Toda web o negocio que trate datos personales debe cumplir el RGPD (Reglamento UE 2016/679) y la LOPDGDD (Ley Orgánica 3/2018). En la práctica esto significa cuatro cosas: tener una base de licitud válida, informar al usuario (política de privacidad y aviso de cookies), llevar el registro de actividades de tratamiento y, en ciertos casos, designar un delegado de protección de datos. Incumplir expone a sanciones de la AEPD que pueden llegar a 20 millones de euros o el 4% de la facturación.
En resumen
- Base de licitud: todo tratamiento necesita una de las seis bases del art. 6 RGPD (consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo).
- Deber de información: política de privacidad accesible y aviso de cookies con botones de aceptar, rechazar y configurar al mismo nivel (art. 13 RGPD, art. 11 LOPDGDD, art. 22.2 LSSI).
- Registro de actividades de tratamiento (RAT): obligatorio para casi cualquier negocio (art. 30 RGPD, art. 31 LOPDGDD).
- Delegado de protección de datos (DPD): obligatorio en los casos del art. 37.1 RGPD y en las entidades del art. 34 LOPDGDD.
- Sanciones AEPD: hasta 20.000.000 € o el 4% de la facturación anual global (art. 83.5 RGPD).
La base de licitud y el consentimiento
No se pueden tratar datos personales sin una "base jurídica" que lo legitime. Una base jurídica (o base de licitud) es el motivo legal que autoriza a usar los datos. El artículo 6 del RGPD enumera seis: consentimiento del interesado, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, misión de interés público e interés legítimo del responsable. Para una web comercial las más habituales son tres: el contrato (gestionar un pedido o un registro), el interés legítimo (seguridad, prevención del fraude) y el consentimiento (newsletter, cookies de marketing).
El artículo 6 de la LOPDGDD desarrolla qué es un consentimiento válido. Debe ser una manifestación de voluntad libre, específica, informada e inequívoca mediante una declaración o una clara acción afirmativa. Es decir: el usuario tiene que dar un paso activo, como marcar él mismo una casilla. Quedan prohibidas las casillas premarcadas y el silencio como forma de consentir. Además, no puede supeditarse la ejecución de un contrato a que el usuario consienta tratamientos que no son necesarios para ese contrato.
El deber de información: política de privacidad y cookies
El principio de transparencia obliga a informar al usuario antes de recoger sus datos. El artículo 13 del RGPD fija el contenido mínimo que hay que dar: identidad del responsable, finalidades y base jurídica, destinatarios, plazos de conservación, derechos del interesado y vía para reclamar ante la AEPD. El artículo 11 de la LOPDGDD permite un sistema por capas: una información básica visible en el propio formulario y un enlace a la política de privacidad completa.
| El art. 13 RGPD exige informar de | Ejemplo |
|---|---|
| Identidad y contacto del responsable | Quién es la empresa y cómo contactarla |
| Finalidades y base jurídica | Para qué se usan los datos y con qué base legal |
| Destinatarios de los datos | A quién se ceden o quién los trata |
| Plazo de conservación | Cuánto tiempo se guardan |
| Derechos del interesado y reclamación ante la AEPD | Acceso, rectificación, supresión, etc. |
El aviso de cookies según la AEPD
Una cookie es un pequeño archivo que la web guarda en el navegador del usuario. El uso de cookies que no son estrictamente necesarias exige consentimiento previo (art. 22.2 de la Ley 34/2002, LSSI). La Guía sobre el uso de las cookies de la AEPD exige que el banner permita aceptar, rechazar y configurar con la misma facilidad. La opción de rechazar debe ofrecerse en la misma capa, al mismo nivel y con la misma visibilidad que la de aceptar, sin remitir a otra capa o lugar. Quedan prohibidas las casillas premarcadas, los "muros de cookies" que no ofrezcan una alternativa al consentimiento, y los diseños engañosos (colores o contrastes que dificulten ver la opción de rechazo). Seguir navegando tampoco es una forma válida de consentir.
