RGPD y LOPDGDD para autónomos: lo mínimo que tu web necesita

1. El marco legal en cristiano

Hay cuatro normas que afectan a tu web de pyme en España:

RGPD: Reglamento General de Protección de Datos europeo. Norma de máximo rango, define principios generales sobre datos personales.
LOPDGDD: Ley Orgánica española de Protección de Datos y Garantía de los Derechos Digitales. Desarrolla el RGPD en España y añade obligaciones extra (por ejemplo, los datos de personas fallecidas).
LSSI-CE: Ley de Servicios de la Sociedad de la Información y Comercio Electrónico. Exige el aviso legal y regula la comunicación comercial electrónica.
Reglamento ePrivacy: regula cookies y comunicaciones electrónicas. Es la base de la obligación de pedir consentimiento para cookies.

La autoridad de control en España es la Agencia Española de Protección de Datos (AEPD). Es quien sanciona si incumples y, sobre todo, quien publica guías prácticas gratuitas. Su web (aepd.es) tiene material muy bueno para autónomos y pymes que conviene tener guardado.

2. Las cuatro páginas legales obligatorias

Toda web de pyme española tiene que tener cuatro páginas legales accesibles desde el pie de página o un menú visible:

Aviso legal (LSSI-CE)

Identifica al prestador del servicio (tú o tu empresa). Obligatorio por la LSSI-CE. Tiene que incluir: nombre o razón social, NIF/CIF, domicilio, datos de contacto, datos de inscripción en registro mercantil si aplica, autorización administrativa si tu actividad la requiere y código deontológico si tienes colegiación.

Si quieres ver un ejemplo concreto, el aviso legal de disenowebeconomico.es está abierto y puede servirte de referencia para tu propia redacción.

Política de privacidad (RGPD + LOPDGDD)

Es el documento más importante. Tiene que explicar de forma clara y sin tecnicismos:

Quién es el responsable del tratamiento (tú).
Qué datos recoges (nombre, email, teléfono, etc.).
Con qué finalidad y bajo qué base jurídica.
Cuánto tiempo los conservas.
Quién más tiene acceso (encargados como Google, Vercel, tu CRM, tu pasarela de pago).
Si hay transferencias internacionales y con qué garantías.
Qué derechos tiene el usuario y cómo ejercerlos.

Puedes verlo aplicado en la política de privacidad de este sitio.

Política de cookies (ePrivacy + AEPD)

Detalla todas las cookies que usa tu web. Tipo (técnicas, analíticas, marketing), propietario (Google, Meta, tú mismo), finalidad, duración y enlace para oponerte. Si solo usas cookies técnicas necesarias para que la web funcione, el deber se reduce mucho. Si usas Google Analytics, Meta Pixel o cualquier tracking de marketing, tienes que listarlas una a una.

Condiciones de uso o contratación

Si vendes productos o servicios online (incluyendo formularios donde se cierra un contrato), necesitas condiciones de uso o de contratación. Tiene que cubrir precio, formas de pago, plazo de entrega, derecho de desistimiento (14 días para consumidores), garantías y jurisdicción aplicable.

La gente teme "no estar en regla" sin saber qué significa estar en regla. Estas cuatro páginas escritas con sentido cubren el 90% del riesgo real para una pyme normal.

3. El banner de cookies y Consent Mode v2

Si tu web tiene cualquier cookie distinta de las estrictamente técnicas, necesitas un banner de consentimiento. Las reglas que exige la AEPD desde 2024:

Rechazar tan fácil como aceptar. Si tu banner solo tiene botón "Aceptar" en color llamativo y el "Rechazar" está escondido en un submenú, no cumples.
Nada se carga antes del consentimiento. Google Analytics, Meta Pixel y cualquier tracking externo solo se activan después de que el usuario dé consentimiento explícito.
Granularidad: el usuario debe poder aceptar técnicas y rechazar marketing, o cualquier otra combinación.
Conservación de la elección: guarda la decisión durante 24 meses como máximo, luego vuelves a preguntar.
Sin walls de cookies: no puedes bloquear el acceso a la web si el usuario rechaza cookies no esenciales.

Consent Mode v2

Google introdujo en 2024 Consent Mode v2 como requisito para seguir pasando datos al ecosistema de Google Ads y GA4 desde la UE. En la práctica significa que tu banner debe emitir señales con cuatro estados de consentimiento (analytics_storage, ad_storage, ad_user_data, ad_personalization) que Google interpreta para decidir qué datos puede recoger.

Hay tres formas de implementarlo: con una CMP (Consent Management Platform) externa como Cookiebot o Iubenda, con la solución de Google Tag (más limitada pero gratuita) o con código propio. Lo nuestro en disenowebeconomico.es es código propio integrado con Consent Mode v2. Lo dejamos configurado en el build.

4. Formularios y consentimiento

Cualquier formulario que recoja datos personales (un email cuenta como dato personal) tiene que incluir:

Casilla de aceptación de la política de privacidad: sin marcar por defecto. Con enlace funcional a la política.
Casilla específica si vas a hacer marketing: "Acepto recibir información comercial sobre los servicios de X". Separada de la anterior.
Texto breve previo: "Tus datos serán tratados por X con la finalidad de Y. Puedes ejercer tus derechos escribiendo a Z. Más información en nuestra política de privacidad."

Lo que NO vale: poner la casilla marcada por defecto, asumir consentimiento por el hecho de rellenar el formulario, mezclar política de privacidad con marketing en la misma casilla, o no tener la política enlazada.

