral
- Domicilio social
- Dirección de correo electrónico y teléfono de contacto
- Datos del colegio profesional (si aplica)
El aviso legal debe estar accesible de forma permanente, fácil, directa y gratuita. Normalmente se enlaza desde el pie de página de todas las secciones de la web.
Errores frecuentes en el cumplimiento web
En nuestra experiencia auditando webs de empresas y autónomos, estos son los errores más habituales que encontramos:
- Formularios de contacto sin casilla de consentimiento o con la casilla premarcada
- Política de privacidad genérica descargada de internet, sin adaptar a la actividad real del negocio
- Banner de cookies sin botón de rechazar en la primera capa
- Cookies analíticas (Google Analytics, Meta Pixel) que se cargan antes de obtener el consentimiento
- Aviso legal incompleto o inexistente
- Formularios que piden datos innecesarios (DNI, fecha de nacimiento para una simple consulta)
- Política de cookies que no identifica las cookies reales que utiliza la web
- No disponer de un mecanismo para que el usuario modifique sus preferencias de cookies después de la primera visita
Importante: Utilizar plantillas genéricas de política de privacidad sin adaptarlas a tu negocio no te exime de responsabilidad. La AEPD verifica que el contenido sea real y específico para la actividad que desarrollas.
Checklist: todo lo que tu web necesita
Revisa esta lista para comprobar si tu página web cumple con la normativa vigente:
- Aviso legal con datos completos del titular (LSSI)
- Política de privacidad adaptada a tu actividad real (RGPD art. 13)
- Política de cookies que identifique cada cookie utilizada
- Banner de cookies con botón de aceptar, rechazar y configurar
- Cookies no esenciales bloqueadas hasta obtener consentimiento
- Formularios con casilla de consentimiento no premarcada
- Primera capa informativa junto a cada formulario
- Enlace a la política de privacidad en cada formulario
- Minimización de datos: solo los campos estrictamente necesarios
- Mecanismo para modificar preferencias de cookies en cualquier momento
- Acceso a los tres textos legales desde el pie de página
- Protocolo HTTPS (certificado SSL) activo en toda la web
Conclusión
Tu página web es el escaparate digital de tu negocio, pero también es un punto de recogida de datos personales que debe cumplir estrictamente con el RGPD y la LSSI. No basta con tener textos legales al pie de la web: cada formulario, cada cookie y cada tratamiento de datos debe estar correctamente configurado. Una auditoría web profesional puede detectar incumplimientos que pasan desapercibidos y evitarte sanciones innecesarias.
En ConfidencialyDat auditamos tu web de forma gratuita y te indicamos exactamente qué corregir. Contacta con nosotros y te enviamos un informe detallado sin compromiso.