RGPD para tu web en 2026: qué exige la ley para no llevarte una multa
Imagina que te llega al correo un mensaje del regulador con el asunto «denuncia de un usuario». No por una filtración de datos ni por un ataque: es que el botón «Rechazar» de tu banner de cookies no funciona. El usuario lo pulsó, la analítica se cargó igualmente, hizo una captura y mandó la queja. Ahora tienes treinta días para dar explicaciones. No es miedo inventado: en Europa los requerimientos llegan precisamente por estos detalles, porque son los más fáciles de demostrar. Abres la web, pulsas el botón y miras si carga el rastreador.
El RGPD para tu web casi todo el mundo lo entiende mal, y en las dos direcciones. Unos cuelgan un «Usamos cookies. OK» y creen que han zanjado el tema, cuando ese banner es en sí mismo una infracción. Otros, presa del pánico, apagan toda la analítica y trabajan a ciegas, perdiendo datos que la ley sí les permite recoger. La verdad está en el medio, y va de ingeniería, no de susto jurídico: una web bien montada recoge casi todo lo que necesita para crecer sin darle al regulador ni un motivo. Vamos a desmenuzarlo en un checklist concreto: banner de cookies, política de privacidad, analítica legal, formularios y las infracciones reales por las que sancionan.
RGPD y GDPR son la misma ley. No te asustes por los dos nombres.
Quitemos primero la confusión que cuesta dinero en «dos abogados distintos». RGPD (Reglamento General de Protección de Datos) y GDPR (General Data Protection Regulation) son el mismo reglamento europeo, en español y en inglés. Se aplica directamente en toda la Unión, así que las exigencias básicas para una web española, alemana o de cualquier país de la UE son idénticas; solo cambian pequeños añadidos nacionales y el nombre de la autoridad de control (en España, la AEPD). Si mañana añades una versión alemana, el cimiento es el mismo. Es una de las razones por las que una web multilingüe para mercados de la UE es más fácil de mantener en regla de lo que parece: el marco legal es común, lo que se duplica es el contenido, no la lógica del consentimiento.
El reglamento protege los datos personales: todo aquello por lo que se identifica a una persona de forma directa o indirecta. Y aquí llega la primera sorpresa: no son solo el nombre y el teléfono de un formulario, también la dirección IP, el identificador de una cookie y el comportamiento que recoge la analítica. Por eso la historia arranca por el elemento más aburrido y más infringido: el banner de cookies.
El banner de cookies que no infringe la ley (y no es un simple «OK»)
Aquí se concentra la mayor parte de las multas, porque la infracción se ve a simple vista. El principio central del RGPD: el consentimiento debe ser activo, informado y tan fácil de retirar como de dar. De ahí salen exigencias concretas y fáciles de comprobar:
- Nada de cargar rastreadores antes del consentimiento. Google Analytics, el píxel de Meta, el chat o el vídeo incrustado no deben instalar cookies ni enviar datos hasta que se pulse «Aceptar». Es la infracción más común y demostrable: el rastreador se ve en las herramientas de desarrollo antes del clic.
- Botón «Rechazar» al mismo nivel que «Aceptar». Si «Aceptar» es un botón verde enorme y rechazar exige tres pantallas de ajustes, es ilegal de raíz: rechazar debe ser tan sencillo como aceptar.
- Sin casillas premarcadas. El consentimiento no se presume: todas las categorías, salvo las estrictamente necesarias, van desactivadas hasta que la persona las active.
- Granularidad por categorías. El usuario puede aceptar la analítica y rechazar el marketing; un único interruptor de «todo o nada» también es problemático.
- Posibilidad de retirar el consentimiento después, con un icono de «Configuración de cookies».
Hay una categoría que NO entra en esto: las cookies estrictamente necesarias (carrito, sesión de acceso, idioma, protección frente a bots). Sin ellas la web no funciona, así que se cargan de inmediato sin pedir nada. El problema casi nunca está ahí, sino en la analítica y los píxeles que se conectan por inercia y se olvida esconder tras el consentimiento.
