Volver al blog
Cumplimiento & Accesibilidad

RGPD y cookies en webs de empresas españolas: lo mínimo legal

Qué necesita una web española para cumplir con RGPD y la guía de cookies de la AEPD. Sanciones, banners, y casos de empresas en Cantabria.

4 min de lectura
Banner de cookies correcto en una web española

Hay un tipo de coste que muchas pymes no se imaginan hasta que llega: la sanción de la AEPD por mal uso de cookies o RGPD. Empresas que pensaban que su banner azul de "aceptar todo" era suficiente y se han llevado multas de entre 1.000 y 30.000 euros. No es una cosa lejana: en Cantabria también pasa, y ya hemos visto un par de casos.

#Qué dice la ley realmente

Dos normativas, una mano y una guante. RGPD (europeo) regula el tratamiento de datos personales. LSSI y la guía de cookies de la AEPD regulan específicamente cómo informas y obtienes consentimiento para cookies. Ambas se aplican a cualquier web de empresa española, esté la sede en Madrid o en Castro Urdiales.

Lo importante: no basta con tener un aviso de cookies. Tiene que cumplir requisitos concretos. Y la AEPD sanciona, no avisa.

(Para una visión más amplía de cumplimiento legal, incluyendo avisos legales, política de privacidad y DPA, aquí está el resumen completo.)

#Qué necesita tu web sí o sí

Aviso legal identificando a la empresa: razón social, NIF, dirección, contacto, datos de inscripción registral si aplica. Es obligatorio por LSSI y suelta multa quien no lo tiene.

Política de privacidad clara y específica: qué datos recoges, para qué, durante cuánto tiempo, con quién los compartes, y cómo el usuario ejerce sus derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación). No vale una plantilla genérica copiada de Internet.

Política de cookies: qué cookies usa la web (propias y de terceros), para qué sirven, cuánto duran, cómo se gestionan. Descripción detallada, no genérica.

Banner de cookies bien hecho. Aquí es donde más se falla.

#El banner que la AEPD acepta

Tres botones visibles y con el mismo peso visual: Aceptar, Rechazar y Configurar. Si tu banner solo tiene "Aceptar" o si "Rechazar" es un enlace pequeño escondido, estás incumpliendo. La AEPD lo dejó claro hace años y ya hay sanciones públicas.

Las cookies de marcado, analítica de terceros, publicidad y similares no se pueden cargar antes del consentimiento. Si tu Google Analytics, Meta Pixel o cualquier script externo se ejecuta nada más entrar en la web, antes de que el usuario acepte, también incumples. Hay que cargarlos solo después del clic en Aceptar.

Las cookies estrictamente técnicas (las imprescindibles para el funcionamiento) sí pueden cargarse sin consentimiento. Pero pocos scripts entran en esa categoría.

#Soluciones reales: gestores de consentimiento

Implementarlo a mano se puede, pero acaba siendo complicado de mantener. Lo razonable hoy es un CMP (Consent Management Platform) serio. Las opciones que recomendamos:

Cookiebot: cómoda, escanea tu web cada mes y mantiene la lista actualizada. Coste razonable para pymes (de 10 a 30 euros al mes según tamaño).

Iubenda: alternativa potente, especialmente buena si necesitas también generar política de privacidad multi-idioma.

Implementaciones a medida con consentimiento granular: para webs grandes o casos B2B con requisitos específicos.

Cualquiera de estas, bien integrada, te deja conforme con la AEPD si la web está bien hecha.

#Errores que vemos a menudo en webs de empresas en Cantabria

Banner solo con "Aceptar". El más común. Hace 4 años se podía. Ya no.

Scripts que cargan antes del consentimiento. Aunque tengas banner, si Analytics se ejecuta antes de que el usuario haya aceptado, incumples. Esto requiere que el desarrollador lo monte bien.

Política de privacidad genérica de hace años. Si tu política dice "Ley Orgánica 15/1999" en lugar de la actual LOPDGDD y RGPD, está obsoleta.

Formularios sin checkbox de aceptación. Cualquier formulario que recoja datos personales necesita un consentimiento explícito sobre el uso de esos datos.

Newsletters sin doble opt-in. Los suscriptores deben confirmar mediante un email de verificación. Sin eso, una denuncia es fácil.

#Caso real: empresa industrial en Santander

Una empresa industrial de Santander vino a vernos tras recibir una propuesta de sanción de la AEPD por 5.000 euros: cookies cargando antes del consentimiento, política de privacidad de 2014 y formulario sin casilla de aceptación. Adecuamos la web en una semana, presentamos alegaciones con las correcciones implementadas, y la sanción se redujo. Pero el susto y el coste fueron evitables.

#¿Quién es responsable: la agencia o la empresa?

Legalmente, el responsable del tratamiento es la empresa, no la agencia. La AEPD sanciona al titular de la web. Una agencia seria te ayuda a estar bien, pero la responsabilidad última es del cliente.

Por eso es tan importante elegir bien el proveedor. Una agencia barata que te lance la web rápido y mal en este punto te deja expuesto.

#Qué hacemos en Pindia

Cuando entregamos una web, entregamos el cumplimiento legal mínimo configurado: CMP integrado, política de privacidad redactada con un abogado especialista (recomendamos despachos cántabros con los que trabajamos), aviso legal y política de cookies coherentes con lo que tu web realmente usa, y formularios con consentimiento adecuado. Si tu web actual no cumple y quieres que auditemos qué te falta, hablemos.

Robot de Pindia con los brazos abiertos ofreciendo ayuda
Pindia te acompaña

Te echamos una mano con tu proyecto

Auditorías, rediseños, integraciones o desarrollo a medida: ponemos nuestro equipo a tu disposición para resolver lo que tu web necesita.