Integración Marketplace Unión EuropeaPaquetes E-Commerce Unión EuropeaSitio Web Corporativo Unión EuropeaSoftware a Medida Unión EuropeaConstitución de Empresa Unión EuropeaCentro de Fulfillment Unión EuropeaAlmacenamiento de Productos Unión EuropeaDesarrollo de Apps Móviles Unión Europea
Iniciar Sesión
Europa · E-Commerce

Guía RGPD 2026 e-commerce: Reglamento 2016/679, consentimiento cookies TCF v2.2, criterios DPD, derechos de interesados, notificación 72h, multas 20M€/4%.

🇪🇺 Guía completa de cumplimiento del RGPD en la UE — Edición 2026

Cumplimiento del RGPD para E-Commerce 2026: Guía completa para vendedores online de la UE

Ocho años después de que el RGPD entrara en vigor el 25 de mayo de 2018, el Reglamento (UE) 2016/679 sigue siendo la ley de privacidad más estricta y más aplicada del mundo, y la mayor partida de cumplimiento normativo para cualquier vendedor de e-commerce de la UE. Las autoridades de control nacionales han impuesto más de 5.500 millones de euros en multas acumuladas hasta 2026, con sanciones individuales que alcanzan los 1.200 millones de euros. Esta guía te lleva por los diez aspectos que todo vendedor online de la UE debe tener resueltos en 2026: el marco de consentimiento de cookies TCF v2.2, un aviso de privacidad conforme al artículo 13, cuándo necesitas un DPD, los ocho derechos de los interesados, el plazo de notificación de brechas en 72 horas, las cláusulas contractuales tipo posteriores a Schrems II, el impacto del futuro Reglamento ePrivacy, multas de hasta 20 millones de euros o el 4% de la facturación mundial, y una checklist RGPD de 12 puntos que encaja con el trabajo diario de gestionar un catálogo multi-marketplace.

✓ Reglamento 2016/679 mapeado ✓ Consentimiento de cookies TCF v2.2 ✓ Schrems II + CCT 2021 ✓ Autoridades nacionales (CNIL, AEPD, Garante, BfDI)
zunapro.com/panel/eu/gdpr
RGPD Hub Conforme
Cobertura autoridades 30/30 EEE
Solicitudes abiertas
14
↓ 22% intermensual
SLA medio
6,4 d
por debajo de 30 d
Cookies
TCF 2.2
✓ activo
Últimos 7 días · Solicitudes de interesados 42 cerradas↑ 31%
LunMarMiéJueVieSábHoy
Solicitudes recientes En vivo
#DSR-58271 Art. 15 — Solicitud de acceso (FR) En revisión
#DSR-58270 Art. 17 — Supresión (DE) Pendiente
#DSR-58269 Art. 20 — Portabilidad (ES) Cerrada
Sincronización activa · última auditoría hace 2 s · CCT + EIT listas
5.500 M€+
Multas RGPD acumuladas (hasta 2026)
1.200 M€
Mayor multa individual (Meta IE 2023)
72 h
Plazo de notificación de brechas (art. 33)
20 M€ / 4%
Multa máxima — 20 M€ o el 4% de la facturación mundial

RGPD en la UE para e-commerce 2026 — Lectura rápida

El Reglamento General de Protección de Datos, Reglamento (UE) 2016/679, es directamente aplicable en toda la UE desde el 25 de mayo de 2018 y sigue siendo la ley de privacidad más determinante del mundo. Todo vendedor de e-commerce de la UE/EEE es responsable del tratamiento de los datos personales de sus clientes: nombre, dirección, datos de pago, historial de navegación, cookies, direcciones IP. Las prioridades para 2026 son un banner de cookies conforme a TCF v2.2, un aviso de privacidad claro conforme al artículo 13, un registro de actividades de tratamiento conforme al artículo 30 documentado, flujos de trabajo ágiles para las solicitudes de los interesados (DSR), un plan de respuesta a brechas en 72 horas, y cláusulas contractuales tipo posteriores a Schrems II para cualquier transferencia sin decisión de adecuación (en particular hacia EE. UU., bajo el Marco de Privacidad de Datos UE-EE. UU. adoptado en julio de 2023). Las autoridades de control —CNIL (Francia), AEPD (España), Garante (Italia), BfDI y las autoridades regionales alemanas, AP (Países Bajos), NAIH (Hungría), ICO (Reino Unido, bajo el UK GDPR)— imponen multas de hasta 20 millones de euros o el 4% de la facturación anual mundial, lo que resulte mayor.