El registro de actividades de tratamiento (RAT)
El artículo 30 del RGPD y el artículo 31 de la LOPDGDD obligan a responsables y encargados a mantener un registro interno donde se describan las actividades de tratamiento según sus finalidades. El RAT es, en esencia, un inventario de qué datos tratas, para qué y cómo los proteges. El RGPD exime de esta obligación a empresas de menos de 250 trabajadores, pero la excepción casi nunca aplica: decae si el tratamiento no es ocasional, si entraña un riesgo para los derechos del afectado o si incluye categorías especiales de datos. Por eso, en la práctica, cualquier negocio con clientes, empleados o newsletter debe llevar el RAT. Si gestionas una pyme y quieres ver el detalle de qué exige a tu empresa, amplía en nuestra guía de obligaciones del RGPD para pymes.
| Debe contener el RAT | Base legal |
|---|---|
| Identidad y contacto del responsable (y del DPD si existe) | Art. 30.1 RGPD |
| Fines del tratamiento y categorías de interesados y de datos | Art. 30.1 RGPD |
| Destinatarios y transferencias internacionales | Art. 30.1 RGPD |
| Plazos de supresión y medidas de seguridad | Art. 30.1 RGPD |
El delegado de protección de datos (DPD/DPO): cuándo es obligatorio
El delegado de protección de datos (DPD, o DPO por sus siglas en inglés) es la persona que supervisa el cumplimiento del RGPD dentro de la organización. El artículo 37.1 del RGPD obliga a designarlo en tres supuestos: (1) tratamientos por una autoridad u organismo público; (2) cuando la actividad principal exija una observación habitual y sistemática de interesados a gran escala; y (3) cuando consista en el tratamiento a gran escala de categorías especiales de datos (datos sensibles como salud, ideología o datos biométricos) o de datos penales.
El artículo 34 de la LOPDGDD amplía la lista con una serie de entidades que, en todo caso, deben tener DPD. Entre ellas: colegios profesionales, centros docentes y universidades, entidades financieras y aseguradoras, empresas de seguridad privada, federaciones deportivas (cuando traten datos de menores), centros sanitarios, distribuidoras y comercializadoras de energía, y los prestadores de servicios de la sociedad de la información que elaboren a gran escala perfiles de los usuarios. La designación, el nombramiento y el cese del DPD deben comunicarse a la AEPD en el plazo de diez días (art. 34.3 LOPDGDD), y la Agencia mantiene una lista pública de delegados accesible por medios electrónicos (art. 34.4 LOPDGDD).
El régimen sancionador de la AEPD
La Agencia Española de Protección de Datos (AEPD) es la autoridad de control en España. Sus potestades de investigación y correctivas derivan del artículo 58 del RGPD: acceso a información, advertencias, limitación o prohibición del tratamiento y multas. Las cuantías máximas se fijan en el artículo 83 del RGPD en dos tramos, según la gravedad de la infracción:
| Tipo de infracción | Multa máxima | Base |
|---|---|---|
| Obligaciones del responsable/encargado, certificación, organismos | 10.000.000 € o 2% facturación anual global | Art. 83.4 RGPD |
| Principios básicos, licitud, derechos del interesado, transferencias | 20.000.000 € o 4% facturación anual global | Art. 83.5 RGPD |
La LOPDGDD clasifica las infracciones en muy graves (art. 72), graves (art. 73) y leves (art. 74), a efectos de fijar su prescripción. Prescribir significa que, pasado un plazo, la Administración ya no puede sancionar. Los propios artículos 72 a 74 establecen esos plazos: las infracciones muy graves prescriben a los 3 años, las graves a los 2 años y las leves al 1 año. Conviene no confundir esto con la prescripción de las sanciones ya impuestas, que el artículo 78 fija en función del importe: las de hasta 40.000 € prescriben en 1 año; entre 40.001 y 300.000 €, en 2 años; y las superiores a 300.000 €, en 3 años. En todo caso, las sanciones deben ser efectivas, proporcionadas y disuasorias.
Ejemplo práctico
Una tienda online vende productos y tiene una newsletter. Recoge datos en tres puntos: el formulario de compra, la suscripción al boletín y unas cookies de analítica y publicidad. ¿Qué le toca cumplir?
- Base de licitud: la compra se ampara en el contrato (art. 6 RGPD); la newsletter y las cookies de marketing necesitan consentimiento expreso, con casilla sin premarcar (art. 6 LOPDGDD).
- Información: en cada formulario, una información básica por capas más el enlace a la política de privacidad con el contenido del art. 13 RGPD (art. 11 LOPDGDD).
