Cómo saber si tu web cumple el RGPD

Cómo saber si tu web cumple el RGPD

Tienes una web. Puede que sea una tienda online, la página de tu negocio o un simple portfolio con un formulario de contacto. Y en algún momento te ha asaltado la duda: ¿esto cumple la ley de protección de datos o me pueden multar? Si es así, este artículo es para ti.

La creencia de que el RGPD «es cosa de empresas grandes» es justo lo que hace que tantos autónomos y pymes acaben con una sanción. En 2025 la Agencia Española de Protección de Datos (AEPD) dirigió la mayoría de sus multas precisamente a pequeños negocios, y casi siempre por los mismos fallos evitables: cookies mal configuradas y formularios sin los requisitos mínimos. La buena noticia es que puedes comprobar tú mismo si tu web cumple, punto por punto, sin ser abogado ni programador. Aquí te explico cómo, y al final tienes una herramienta gratuita para verlo en un minuto.

Qué significa que una web «cumpla el RGPD»

Empecemos por aclarar un malentendido habitual. Cuando hablamos de que una web «cumple el RGPD», en realidad nos referimos a un conjunto de normas que se solapan:

  • RGPD (Reglamento General de Protección de Datos) y su desarrollo en España, la LOPDGDD: regulan cómo recoges, guardas y usas los datos personales (nombres, emails, teléfonos, IPs…).
  • LSSI-CE (Ley de Servicios de la Sociedad de la Información): regula las cookies, el comercio electrónico y qué información debes mostrar en tu web.

Es decir: «cumplir» no es una única casilla, sino varias piezas que tienen que encajar. Y aquí viene lo importante: estas normas se aplican a cualquiera que trate datos personales, tenga el tamaño que tenga. Un autónomo con una web de una sola página y un formulario de contacto ya está tratando datos personales. No existe la exención por ser pequeño.

Importante

Recoger datos no es solo tener una tienda. Un formulario de contacto, una suscripción a newsletter, un botón de WhatsApp, un chat o incluso Google Analytics ya implican tratamiento de datos personales. Si tu web tiene cualquiera de estas cosas, el RGPD te aplica.

Las señales de que tu web NO cumple

Antes de entrar en el detalle, aquí tienes las señales de alarma más frecuentes. Si reconoces varias en tu web, casi seguro tienes trabajo pendiente:

  • Tu banner de cookies solo tiene el botón «Aceptar» (sin «Rechazar» igual de visible).
  • Google Analytics o el píxel de Meta se cargan nada más entrar, antes de que el visitante acepte.
  • Tus formularios no tienen una casilla de consentimiento, o la tienen ya marcada por defecto.
  • No tienes enlazados en el pie los tres textos legales (aviso legal, privacidad y cookies).
  • Tu política de privacidad está copiada de otra web o no se ha tocado desde 2018.
  • No mencionas en ningún sitio que usas herramientas que envían datos fuera de la UE.

¿Por qué debería importarte? Por los números de la propia AEPD:

299sanciones emitidas en 2025
40 M€en multas (+14 % vs 2024)
72 %dirigidas a pymes y autónomos

La AEPD no investiga por tamaño ni por facturación: investiga por incumplimiento. Y cualquier visitante puede denunciarte gratis y online en tres clics. No hace falta que seas cliente suyo ni que hayas comprado nada.

Cookies: el incumplimiento nº1 (y el más multado)

Las cookies son, con diferencia, la causa más habitual de sanción. La regla, recogida en el artículo 22.2 de la LSSI, es sencilla de enunciar aunque casi nadie la cumple del todo:

  • Nada no esencial antes de aceptar. Analytics, el píxel de Meta, un vídeo de YouTube incrustado o un mapa de Google no pueden cargarse hasta que el usuario consienta.
  • El botón «Rechazar» con la misma visibilidad que «Aceptar». Mismo tamaño, mismo color, mismo sitio. Si «Rechazar» está escondido, el consentimiento no es válido.
  • Consentimiento granular. El usuario debe poder elegir por categorías (analíticas, marketing, preferencias).
  • Poder retirar el consentimiento tan fácilmente como se dio.

Así es la diferencia entre un banner ilegal y uno correcto:

✕ Banner ilegal

Solo botón «Aceptar». Sin rechazar visible. Las cookies de Analytics y Meta ya están cargadas antes del clic. No se puede configurar por categorías.

✓ Banner correcto

«Aceptar», «Rechazar» y «Configurar» con el mismo peso visual. Nada de seguimiento se activa hasta que el usuario decide. Enlace claro a la política de cookies.

El fallo técnico que casi nadie ve

Hay un problema muy común y difícil de detectar a simple vista: Google Analytics puede dispararse antes del consentimiento aunque tengas el banner puesto. Ocurre mucho en WordPress cuando el plugin de analítica y el de cookies no están bien coordinados. La solución correcta pasa por implementar el Consent Mode v2 de Google (obligatorio desde marzo de 2024 si usas Google Analytics o Google Ads), que arranca todo bloqueado por defecto y solo activa el seguimiento cuando el usuario acepta. Si usas Analytics o Ads y no tienes Consent Mode v2, incumples y además pierdes datos.