El panorama de protección de datos en la UE en 2026, de un vistazo

El RGPD lo aplica una red de autoridades nacionales de protección de datos (APD), coordinadas a nivel de la UE por el Comité Europeo de Protección de Datos (CEPD). El siguiente resumen recoge las ocho autoridades con más probabilidad de aparecer en tu bandeja de entrada como vendedor de e-commerce de la UE; tenlo a mano al leer cada sección en detalle.

CEPD — Comité Europeo de Protección de Datos

Creado el 25 de mayo de 2018 · Bruselas · Emite directrices vinculantes, dictámenes y coordina la ventanilla única entre autoridades

30 APDCoordinación en toda la UE/EEE

CNIL — Commission Nationale de l'Informatique et des Libertés (Francia)

Fundada en 1978 · París · La aplicación más estricta en materia de cookies de la UE; autoridad de referencia en adtech y TCF

340 M€+ en multasacumuladas hasta 2026

AEPD — Agencia Española de Protección de Datos (España)

Fundada en 1993 · Madrid · La autoridad nacional más activa por número de multas; fuerte foco en pymes

2.000+ multas/añoEspaña en el puesto 1

Garante — Garante per la Protezione dei Dati Personali (Italia)

Fundada en 1997 · Roma · Aplicación agresiva en IA/ChatGPT, telemarketing y cookies

200 M€+ en multasacumuladas hasta 2026

BfDI + 16 Landesdatenschutzbeauftragte (Alemania)

BfDI federal en Bonn + una autoridad por Land · Descentralizado; LfDI BW, BlnBDI y HmbBfDI, las más activas

17 autoridadesNivel federal y regional

ICO — Information Commissioner's Office (Reino Unido)

Wilmslow · Aplica el UK GDPR (tras el Brexit) y la Data Protection Act 2018 · Decisión de adecuación vigente

Adecuación del Reino Unidorenovada 2025–2031

AP — Autoriteit Persoonsgegevens (Países Bajos)

La Haya · Autoridad neerlandesa · Activa en cookie walls, registro de IA y fugas de datos del sector público

Resolución sobre cookie walls2019 — referente

NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Hungría)

Budapest · Autoridad húngara · Activa en reconocimiento facial, videovigilancia y datos de RR. HH.

4.000 M+ HUF en multasacumuladas hasta 2026

¿Listo para vender en toda la UE, conforme al RGPD desde el primer día?

Conecta cada marketplace y cada tienda online de la UE a un único panel de Zunapro con una CMP TCF v2.2 integrada, registro del artículo 30, flujo de trabajo DSR y CCT ya firmadas para cada subencargado.

🚀 Empezar la integración en la UE

1. Panorama del RGPD — Reglamento (UE) 2016/679, vigente desde mayo de 2018

Qué es realmente el RGPD

El Reglamento General de Protección de Datos — Reglamento (UE) 2016/679 — se adoptó el 27 de abril de 2016 y pasó a ser directamente aplicable en los 27 Estados miembros de la UE, además de en los tres países del EEE (Noruega, Islandia, Liechtenstein), el 25 de mayo de 2018. Al ser un Reglamento, y no una Directiva, el RGPD no requirió transposición nacional: entró en vigor el mismo día en Madrid, París, Berlín, Roma, Varsovia y el resto de capitales de la UE. Sustituyó a la Directiva de Protección de Datos de 1995 (95/46/CE), que había dado lugar a 28 transposiciones nacionales fragmentadas.

Para los vendedores de e-commerce, tres decisiones estructurales del texto son más relevantes que cualquier otra:

  • Ámbito material (art. 2) — se aplica a cualquier «tratamiento de datos personales» por medios automatizados, lo que abarca prácticamente cualquier operación de base de datos en una infraestructura web moderna.
  • Ámbito territorial (art. 3) — se aplica a los responsables establecidos en la UE con independencia de dónde se realice el tratamiento, y también a los responsables establecidos fuera de la UE que ofrezcan bienes o servicios a interesados de la UE u observen su comportamiento. Este es el «alcance extraterritorial» que trajo dentro del ámbito de aplicación a vendedores de EE. UU., Reino Unido, Turquía, Suiza y Asia.
  • Definición de datos personales (art. 4) — extremadamente amplia: cualquier cosa que «se refiera a una persona física identificada o identificable». Direcciones IP, identificadores de cookies, huellas digitales de dispositivos e incluso ciertos parámetros únicos de URL pueden calificarse como tales.