- Cookies: banner con "Aceptar", "Rechazar" y "Configurar" al mismo nivel, sin cargar las cookies no necesarias hasta que el usuario consienta (art. 22.2 LSSI y Guía AEPD).
- RAT: aunque tenga menos de 250 empleados, trata datos de clientes de forma continuada, así que debe llevar el registro (art. 30 RGPD).
- DPD: una tienda que no perfila a gran escala normalmente no está obligada a designar delegado (art. 37.1 RGPD).
Con esos cinco puntos cubiertos, la tienda reduce de forma drástica su exposición a una sanción de la AEPD.
Preguntas frecuentes
¿Qué obligaciones de protección de datos tiene una web?
Una web que recoja datos (formularios, comentarios, registro, newsletter, cookies analíticas o de marketing) debe: tener una base de licitud válida (art. 6 RGPD), publicar una política de privacidad con el contenido del art. 13 RGPD, mostrar un aviso de cookies con consentimiento previo y opciones equilibradas de aceptar/rechazar (art. 22.2 LSSI y Guía AEPD), llevar el registro de actividades de tratamiento (art. 30 RGPD), atender los derechos de los usuarios y, si procede, designar un DPD.
¿Cuándo es obligatorio el delegado de protección de datos?
Es obligatorio en los tres supuestos del art. 37.1 RGPD (organismos públicos; observación habitual y sistemática a gran escala; tratamiento a gran escala de datos sensibles o penales) y, además, en cualquiera de las entidades expresamente listadas en el art. 34 de la LOPDGDD (sanitarias, financieras, aseguradoras, educativas, prestadores que elaboren perfiles a gran escala, etc.).
¿Una pyme pequeña tiene que llevar el registro de actividades de tratamiento?
Casi siempre sí. Aunque el art. 30.5 RGPD exime a empresas de menos de 250 empleados, la excepción decae si el tratamiento no es ocasional, entraña riesgo o incluye datos sensibles. Tratar de forma continuada datos de clientes o empleados ya obliga a llevar el RAT.
¿Cuánto puede multar la AEPD por incumplir la LOPD en una web?
Hasta 20.000.000 € o el 4% de la facturación anual global, optándose por la cifra mayor (art. 83.5 RGPD), para las infracciones más graves como tratar datos sin base de licitud. Para incumplimientos del responsable, el techo es 10.000.000 € o el 2% (art. 83.4 RGPD).
¿Es legal poner solo el botón de "Aceptar cookies"?
No. La AEPD exige que el banner ofrezca rechazar y configurar con la misma facilidad y visibilidad que aceptar. Un banner con solo "Aceptar", con la opción de rechazo oculta o con muro de cookies, no obtiene un consentimiento válido y puede ser sancionado.
Guías relacionadas
Fuentes oficiales
- RGPD (Reglamento UE 2016/679) — art. 6 Licitud del tratamiento (seis bases)
- RGPD — art. 13 Información que debe facilitarse al interesado
- RGPD — art. 30.5 Excepción del registro para empresas de menos de 250 empleados
- RGPD — art. 37.1 Designación obligatoria del delegado de protección de datos
- RGPD — art. 58 Poderes de la autoridad de control
- RGPD — art. 83.4 y 83.5 Multas (10M/2% y 20M/4%)
- LOPDGDD (LO 3/2018) — art. 6 Consentimiento del afectado
- LOPDGDD — art. 11 Transparencia e información (sistema por capas)
- LOPDGDD — art. 31 Registro de las actividades de tratamiento
- LOPDGDD — art. 34 Designación del DPD (entidades, plazo 10 días, lista pública)
- LOPDGDD — arts. 72, 73 y 74 Infracciones muy graves/graves/leves (prescripción 3/2/1 años)
- LOPDGDD — art. 78 Prescripción de las sanciones (por importe)
- LSSI (Ley 34/2002) — art. 22.2 Consentimiento para cookies
- AEPD — Guía sobre el uso de las cookies (mayo 2024)
Información orientativa; no sustituye el asesoramiento de un abogado. Verifica tu caso concreto. Si lo necesitas, puedes consultar tu caso.
Esta guía tiene carácter informativo y ha sido elaborada por nuestro equipo de trabajo a partir de fuentes oficiales (BOE, AEPD y EUR-Lex). No sustituye el asesoramiento jurídico individualizado. Para cuestiones mercantiles o societarias relacionadas puede consultar también openmercantil.es.