Prueba rápida: abre tu web en incógnito, sin pulsar nada en el banner, y mira la pestaña Red (Network) en las herramientas de desarrollo. Si antes del clic se cargan
google-analytics,doubleclicko similares, ya estás infringiendo, y lo ve cualquiera que quiera denunciarte.
Política de privacidad: no una plantilla genérica, sino el mapa de tus datos
El segundo elemento obligatorio es la política de privacidad, y aquí el error es el contrario: en vez de quedarse corto, el negocio copia el texto de otro. El regulador, ante una denuncia, compara lo que dice la política con lo que hace la web, y es ese desajuste lo que pilla primero.
Una política que funcione responde a preguntas sencillas sobre tu web, no sobre una abstracta:
- Qué datos recoges (nombre, email y teléfono de los formularios; IP y comportamiento vía analítica).
- Con qué base legal (consentimiento, ejecución de un contrato, interés legítimo) y para qué fin.
- A quién se los cedes: la lista de servicios de terceros (analítica, email, CRM, pasarela de pago, hosting).
- Cuánto tiempo los guardas y cómo puede una persona pedir que borres sus datos o una copia.
- El contacto del responsable de los datos.
La palabra clave aquí es tus herramientas. Una política copiada del vecino casi seguro enumera servicios que tú no tienes, o se deja fuera los que sí: conectaste el píxel de Meta y en la política no aparece, y eso ya es infracción. Una plantilla generada sirve de esqueleto, pero hay que llevarla a la realidad de la web. Es el ajuste más frecuente cuando nos llegan con una web ya hecha para «ponerla en orden con el RGPD».
Analítica legal: cómo ver los números sin infringir nada
Lo más práctico: cómo recoger datos de visitas sin convertir la web en una mina jurídica. El negocio ciego pierde: sin analítica no sabes qué páginas funcionan, de dónde llegan los clientes ni qué arreglar. Hay varios caminos legales.
Camino uno: Google Analytics tras el consentimiento. GA4 se puede usar en Europa si lo cargas solo después del clic en «Aceptar», activas el modo de consentimiento (Consent Mode) y la anonimización, y describes la transferencia de datos en la política. Es válido si necesitas análisis profundo, retargeting y conexión con la publicidad. La pega: configurarlo es delicado, y a quien pulse «Rechazar» no lo verás en GA.
Camino dos, el que solemos recomendar: analítica sin cookies. Plausible, Umami, Matomo y similares cuentan las visitas sin instalar cookies ni recoger datos personales en el sentido habitual, así que para las métricas básicas muchas veces ni necesitan banner: no hay nada que recoger. Eso elimina buena parte del riesgo legal y, de paso, acelera la web: menos scripts pesados de terceros significan mejores Core Web Vitals (LCP, INP, CLS), y con ellos mejores posiciones. Para la mayoría de los negocios que solo quieren cifras de crecimiento, es lo que ponemos por defecto.
El compromiso:
| Criterio | Google Analytics (GA4) | Analítica sin cookies |
|---|---|---|
| Hace falta banner de consentimiento | Sí, obligatorio | A menudo no |
| Profundidad de los datos | Alta, hasta nivel de usuario | Básica, por visitas |
| Retargeting y conexión con publicidad | Sí | No |
| Visitas «perdidas» por el rechazo | Notable | Nula |
| Riesgo legal | Mayor, exige configuración cuidadosa | Menor |
| Impacto en la velocidad | Más pesado | Más ligero |
¿Lanzas publicidad de pago y mides el embudo? GA con consentimiento. ¿Solo quieres saber si creces? Analítica sin cookies, con menos riesgo.