Las seis bases jurídicas (artículo 6)

Toda actividad de tratamiento necesita al menos una de seis bases jurídicas:

  1. Consentimiento — libre, específico, informado e inequívoco (art. 4, apartado 11 + art. 7).
  2. Contrato — tratamiento necesario para la ejecución de un contrato con el interesado (la base estándar para completar un pedido).
  3. Obligación legal — por ejemplo, facturación con IVA, KYC, registros fiscales.
  4. Intereses vitales — poco frecuente en el e-commerce comercial.
  5. Interés público — generalmente no relevante en el comercio minorista privado.
  6. Interés legítimo — requiere un test de ponderación; se usa para prevención del fraude, seguridad, analítica básica.

El error de cumplimiento más común en 2026 es confundir las bases jurídicas —por ejemplo, apoyarse en el «contrato» para correos de marketing (que requieren consentimiento según la Directiva ePrivacy) o en el «interés legítimo» para cookies de seguimiento (que también requieren consentimiento según el artículo 5, apartado 3, de la Directiva ePrivacy).

Categorías especiales de datos (artículo 9)

Los datos de salud, biométricos, el origen étnico, las creencias religiosas, la afiliación sindical, la orientación sexual y las opiniones políticas son categorías especiales de datos. Su tratamiento está prohibido salvo que se cumpla alguna de las diez condiciones del artículo 9, apartado 2, siendo el consentimiento explícito la más habitual en e-commerce (por ejemplo, suscripciones a suplementos que revelan información de salud, o tiendas de moda que infieren el origen étnico a partir de las tallas preferidas).

📋
Texto de referencia: el texto consolidado oficial del Reglamento (UE) 2016/679 está publicado en 24 idiomas de la UE en EUR-Lex. Zunapro enlaza los artículos relevantes junto a cada función de cumplimiento en el panel. Consulta el texto consolidado del RGPD en EUR-Lex como fuente vinculante.

Por qué las cookies son un tema del RGPD

Las cookies y tecnologías de seguimiento similares no se rigen únicamente por el RGPD, sino por el artículo 5, apartado 3, de la Directiva ePrivacy 2002/58/CE (la «Directiva de cookies», modificada en 2009). La Directiva exige un consentimiento previo e informado para almacenar información o acceder a información ya almacenada en el dispositivo de un usuario, salvo cuando sea estrictamente necesario para prestar un servicio expresamente solicitado por el usuario. El RGPD, a su vez, define el estándar de lo que constituye un consentimiento válido (art. 4, apartado 11, y art. 7).

La regla práctica combinada para los vendedores de e-commerce en 2026 es:

  • Cookies estrictamente necesarias (carrito, inicio de sesión, token CSRF, selector de idioma, balanceo de carga básico) — no requieren consentimiento, pero deben documentarse en la política de privacidad.
  • Todas las demás cookies — analítica (GA4, Plausible, Matomo con configuración por defecto), publicidad (Meta Pixel, Google Ads, TikTok), personalización, pruebas A/B, fingerprinting — requieren consentimiento previo (opt-in) antes de instalar la cookie.

El IAB Europe Transparency & Consent Framework (TCF) v2.2 —publicado el 16 de mayo de 2023 y obligatorio desde el 20 de noviembre de 2023— es el estándar de facto del sector para captar, señalizar y conservar el consentimiento de cookies en toda la UE. Características clave:

  • 11 finalidades + 3 «finalidades especiales» + 2 «funciones» + 2 «funciones especiales» — control granular en lugar de un simple «Aceptar todo»
  • Cerca de 700 proveedores registrados — cada socio de adtech, analítica y CDP declara finalidades y bases jurídicas en la Lista Global de Proveedores (GVL) de TCF
  • Cadena TC (TC String) — una señal codificada en base64 integrada en __tcfapi / __tcfapi v2 que acompaña a cada petición de adtech
  • Mejoras de la v2.2 — finalidades 1, 3 y 4 más claras, eliminación del «interés legítimo» como base alternativa para publicidad/medición, flujo de retirada obligatorio

