Obligaciones del RGPD para sitios web: Lo que realmente debe cumplir
Política de privacidad, consentimiento de cookies, aviso legal - tres obligaciones que todo sitio web debe cumplir. Explicado de forma clara para directivos y responsables, sin jerga jurídica.
¿Qué es una política de privacidad y por qué la necesita todo sitio web?
Una política de privacidad informa a los visitantes de su sitio web sobre qué datos personales se recopilan, por qué se hace y qué derechos tienen los afectados. Suena abstracto, pero es concreto: solo cuando alguien accede a su sitio web, el servidor almacena una dirección IP. Eso ya es un dato personal. Con ello, todo sitio web está sujeto al RGPD.
El Reglamento General de Protección de Datos (RGPD) está en vigor en toda la UE desde mayo de 2018. Obliga a todo operador de sitio web - ya sea gran empresa, PYME, asociación o fundación - a disponer de una política de privacidad completa. Si falta o está desactualizada, se arriesga a advertencias y sanciones.
Importante: una política de privacidad no es lo mismo que un aviso legal. El aviso legal establece quién es el responsable del sitio web (según la Ley de Servicios de la Sociedad de la Información - LSSI). La política de privacidad regula cómo se tratan los datos (según el RGPD). Ambos son obligatorios y deben existir por separado.
Los errores más frecuentes en las políticas de privacidad
En nuestra práctica vemos siempre los mismos problemas. Muchos de ellos son fácilmente evitables - cuando se sabe a qué prestar atención.
Plantillas desactualizadas
Muchos sitios web aún utilizan políticas de privacidad de 2018 o anteriores. Desde entonces, la legislación ha cambiado (nuevas sentencias sobre Google Fonts y Analytics). Una plantilla de hace tres años casi seguro ya no es conforme.
Datos que faltan
El RGPD exige información concreta: nombre del responsable, contacto del delegado de protección de datos (si existe), bases jurídicas para cada tratamiento, plazos de conservación y derechos de los interesados. Si falta alguno, la política es incompleta.
Copiar y pegar sin adaptar
Una política de privacidad debe ajustarse a su propio sitio web. Quien usa Google Analytics pero solo menciona Facebook Pixel tiene un problema. Y quien no usa herramientas de análisis pero escribe tres párrafos sobre ellas, también.
Páginas vacías u ocultas
Algunos sitios web tienen un enlace a la política de privacidad en el pie de página, pero la página está vacía o lleva a un error. Las autoridades de supervisión lo comprueban sistemáticamente - y los abogados especializados en reclamaciones aún más.
Consentimiento de cookies: por qué un simple aviso no basta
Las cookies son pequeños archivos de texto que los sitios web almacenan en el dispositivo del visitante. Algunas son técnicamente necesarias (por ejemplo, para el carrito de compras en una tienda online). Otras sirven para análisis o marketing - y ahí es donde se vuelve jurídicamente relevante.
La normativa europea y española exige que, antes de instalar cookies no esenciales, el visitante debe dar su consentimiento activo. Esto significa: un banner con el texto "Este sitio web utiliza cookies - Aceptar" no es suficiente. El visitante debe tener una elección real - con la posibilidad de rechazar categorías individuales.
En la práctica, necesita una llamada plataforma de gestión de consentimiento (CMP). Esta herramienta muestra en la primera visita un banner de cookies con al menos dos opciones: "Aceptar todo" y "Solo necesarias". Solo después del consentimiento pueden instalarse cookies de seguimiento. Sin un CMP funcional, cualquier tracking en su sitio web es ilícito.
Por cierto: también los vídeos incrustados de YouTube, Google Maps o los botones de redes sociales instalan cookies. Quien incluya estos contenidos necesita o bien un consentimiento previo o una solución de dos clics que solo cargue tras la aprobación.
La mejor solución: no necesitar un banner de cookies
Existe una alternativa al dilema del banner de cookies: construya su sitio web de forma que no instale cookies no esenciales. Sin tracking, sin fuentes externas, sin embeds de terceros - entonces no necesita ni banner ni CMP. Eso ahorra dinero (las herramientas CMP cuestan entre 50 y 500 EUR al mes), mejora el tiempo de carga y simplifica enormemente el cumplimiento del RGPD.
¿Suena poco realista? gosign.de es la prueba: cero cookies, cero banner, Lighthouse 100/100, análisis completo con herramientas sin cookies. Qué hay detrás y cómo puede funcionar también para su sitio web lo explicamos en detalle:
Sitio web sin cookie banner - así se haceRGPD, ePrivacy, LSSI - ¿qué ley se aplica a qué?
Tres marcos normativos, tres ámbitos de aplicación. Para los operadores de sitios web es importante conocer la diferencia - porque las infracciones de cada uno pueden ser sancionadas por separado.
| Normativa | Regula | Obligación para sitios web |
|---|---|---|
| RGPD | Tratamiento de datos personales | Política de privacidad, registro de actividades de tratamiento, derechos de los interesados |
| Directiva ePrivacy / LSSI | Acceso a dispositivos (cookies, fingerprinting) | Consentimiento antes de instalar cookies no esenciales |
| LSSI-CE | Obligaciones de información de servicios digitales | Aviso legal con datos completos del prestador |
El RGPD es un reglamento de la UE y se aplica directamente. La Directiva ePrivacy, transpuesta en España a través de la LSSI, regula específicamente el acceso a los dispositivos de los usuarios. La LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico) regula, entre otros, la obligación de disponer de aviso legal. Las tres normativas se aplican en paralelo y las tres deben cumplirse.