Formularios: cada casilla es un tratamiento de datos

Cada formulario de tu web (contacto, presupuesto, reserva, newsletter) es un tratamiento de datos personales. Y en todos necesitas cinco elementos:

1
Responsable identificadoQuién trata los datos: nombre o razón social, NIF y forma de contacto.
2
Finalidad claraPara qué se van a usar los datos. «Enviarte información» no es suficiente: sé concreto.
3
Base legalConsentimiento, contrato, obligación legal o interés legítimo. Elige la que corresponda.
4
Enlace a la política de privacidadAccesible desde el propio formulario, no perdido en el pie de otra página.
5
Casilla de consentimiento vacíaNunca premarcada. El usuario tiene que hacer clic de forma activa.

El caso de la newsletter es el más delicado: exige doble opt-in (el usuario se apunta y confirma en un email), guardar la prueba del consentimiento y un enlace de baja en cada envío.

Caso real

Una tienda online fue sancionada con 60.000 € por un formulario de contacto sin base legal ni política de privacidad enlazada. No era una multinacional: era un ecommerce pequeño. El tamaño no protege.

Los 3 textos legales que necesitas sí o sí

Tu web debe tener tres textos, enlazados desde el pie de todas las páginas:

  • Aviso legal (LSSI): quién eres. Nombre o razón social, NIF, dirección y contacto.
  • Política de privacidad (RGPD + LOPDGDD): qué datos recoges, para qué, cuánto los guardas, con quién los compartes y qué derechos tiene el usuario.
  • Política de cookies (LSSI art. 22.2): qué cookies usas, de qué tipo, para qué sirven y cuánto duran.

Los errores más frecuentes que veo cada semana: textos copiados de otra web (a veces con el nombre del responsable original todavía dentro), políticas sin actualizar desde 2018 que no mencionan las herramientas reales que usas, y formularios de ejercicio de derechos que nadie gestiona. Un texto legal genérico y sin adaptar no te protege; en una inspección, es casi peor que no tenerlo, porque demuestra dejadez.

Transferencias internacionales: el punto olvidado

Este es el punto que casi nadie declara bien. Si usas Google Analytics, Google Fonts, el píxel de Meta, Mailchimp o reCAPTCHA, estás enviando datos personales a Estados Unidos. Eso es una transferencia internacional de datos, y el RGPD (artículo 44) exige que la informes.

Dos matices que se escapan a casi todo el mundo:

  • Va explicada en la política de privacidad, no solo en el aviso de cookies.
  • Debes mencionar la garantía que hace válida esa transferencia: que el proveedor está adherido al Data Privacy Framework o ha firmado las Cláusulas Contractuales Tipo de la Comisión Europea.

Si usas estas herramientas y no dices nada en tu política, incumples. Es un fallo silencioso pero muy fácil de detectar para quien sabe dónde mirar.

¿Y la accesibilidad? (Ley 11/2023)

Aquí conviene bajar el nivel de alarma, porque circula mucha confusión. La obligación de accesibilidad web (Ley 11/2023, que traspone la directiva europea de accesibilidad) no se aplica a cualquier web. Afecta principalmente a comercio electrónico, banca, transporte, telecomunicaciones, servicios audiovisuales y libros electrónicos. Además, las microempresas (menos de 10 trabajadores y menos de 2 millones de euros de facturación) están exentas, y el plazo para las webs existentes afectadas es el 28 de junio de 2030.

Dicho de otro modo: si tienes una web corporativa, un blog o una página de servicios locales, esto probablemente no te obliga. Si tienes una tienda online y no eres microempresa, sí conviene que lo revises con tiempo.

Cómo comprobar tu web ahora mismo (gratis)

Toda la teoría anterior está muy bien, pero lo que quieres es saber cómo está tu web. Para eso he preparado un comprobador gratuito: introduces la dirección de tu página y, en menos de un minuto, te muestra una primera radiografía de los puntos básicos (HTTPS, cookies antes del consentimiento, rastreadores, textos legales y transferencias internacionales), con el rango de sanción orientativo de cada fallo.

Pruébalo aquí mismo:

¿Tu web cumple la ley? Compruébalo gratis

Introduce la dirección de tu web y te mostramos al instante algunos aspectos básicos de cumplimiento legal.

Analizando tu web… ⏳ (la consulta puede tardar unos 50 segundos)

Recibe el informe orientativo completo por email

Te enviamos el detalle de lo que hemos detectado y cómo priorizar la corrección. Sin compromiso.

Comprobación automática orientativa de indicios. No es una certificación legal ni sustituye la auditoría completa (99 puntos). Las cuantías son rangos orientativos para pymes.