Qué debe y no debe hacer la interfaz de consentimiento

Tanto las Directrices 05/2020 del CEPD sobre el consentimiento como las Directrices 2020-091 de la CNIL son muy claras:

  • Las casillas premarcadas no son válidas (Planet49, TJUE C-673/17, 1 de octubre de 2019)
  • «Seguir navegando» no constituye consentimiento — hacer clic, desplazarse o permanecer en la página no equivale a opt-in
  • Rechazar debe ser tan fácil como aceptar — «Aceptar todo» y «Rechazar todo» deben ser visual y procedimentalmente equivalentes (la CNIL impuso 60 M€ a Google y 60 M€ a Facebook en enero de 2022 explícitamente por este motivo)
  • Los cookie walls —condicionar el acceso al consentimiento— están en gran medida prohibidos (orientación de la AP neerlandesa de 2019, Directrices 05/2020 del CEPD)
  • Granularidad — interruptores finalidad por finalidad, no un único botón global
  • La retirada del consentimiento debe ser tan fácil como su otorgamiento (art. 7, apartado 3, RGPD)
🍪

Mejor práctica 2026: una plataforma de gestión del consentimiento (CMP) compatible con TCF v2.2, con botones «Aceptar todo» / «Rechazar todo» en igualdad de condiciones en la primera capa, interruptores granulares en la segunda capa y un enlace permanente de «Configuración de cookies» en el pie de página. Las tiendas Zunapro incluyen esta configuración de serie. Ver tiendas Zunapro en la UE →

3. Política de privacidad — Los artículos 13 y 14 en la práctica

Por qué una política de privacidad no es negociable

Los artículos 13 y 14 del RGPD exigen que todo responsable del tratamiento facilite un aviso de privacidad en el momento de recabar los datos personales (art. 13) o, cuando los datos se recaben de un tercero, en el plazo de un mes (art. 14). En e-commerce, esta suele ser la página enlazada en el pie de página como «Política de privacidad», «Aviso de privacidad» o «Información sobre el tratamiento de datos personales».

El contenido obligatorio

El artículo 13 exige, como mínimo, lo siguiente —normalmente estructurado como un aviso por capas, con un resumen breve y una versión completa:

  • Identidad y datos de contacto del responsable (y del representante en la UE, si aplica el artículo 27)
  • Datos de contacto del DPD, cuando se haya designado uno
  • Finalidades del tratamiento y base jurídica de cada una (art. 6, y art. 9 para categorías especiales de datos)
  • Destinatarios o categorías de destinatarios — pasarelas de pago, socios logísticos, herramientas de marketing, proveedores de hosting
  • Transferencias internacionales — terceros países implicados, decisiones de adecuación o garantías adecuadas (CCT)
  • Plazos de conservación — o los criterios utilizados para determinarlos
  • Derechos de los interesados — acceso, rectificación, supresión, limitación, portabilidad, oposición, decisiones automatizadas
  • Derecho a retirar el consentimiento en cualquier momento (cuando el consentimiento sea la base jurídica)
  • Derecho a presentar una reclamación ante una autoridad de control
  • Si la aportación de los datos es obligatoria, y las consecuencias de no facilitarlos
  • Existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información significativa sobre la lógica aplicada

Errores habituales que sancionan la CNIL y la AEPD

  • Avisos genéricos que no coinciden con las actividades de tratamiento reales — las autoridades de control los cotejan con el registro del artículo 30
  • Enumerar el «interés legítimo» sin explicar el test de ponderación
  • Plazos de conservación vagos como «el tiempo que sea necesario» sin plazos concretos
  • Información sobre transferencias internacionales ausente u obsoleta (especialmente las transferencias a EE. UU. tras Schrems II)
  • No mencionar el derecho a presentar una reclamación ante una APD — un hallazgo frecuente en las auditorías de la AEPD

4. Delegado de Protección de Datos — Cuándo se aplica el artículo 37

Los tres supuestos obligatorios

El artículo 37, apartado 1, impone la designación obligatoria de un DPD en tres supuestos:

  1. Autoridad u organismo público (salvo los tribunales)
  2. Las actividades principales requieren una observación habitual y sistemática de interesados a gran escala
  3. Las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos (art. 9) o de datos de condenas penales (art. 10)

La «gran escala» se define en las Directrices WP243 del CEPD según cuatro criterios: número de interesados, volumen de datos, duración del tratamiento y alcance geográfico. En el e-commerce, las operaciones intensivas en publicidad conductual, los marketplaces y las grandes plataformas minoristas casi siempre alcanzan el umbral de «observación habitual y sistemática a gran escala».