5. Registro de actividades de tratamiento

El artículo 30 del RGPD obliga a llevar un registro de actividades de tratamiento. Es un documento interno, no público, que la AEPD puede pedirte si te inspecciona. Para autónomos y pymes pequeñas la AEPD ofrece una herramienta gratuita llamada Facilita_RGPD que genera el registro y la documentación básica a partir de un cuestionario.

El registro debe listar cada actividad de tratamiento (gestión de clientes, marketing, RRHH si aplica) con: finalidad, categorías de interesados, categorías de datos, destinatarios, transferencias internacionales, plazo de conservación y medidas de seguridad. Suele caber en 2-4 páginas de Word.

6. Derechos de los usuarios

El RGPD da al usuario una lista de derechos que tienes que poder atender. Los conocidos como derechos ARCO-POL:

Acceso: el usuario te pide qué datos tienes de él y tienes 1 mes para responder.
Rectificación: corregir datos erróneos.
Cancelación o supresión: borrar sus datos si no hay base legal para mantenerlos.
Oposición: dejar de tratar sus datos para finalidades como marketing.
Portabilidad: recibir sus datos en formato estructurado y legible.
Olvido: que sus datos desaparezcan de buscadores cuando sea legalmente exigible.
Limitación: que mientras se aclara un asunto, los datos solo se conserven sin tratarse.

En la práctica, basta con tener un email visible en tu política de privacidad donde el usuario pueda escribir. Cuando reciba petición, contestar dentro del mes con la información correspondiente.

7. Qué temer (y qué no) realmente

Para una pyme normal, el riesgo realista NO es una multa multimillonaria. Es una de estas tres cosas:

Una denuncia de un usuario molesto. El motivo más común. Si tu web no tiene política de privacidad, no tienes casilla en el formulario, o el usuario pide acceso y no respondes, te denuncia. La AEPD investiga y puede acabar con multa de 600 a 6.000 € para pyme pequeña.
Una brecha de seguridad. Te roban la base de datos de clientes. Tienes 72 horas para notificar a la AEPD. Si no notificas, sanción independiente del propio incidente.
Un competidor mal intencionado. Algunos sectores tienen práctica de denunciarse entre sí ante la AEPD por cosas menores. Sucede.

Lo que NO debe quitarte el sueño: que la AEPD venga a inspeccionar a un autónomo de oficio porque sí. Los recursos de inspección son limitados, normalmente actúan a partir de denuncia.

8. Cuándo necesitas un DPO

El Delegado de Protección de Datos es obligatorio solo si tu negocio cumple alguno de estos criterios (art. 37 RGPD y art. 34 LOPDGDD):

Eres autoridad u organismo público.
Tu actividad principal exige observación sistemática de personas a gran escala (videovigilancia masiva, tracking, etc.).
Tu actividad principal son datos especialmente sensibles (salud, biometría, condena penal, ideología) a gran escala.
Estás en alguna de las categorías que la LOPDGDD añade: educadores reglados, entidades aseguradoras, entidades financieras, etc.

Para la inmensa mayoría de pymes de servicios y e-commerce normal: no necesitas DPO. Lo que sí recomendamos es designar a una persona internamente responsable de protección de datos, aunque no sea DPO formal. Si tu gestoría te dice que necesitas DPO, pídele por escrito la base jurídica.

9. Preguntas frecuentes

¿Las multas del RGPD se aplican de verdad a pymes pequeñas?

La AEPD ha sancionado a autónomos y pymes pequeñas con multas de entre 600 y 12.000 euros, sobre todo por no tener política de privacidad, no recoger consentimiento de cookies o no responder a un derecho de acceso. Las multas multimillonarias son para grandes plataformas, pero existir como pyme no te exime. La buena noticia es que cumplir lo mínimo razonable cuesta poco tiempo.

¿Necesito un DPO (Delegado de Protección de Datos)?

Solo si tratas datos especialmente sensibles a gran escala (salud, biometría, ideología, condena penal), si tu actividad principal es la observación sistemática de personas, o si lo exige una norma sectorial. Para la mayoría de pymes de servicios o e-commerce normal, NO es obligatorio. Si tu gestoría te dice que sí lo necesitas, pregunta con qué base jurídica.

¿Tengo que registrar mi web en la AEPD?

Desde 2018 ya no existe el registro previo de ficheros. Lo que sí debes mantener es un Registro de Actividades de Tratamiento interno (un documento, normalmente en Excel o Word, que describe qué datos tratas, para qué y con qué bases jurídicas). No se entrega a nadie de forma proactiva, pero si la AEPD te inspecciona te lo pedirá.

¿El banner de cookies puede tener solo un botón de Aceptar?

No. La AEPD exige que el banner ofrezca al usuario la posibilidad de rechazar tan fácilmente como aceptar. Un banner con solo Aceptar es no conformidad. Lo mínimo correcto: dos botones igual de visibles (Aceptar / Rechazar) o tres si añades Configurar. Y nada de cookies analíticas o de marketing cargadas antes del consentimiento.

En disenowebeconomico.es entregamos los textos base de las cuatro páginas legales personalizados con tus datos en el build de 5 días, junto con el banner de cookies con Consent Mode v2 implementado y los formularios configurados con casillas correctas. Si quieres ver el servicio en detalle, mira la página de precios. Lecturas relacionadas: checklist 2026, guía de dominio y hosting y qué hace que una web funcione. Para sectores específicos donde la cuestión legal tiene matices (SAT informática, catering o autónomos), las páginas sectoriales recogen casos típicos.