Guía práctica con checklist para cumplir el RGPD en tu sitio web en 2025. Desde el banner de cookies hasta los derechos de los usuarios y las transferencias internacionales.
El RGPD (Reglamento General de Protección de Datos) lleva en vigor desde 2018, pero el nivel de aplicación es más estricto que nunca en 2025. La AEPD y otras autoridades europeas impusieron más de 1.600 millones de euros en multas el año pasado. Aquí tienes una checklist práctica para verificar el cumplimiento de tu web.
Tu banner de cookies debe solicitar consentimiento explícito, informado y granular. Un botón de 'Aceptar todo' pre-marcado no es válido bajo el RGPD. Los usuarios deben poder aceptar o rechazar cada categoría de cookies (analítica, marketing, preferencias) por separado, y debe ser igual de fácil retirar el consentimiento que darlo.
Debes tener una política de privacidad clara y accesible que explique: qué datos recoges, por qué los recoges (base legal), cuánto tiempo los conservas, con quién los compartes y cómo pueden los usuarios ejercer sus derechos. Debe estar redactada en lenguaje sencillo, no en jerga legal.
Para cada tipo de datos que proceses, debes tener una base legal válida: consentimiento, ejecución de contrato, obligación legal, intereses vitales, misión de interés público o interés legítimo. Debes documentarlo en tu Registro de Actividades de Tratamiento (RAT).
Debes proporcionar una vía para que los usuarios ejerzan sus derechos RGPD: acceder a sus datos, rectificarlos, suprimirlos (derecho al olvido), portarlos y oponerse al tratamiento. Suele ser un formulario o dirección de email, y debes responder en 30 días.
Las casillas pre-marcadas para emails de marketing o cookies no esenciales están expresamente prohibidas por el RGPD. El consentimiento debe ser una acción afirmativa — el usuario debe optar activamente.
Todos los datos transmitidos entre los usuarios y tu web deben estar cifrados mediante HTTPS. El contenido mixto (recursos HTTP en páginas HTTPS) también es un problema. Es un requisito de seguridad del RGPD y un estándar web básico.
Si sufres una brecha de datos, debes notificar a la AEPD en un plazo de 72 horas e informar a los afectados sin demora indebida si la brecha supone un alto riesgo. Necesitas tener documentado este procedimiento antes de que ocurra.
Muchos sitios web instalan cookies de las que no son conscientes — desde fuentes externas, scripts de analítica, widgets de soporte y botones de redes sociales. Realiza un análisis de cookies para identificar todas las que instala tu sitio y clasificarlas correctamente.
Scanlei analiza tu web en busca de cookies, rastreadores, política de privacidad, HTTPS y más. Obtén un informe RGPD gratuito en 60 segundos.
Analiza tu web gratisMeta Pixel, Google Analytics, LinkedIn Insight Tag y otros rastreadores recopilan datos personales. Bajo el RGPD, cargarlos antes del consentimiento es una infracción. Asegúrate de que tu gestor de etiquetas respeta las categorías de consentimiento y no se activa sin permiso.
Si utilizas servicios de terceros que tratan datos personales en tu nombre (proveedores de email, analítica, hosting, CRM), debes tener un contrato de encargo del tratamiento (DPA) con cada uno de ellos.
Transferir datos personales fuera de la UE requiere mecanismos de protección adecuados: Cláusulas Contractuales Tipo (CCT), decisiones de adecuación o Normas Corporativas Vinculantes. Usar servicios estadounidenses sin las garantías adecuadas es una infracción habitual del RGPD.
Los formularios deben solicitar solo los datos estrictamente necesarios (principio de minimización). Si recoges un email para un boletín, no deberías exigir también el teléfono. Cada campo debe tener una finalidad justificada.
El cumplimiento del RGPD no es una tarea puntual. Los sitios web cambian: se añaden nuevos rastreadores, los banners de cookies fallan y las políticas quedan desactualizadas. Establece un sistema de monitorización automática para detectar problemas antes de que lo hagan las autoridades.
Si partes de cero, prioriza: banner de consentimiento de cookies, HTTPS en todo el sitio y política de privacidad completa. Son las infracciones más frecuentes en los expedientes sancionadores y las más rápidas de corregir.