El mito de los 250 empleados

El umbral de «250 empleados», tan citado, se refiere al artículo 30 (registro de actividades de tratamiento), no a la designación del DPD. El artículo 30, apartado 5, exime a las organizaciones con menos de 250 empleados de mantener un registro, pero solo si el tratamiento es ocasional, no incluye categorías especiales de datos y es improbable que suponga un riesgo para los interesados. Para cualquier vendedor de e-commerce activo, esta excepción prácticamente nunca se aplica en la práctica: enviar pedidos a miles de clientes no es, por definición, ocasional.

Requisitos adicionales nacionales

Los Estados miembros pueden imponer requisitos adicionales sobre el DPD. La BDSG alemana, por ejemplo, exige un DPD siempre que 20 o más personas participen de forma continuada en un tratamiento automatizado, un umbral mucho menor que el estándar base del RGPD. Esta es una de las mayores brechas de cumplimiento prácticas entre operaciones de e-commerce alemanas, francesas y españolas de tamaño similar.

Independencia y funciones del DPD

  • Artículo 38 — debe participar en todas las cuestiones relativas a la protección de datos, recibir recursos, informar a la alta dirección y no puede ser destituido por desempeñar sus funciones
  • Artículo 39 — informa y asesora, supervisa el cumplimiento, asesora en las EIPD, coopera con la autoridad de control, actúa como punto de contacto para los interesados
  • Conflictos de interés — el director de marketing o el director de TI normalmente no pueden ser DPD (Directrices WP243 del CEPD; multa de 50.000 € impuesta en 2020 por la autoridad belga a un responsable que había designado como DPD al jefe de cumplimiento, auditoría interna y riesgos)

💡 ¿DPD externo o interno?

Muchas operaciones de e-commerce de la UE con menos de 50 empleados recurren a DPD externos para garantizar claramente la independencia. El panel de Zunapro incluye un campo de contacto del DPD y enruta las solicitudes de los interesados directamente a tu bandeja del DPD.

Configurar el enrutamiento del DPD →

5. Derechos de los interesados — Artículos 15 a 22

Los ocho derechos, en orden

Los derechos del capítulo III son la columna vertebral operativa del RGPD para cualquier negocio orientado al cliente:

  • Derecho a la información (art. 13-14) — se cumple mediante el aviso de privacidad mencionado arriba
  • Derecho de acceso (art. 15) — confirmación del tratamiento + una copia de los datos personales + los metadatos del artículo 13
  • Derecho de rectificación (art. 16) — corregir datos inexactos, completar datos incompletos
  • Derecho de supresión / «derecho al olvido» (art. 17) — seis motivos concretos (ya no son necesarios, se retira el consentimiento, tratamiento ilícito, etc.); no es un derecho absoluto
  • Derecho a la limitación del tratamiento (art. 18) — marcar los datos como «congelados» mientras se resuelve una disputa
  • Derecho a la portabilidad de los datos (art. 20) — recibir los datos personales en un formato estructurado, de uso común y legible por máquina, y transmitirlos a otro responsable
  • Derecho de oposición (art. 21) — al tratamiento basado en interés legítimo o interés público; absoluto en el caso del marketing directo
  • Derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles (art. 22) — excepciones limitadas por contrato, ley o consentimiento explícito

Plazos de respuesta y formato

El artículo 12 establece las reglas operativas:

  • Un mes por defecto — ampliable a dos meses adicionales para solicitudes complejas o numerosas, con notificación motivada al interesado
  • Gratuito — salvo solicitudes «manifiestamente infundadas o excesivas», en cuyo caso se permite cobrar un canon razonable o denegar la solicitud (la carga de la prueba recae en el responsable)
  • Mismo formato que la solicitud — solicitud por correo electrónico, respuesta por correo electrónico; estructurado y legible por máquina en caso de portabilidad
  • Verificación de identidad requerida, pero proporcionada — las comprobaciones de identidad excesivamente gravosas constituyen en sí mismas una infracción (orientación de la CNIL)