Formularios y tratamiento de datos: donde se escapa la confianza
Cualquier formulario —contacto, solicitud, suscripción— es una recogida de datos personales, y el RGPD se lo toma en serio. Debajo de cada uno que recoja un contacto tiene que haber una información clara —a qué consiente la persona— y un enlace a la política. La newsletter de marketing necesita una casilla de consentimiento activa y aparte, no premarcada: una solicitud de servicio se deja sobre la base del interés legítimo, pero meter a esa persona en la newsletter sin consentimiento aparte no se puede.
Y luego la parte técnica: los datos deben viajar por HTTPS (hace tiempo que no es opcional), guardarse donde tengas acceso legal y no quedar tirados en una hoja de Google abierta a media oficina; si el formulario los envía a un CRM o a un mensajero, ese servicio también debe figurar en la política como destinatario. Para el antispam, en vez del reCAPTCHA de Google (que instala rastreadores) ponemos por defecto un campo honeypot, una trampa invisible para bots que no recoge datos ni exige banner. Cumplir el RGPD no riñe con la conversión, la ayuda: un formulario claro, con un microtexto honesto sobre los datos, genera más confianza ante una audiencia europea ya acostumbrada. Lo desglosamos en la guía de formularios de captación que de verdad convierten.
Infracciones frecuentes y multas: por qué te cae la sanción de verdad
Hablemos claro de dinero, porque alrededor de las multas del RGPD hay mucho cuento de miedo. El tope del reglamento es dramático —hasta 20 millones de euros o el 4% de la facturación mundial anual, lo que sea mayor—, pero ese techo es para infracciones grandes, intencionadas y masivas, como filtrar los datos de millones de usuarios. A una tienda pequeña no se le aplica casi nunca.
La realidad de la pequeña empresa es más modesta. El escenario habitual: un usuario denuncia, el regulador manda un requerimiento para corregir y, si lo corriges, ahí se acaba todo. Las sanciones por «detalles» se miden normalmente en miles, rara vez en decenas de miles de euros, y la gravedad depende de si arreglaste tras la denuncia y de si hubo mala fe. El caso «menor» típico no es una ruina, sino un disgusto más una reparación urgente bajo supervisión. Y ese disgusto es lo más barato de evitar.
Por lo que se pilla de verdad a la pyme:
- Rastreadores que se cargan antes del consentimiento. Lo más común y demostrable: abres la web, miras la pestaña Red y la infracción salta a la vista.
- No hay botón «Rechazar» o está escondido, tras un laberinto de ajustes.
- No hay política de privacidad o no es la de esta web, sino un texto copiado que no cuadra.
- El consentimiento de marketing está premarcado o metido en una casilla genérica.
- No se indican los servicios destinatarios. El píxel, el chat o el email están puestos, pero en la política no aparecen.
Fíjate en el patrón: casi nada de esta lista va de «proteger datos» en sentido elevado, sino de elementos concretos de la interfaz y un par de líneas de código. Y esa es la buena noticia: cumplir el RGPD en una web normal es una tarea finita, no un pozo sin fondo.
RGPD para tu web sin analítica a ciegas: la combinación que ponemos por defecto
El miedo del dueño suena así: «Si lo cierro todo, la mitad pulsará “Rechazar” y me quedo ciego». Pero la analítica sin cookies te muestra las visitas de todos, no solo de quienes aceptaron: el problema se evita sin infringir nada. La combinación que montamos para sostener a la vez la ley y la visibilidad:
- Cookies estrictamente necesarias de inmediato: sesión, idioma, protección de formularios.
- Banner con «Rechazar» honesto, al mismo nivel que «Aceptar» y con granularidad por categorías.
- Analítica sin cookies como base, que muchas veces ni necesita banner; GA o el píxel solo si hace falta retargeting, y siempre tras el consentimiento con Consent Mode.
- Antispam sin rastreadores y política escrita para tu stack real, con tus servicios concretos.
Un apunte que muchos olvidan: el banner debe poder manejarse con el teclado y leerse con un lector de pantalla, o incumplirás a la vez las reglas de consentimiento y los requisitos de accesibilidad, más estrictos en la UE desde 2025. Si vas a rehacer la web entera, mete esto en el plan desde el principio en lugar de parchearlo después: lo desglosamos en la guía sobre cuánto cuesta una web.