El error más caro que veo

Negocios que instalan un plugin de cookies, lo dejan con la configuración por defecto y se quedan tranquilos pensando que ya cumplen. El 90 % de esos plugins que reviso están mal configurados: cargan Analytics antes del consentimiento o no tienen botón de rechazar. Instalar el plugin no es cumplir; configurarlo bien, sí. Y esa diferencia es exactamente la que mira la AEPD.

Qué hacer si tu web no cumple

Si el comprobador te ha marcado varios fallos, que no cunda el pánico: casi todo tiene arreglo y no suele ser caro. El orden sensato para ponerte al día:

1
Arregla las cookies primeroEs lo más multado. Configura bien el banner (rechazar visible, nada antes de aceptar) e implementa Consent Mode v2 si usas Google.
2
Revisa tus formulariosCasilla de consentimiento sin premarcar, enlace a la política y base legal clara en cada uno.
3
Actualiza los textos legalesQue mencionen las herramientas reales que usas y las transferencias internacionales. Nada de plantillas copiadas.
4
DocuméntaloGuarda el registro de actividades de tratamiento y la prueba de los consentimientos. En una inspección, poder demostrarlo es la mitad de la batalla.

El comprobador de arriba es una primera radiografía automática y superficial. Para saber de verdad si tu web se ajusta a la legalidad hace falta una revisión a fondo: la auditoría legal web revisa 99 puntos a mano (RGPD, LSSI, cookies, transferencias, accesibilidad y la normativa concreta de tu sector) y te entrega un informe con cada fallo, su norma, su sanción y cómo corregirlo. Si prefieres profundizar por tu cuenta, todo esto está desarrollado paso a paso en mi libro «Normativa legal en páginas web y tiendas online 2026».

Auditoría legal web

¿Quieres salir de dudas de verdad?

Reviso tu web a mano (99 puntos) y te entrego un informe con los incumplimientos, su gravedad y el coste orientativo de corregir cada uno. 115 € + IVA, deducibles si me encargas la corrección.

Solicitar mi auditoría

Preguntas frecuentes

¿Es obligatorio el RGPD para una web pequeña o de un autónomo?

Sí. El RGPD se aplica a cualquiera que trate datos personales, sin importar el tamaño del negocio ni la facturación. Un autónomo con una web de una sola página y un formulario de contacto ya trata datos personales y debe cumplir. No existe una exención por ser pequeño.

¿Qué pasa si mi web no cumple el RGPD?

Cualquier visitante puede denunciarte ante la AEPD de forma gratuita y online. Si la Agencia investiga y detecta incumplimientos, puede sancionarte. En 2025 el 72 % de sus multas fueron a pymes y autónomos, con cifras que para pequeños negocios suelen ir de unos pocos miles a decenas de miles de euros según la gravedad.

¿Cuánto puede costar una multa por cookies o por un formulario mal hecho?

Depende de la gravedad, pero hay casos reales documentados: una tienda online fue sancionada con 60.000 € por un formulario sin base legal, y una clínica con 7.000 € por ceder datos a Google sin informar. Para una pyme, los tramos habituales van de unos 2.000 € a varias decenas de miles.

¿Cómo sé si mi banner de cookies es legal?

Debe cumplir cuatro condiciones: no cargar nada no esencial antes de aceptar, tener el botón «Rechazar» con la misma visibilidad que «Aceptar», permitir configurar por categorías y dejar retirar el consentimiento. Si tu banner solo dice «Aceptar», no es legal. Puedes comprobarlo con el analizador gratuito de este artículo.

¿Necesito política de privacidad si solo tengo un formulario de contacto?

Sí. En cuanto recoges un nombre y un email a través de un formulario, estás tratando datos personales, y eso obliga a informar mediante una política de privacidad y a incluir una casilla de consentimiento en el propio formulario.

¿Google Analytics cumple el RGPD?

Puede cumplir, pero solo si está bien configurado: no debe cargarse antes del consentimiento, debes implementar Consent Mode v2 y tienes que declarar en tu política de privacidad la transferencia de datos a Estados Unidos con su garantía (Data Privacy Framework o Cláusulas Contractuales Tipo). Mal configurado, es una de las causas más frecuentes de sanción.

¿Basta con instalar un plugin de cookies para cumplir?

No. Instalar el plugin es el primer paso, pero la mayoría se quedan con la configuración por defecto, que suele ser incorrecta (carga rastreadores antes de aceptar o no ofrece rechazar). Cumplir depende de configurarlo bien, no de tenerlo instalado.

¿Quién puede denunciar mi web?

Cualquier persona: un visitante, un cliente descontento, la competencia o un despacho especializado. La denuncia ante la AEPD es gratuita y se hace online en pocos minutos, sin necesidad de ser cliente ni de haber comprado nada.

IJ

Iván Jaime — Desarrollador web y consultor de marketing digital en Lugo. Autor del manual «Normativa legal en páginas web y tiendas online 2026». Ayudo a pymes y autónomos a tener una web que cumpla la ley y funcione. Sin humo, sin tecnicismos, sin sorpresas.