Cómo lo operativizan los vendedores de e-commerce

  1. Un buzón DSR dedicado (por ejemplo, [email protected]) enrutado al DPD o al equipo de privacidad
  2. Un flujo de tickets con temporizador SLA de un mes y escalado automático a los 25 días
  3. Un mapa de datos de referencia (el registro del artículo 30) que indique qué sistemas contienen qué datos — Zunapro centraliza esto para marketplaces, tiendas online, CRM y datos de pago
  4. Respuestas plantilladas con los metadatos legalmente exigidos ya cumplimentados
  5. Un registro de auditoría de cada solicitud y respuesta — las autoridades de control suelen pedir los registros DSR de los últimos 12 meses en sus investigaciones

6. Notificación de brechas de seguridad — El plazo de 72 horas (artículos 33-34)

Qué se considera una «violación de datos personales»

El artículo 4, apartado 12, define una violación de la seguridad de los datos personales como «toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos». Existen tres categorías, según las Directrices 9/2022 del CEPD:

  • Violación de confidencialidad — divulgación o acceso no autorizados (típicamente un hackeo o una base de datos filtrada)
  • Violación de integridad — alteración no autorizada de los datos
  • Violación de disponibilidad — pérdida accidental o ilícita de acceso o destrucción (típicamente ransomware)

La notificación a la APD en 72 horas

El artículo 33 exige notificar a la autoridad de control competente «sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella», salvo que sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas físicas. Las notificaciones tardías deben ir acompañadas de los motivos de la dilación. El plazo comienza cuando el responsable tiene un grado razonable de certeza de que se ha producido una violación, no en el momento de la primera alerta vaga.

La notificación a los clientes en caso de «alto riesgo»

El artículo 34 impone un deber paralelo de notificar a las personas afectadas «sin dilación indebida» cuando la violación entrañe probablemente un alto riesgo para sus derechos y libertades. Excepciones: datos cifrados, medidas de mitigación aplicadas a posteriori, o esfuerzo desproporcionado (en cuyo caso basta una comunicación pública).

Qué debe incluir una notificación de brecha

  • La naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y registros afectados
  • Los datos de contacto del DPD u otro punto de contacto
  • Las posibles consecuencias
  • Las medidas adoptadas o propuestas para poner remedio a la violación y mitigar sus posibles efectos negativos

Patrones habituales de aplicación

Las notificaciones tardías o inexistentes suelen dar lugar a multas con independencia de la brecha subyacente. Ejemplos: Twitter International (ahora X) fue multada con 450.000 € por la DPC irlandesa en 2020 por notificación tardía de una brecha; Uber fue multada con 600.000 € por la AP neerlandesa por no notificar una brecha de 2016 en el plazo de 72 horas tras la entrada en vigor del RGPD. En ambos casos, la brecha técnica en sí era relativamente menor; el fallo de procedimiento fue lo que determinó la multa.

⏱️

Consejo operativo: un manual de respuesta a incidentes documentado, con un reloj de 72 horas, un DPD de guardia designado, una plantilla de notificación a la APD preparada de antemano y las APD de cada Estado miembro previamente mapeadas es el mínimo indispensable. Zunapro registra cada evento de autenticación, cada exportación de datos y cada acción de administración, de modo que el patrón de hechos de las 72 horas se pueda reconstruir en horas, no en días. Ver herramientas de respuesta a brechas →

7. Transferencias transfronterizas — CCT, adecuación y Schrems II

La regla por defecto — Capítulo V

El capítulo V del RGPD (art. 44-50) prohíbe las transferencias de datos personales a un «tercer país» (fuera de la UE/EEE) o a una organización internacional, salvo que se aplique una de tres garantías:

  1. Decisión de adecuación (art. 45) — la Comisión ha decidido formalmente que el tercer país ofrece un nivel de protección «esencialmente equivalente».
  2. Garantías adecuadas (art. 46) — cláusulas contractuales tipo (CCT), normas corporativas vinculantes (BCR), códigos de conducta aprobados o certificaciones.
  3. Excepciones específicas (art. 49) — excepciones limitadas: consentimiento explícito, ejecución de un contrato, interés público importante, intereses vitales.