Caso especial: fundaciones y organizaciones sin ánimo de lucro
Un error muy extendido: las fundaciones, asociaciones y organizaciones sin ánimo de lucro están exentas del RGPD. Esto no es cierto. El RGPD se aplica a toda organización que trate datos personales - independientemente de la forma jurídica o el fin.
En la práctica, esto significa: también el sitio web de una fundación, una asociación o una entidad religiosa necesita una política de privacidad completa, un banner de cookies conforme y un aviso legal correcto. Los requisitos son idénticos a los de una empresa comercial.
Precisamente en fundaciones vemos con frecuencia sitios web con formularios de contacto, suscripción a newsletters y formularios de donación - áreas donde se tratan datos especialmente sensibles. Una política de privacidad correcta no solo es obligatoria, sino también una cuestión de confianza con donantes y patrocinadores. También la base técnica del sitio web juega un papel - información básica sobre Schema.org y fundamentos de SEO ayuda a posicionar el sitio web de forma profesional.
Lista de verificación: 8 puntos que todo sitio web debe cumplir
Independientemente del sector, tamaño o forma jurídica - estos ocho puntos son el mínimo para todo sitio web en la Unión Europea.
Política de privacidad existente y actualizada
Política completa con todas las indicaciones obligatorias del RGPD. Revisar al menos anualmente y actualizar tras cambios legislativos.
Aviso legal completo según la LSSI
Nombre, domicilio, correo electrónico, teléfono, representantes legales, datos registrales (si procede), NIF. En una página separada, accesible con máximo dos clics.
Banner de cookies con consentimiento real
Sin "Aceptar todo" preseleccionado. Opciones equivalentes para aceptar y rechazar. Solo tras el consentimiento pueden instalarse cookies no esenciales.
Cifrado SSL/TLS activo
Todo el sitio web debe ser accesible por HTTPS. Sin cifrado, los datos de formularios se transmiten en texto plano - una clara infracción del RGPD.
Formularios de contacto con aviso de privacidad
Cada formulario necesita un aviso sobre el tratamiento de datos y un enlace a la política de privacidad. Para datos sensibles (candidaturas, salud) se requiere un consentimiento separado.
Contratos de encargado de tratamiento firmados
Para cada proveedor externo con acceso a datos personales (hosting, correo electrónico, herramientas de análisis) debe existir un contrato de encargado de tratamiento. Sin él, el tratamiento es ilícito.
Sin integraciones de terceros no controladas
Google Fonts alojadas localmente (no cargar desde servidores de Google). Vídeos de YouTube solo con solución de dos clics. Sin píxeles de seguimiento externos sin consentimiento. Cada conexión con terceros debe documentarse en la política de privacidad.
Acceso accesible a la información legal
La política de privacidad y el aviso legal deben ser accesibles para todos - también para personas con discapacidad. Desde junio de 2025, la Directiva Europea de Accesibilidad (2019/882) exige accesibilidad digital para muchos sitios web.
Revisión de privacidad de su sitio web: 30 minutos, gratuita.
Revisamos su sitio web en cuanto a conformidad con el RGPD y le mostramos dónde hay que actuar.
Solicitar revisión de privacidad25 años de experiencia · 800+ proyectos · Práctica de privacidad desde Hamburgo
¿Qué ocurre en caso de infracción?
Las consecuencias de una infracción del RGPD son reales y pueden ser graves. El RGPD prevé multas de hasta 20 millones de euros o el 4 por ciento de la facturación anual mundial - lo que sea mayor. En la práctica, la mayoría de las multas por infracciones en sitios web se sitúan entre 5.000 y 50.000 euros, pero la tendencia es al alza.
Además de las multas, hay dos riesgos adicionales que en la práctica se materializan con más frecuencia:
Reclamaciones
Desde la sentencia del TJUE sobre Google Fonts (2022), el número de reclamaciones ha aumentado significativamente. Abogados especializados y organizaciones de consumidores revisan sistemáticamente sitios web en busca de infracciones del RGPD.
Procedimientos de la AEPD
La Agencia Española de Protección de Datos (AEPD) revisa cada vez más de forma proactiva. Una denuncia ante la AEPD es gratuita para cualquier visitante y conduce a una revisión formal. Esto consume recursos internos y puede derivar en medidas de obligado cumplimiento.
Lo más importante: la mayoría de las infracciones en sitios web son fácilmente evitables. Una política de privacidad actualizada, un banner de cookies funcional y un aviso legal correcto cuestan una fracción de lo que cuesta una multa. La prevención no es una cuestión de presupuesto, sino de prioridad.
Gosign es una agencia digital de Hamburgo con 25 años de experiencia en desarrollo web, TYPO3 e integración de IA. Revisamos sitios web en cuanto a conformidad con el RGPD, implementamos soluciones conformes con la normativa de protección de datos y acompañamos a empresas, fundaciones y organismos públicos en el cumplimiento de todos los requisitos legales.
Actualizado: marzo 2026
Preguntas frecuentes sobre protección de datos en sitios web
¿Necesita todo sitio web una política de privacidad?
Sí, sin excepción. Desde mayo de 2018 (RGPD), todo sitio web que procese datos personales - y todo sitio web lo hace al menos a través de los logs del servidor - debe tener una política de privacidad completa.
¿Es suficiente un simple aviso de cookies?
No. Se necesita un consentimiento real antes de instalar cookies no esenciales. Un simple banner con un botón de Aceptar no es conforme a la normativa.
¿Están las fundaciones exentas del RGPD?
No. El RGPD se aplica a todas las organizaciones que procesan datos personales, independientemente de la forma jurídica. También las fundaciones sin ánimo de lucro deben tener una política de privacidad completa.
Reserve una consulta inicial gratuita
30 minutos con un especialista de Gosign, sin compromiso.