Quién duerme tranquilo al final
Volvamos al mensaje del regulador del primer párrafo. El negocio cuyo banner carga los rastreadores solo tras el consentimiento, cuyo botón «Rechazar» funciona, cuya política describe el stack real y cuyos formularios están bien montados responde con un párrafo y una captura, y la historia se cierra. El que colgó un «OK» y se olvidó responde con una reparación bajo supervisión y nervios. La diferencia no está en quién teme más a la ley, sino en quién trató el RGPD como una tarea de ingeniería con un checklist claro y no como un conjuro de papel. El RGPD para tu web en 2026 no va de saber menos sobre tus clientes: va de saber justo lo que la ley permite, y dormir tranquilo.
Preguntas frecuentes
- ¿Necesito banner de cookies si solo tengo una web sencilla de presentación?
- Si tu web instala aunque sea una sola cookie o un script que no sea estrictamente necesario para que la página funcione, sí, necesitas banner. La ley considera «estrictamente necesarios» el carrito, la sesión de acceso o la elección de idioma, y para esos no hace falta consentimiento. Pero en cuanto conectas Google Analytics, el píxel de Meta, un vídeo de YouTube incrustado o un chat, esas herramientas instalan rastreadores y no puedes cargarlas sin el consentimiento explícito del usuario. Una web estática de pura presentación, sin analítica ni incrustaciones de terceros, puede prescindir del banner, aunque conviene mantener igualmente la política de privacidad.
- ¿Qué diferencia hay entre RGPD y GDPR?
- En el fondo no hay diferencia: es la misma ley con dos nombres. RGPD (Reglamento General de Protección de Datos) es como lo llamamos en español, y GDPR (General Data Protection Regulation) es su sigla en inglés. El reglamento se aplica directamente en todos los países de la UE, así que las exigencias para una web española, alemana o polaca son las mismas; solo cambian algunos añadidos locales y el nombre de la autoridad de control.
- ¿Se puede usar Google Analytics en Europa de forma legal?
- Sí, pero con condiciones. GA4 está permitido si lo cargas solo después del consentimiento en el banner, activas la anonimización y el modo de consentimiento (Consent Mode) y describes con honestidad la transferencia de datos en tu política. Una parte de los negocios europeos se está pasando a la analítica sin cookies (Plausible, Umami, Matomo): no exige banner de consentimiento para las métricas básicas y reduce buena parte del riesgo legal. Es una alternativa real si lo que quieres son cifras de visitas y no un retargeting profundo.
- ¿Qué multa por incumplir el RGPD le toca de verdad a una pequeña empresa?
- El tope del reglamento es de hasta 20 millones de euros o el 4% de la facturación mundial anual, pero ese techo es para infracciones graves e intencionadas. En la práctica, a la pequeña empresa lo que le suele llegar es un requerimiento para corregir la infracción, y las sanciones por «detalles» como un botón de rechazo que no funciona o la falta de política de privacidad se miden en miles, rara vez en decenas de miles de euros. La cifra exacta depende del país, de la gravedad y de si corregiste tras la denuncia.
- ¿Basta con copiar la política de privacidad de otro o generarla gratis?
- Como parche, mejor eso que nada, pero es arriesgado. La política de privacidad tiene que describir tus herramientas, tus formularios y tu tratamiento de datos: qué servicios usas, para qué, con qué base legal y a dónde van los datos. Un texto copiado del vecino casi siempre no encaja con la realidad de tu web, y es justo ese desajuste el que pilla el regulador cuando hay una denuncia. Una plantilla generada sirve como esqueleto, pero hay que ajustarla a lo que de verdad tienes conectado.
¿Necesitas una web que traiga clientes desde Google?
Webtor diseña, crea y posiciona webs multilingües para pymes — con formularios conectados directamente a tu correo y a tu bot de Telegram.
Consulta gratuita