Decisiones de adecuación vigentes (2026)

En 2026, las decisiones de adecuación totales o parciales cubren: Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, República de Corea (Corea del Sur), Suiza, Reino Unido (renovada en 2025, vigente hasta 2031), Uruguay, y —bajo el Marco de Privacidad de Datos UE-EE. UU. (DPF) adoptado el 10 de julio de 2023— las organizaciones estadounidenses certificadas.

Schrems II y las CCT

El 16 de julio de 2020, el TJUE, en la sentencia Schrems II (C-311/18), invalidó el Privacy Shield UE-EE. UU. y aclaró que las CCT por sí solas no bastan cuando el derecho del tercer país (por ejemplo, la sección 702 de la FISA estadounidense) crea obligaciones contradictorias. Los responsables deben:

  • Usar las nuevas CCT adoptadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, organizadas en cuatro módulos (C2C, C2E, E2E, E2C)
  • Realizar una evaluación de impacto de la transferencia (EIT) del marco jurídico del país de destino
  • Aplicar medidas suplementarias cuando la EIT revele un riesgo —normalmente cifrado de extremo a extremo, seudonimización o medidas contractuales/organizativas (Recomendaciones 01/2020 del CEPD)

El Marco de Privacidad de Datos UE-EE. UU.

El DPF de 2023 restableció un mecanismo de adecuación al estilo Privacy Shield para los destinatarios estadounidenses certificados. Los vendedores que transfieren datos a un encargado estadounidense certificado por el DPF (la mayoría de los grandes hiperescaladores —AWS, Google Cloud, Microsoft Azure— están certificados) no necesitan CCT para ese destinatario en concreto, pero aun así deberían documentar la base utilizada y vigilar posibles litigios: ya hay pendiente una impugnación de tipo «Schrems III» que podría reabrir la cuestión.

Qué implica esto en la práctica

  • Mapea cada subencargado y el país donde realmente se tratan los datos (no solo la dirección de facturación)
  • Firma las CCT de 2021 con los destinatarios sin decisión de adecuación, con el módulo correcto para cada relación
  • Mantén una EIT para cada uno — la mayoría de las CMP y herramientas de gestión de APD ofrecen plantillas
  • Actualiza anualmente o cuando cambie la ley o los subencargados

8. El futuro Reglamento ePrivacy — Qué cambia para las cookies y el marketing

El contexto legislativo

El Reglamento ePrivacy (RePr) fue propuesto por la Comisión en enero de 2017 para sustituir a la Directiva ePrivacy 2002/58/CE (la «Directiva de cookies»). A diferencia de una directiva, se aplicaría directamente, sin transposición nacional, resolviendo el actual mosaico en el que Francia (Deliberación CNIL 2020-091), Alemania (TTDSG/TDDDG), España (LSSI-CE), Italia (directrices Garante 2021 sobre cookies) y otros interpretan de forma distinta el mismo estándar base de la UE.

Qué es probable que quede incluido (situación en 2026)

  • Cookies y tecnologías similares — incluidos el fingerprinting y los identificadores a nivel de SDK
  • Metadatos de las comunicaciones electrónicas — extendiendo la privacidad de las comunicaciones más allá de las operadoras de telecomunicaciones tradicionales, hasta la mensajería OTT
  • Marketing directo — opt-in para el marketing electrónico (correo electrónico, SMS), manteniendo el «opt-in suave» existente para productos similares dentro de la relación con el cliente
  • Señales de consentimiento a nivel de navegador — reconocimiento explícito de señales al estilo «Do Not Track» / Global Privacy Control
  • Comunicaciones no solicitadas — opt-in estricto para B2C, menos estricto para B2B

Lo que no cambia

El RGPD sigue siendo la lex generalis en materia de calidad del consentimiento (art. 4, apartado 11, art. 7). El RePr es lex specialis sobre cuándo se requiere consentimiento para las comunicaciones electrónicas y el seguimiento. Una CMP TCF v2.2 diseñada hoy debería estar preparada para la transición al RePr.

Impacto esperado en el e-commerce

  • Las diferencias nacionales (por ejemplo, los matices de la legislación alemana de telecomunicaciones) se comprimen hacia una única regla en toda la UE
  • Las señales de «Rechazar todo» a nivel de navegador se hacen más difíciles de ignorar — las infraestructuras de analítica y adtech deben respetarlas automáticamente
  • Las normas de marketing B2B pueden divergir más marcadamente del B2C, ya que algunos Estados miembros mantendrán regímenes B2C más estrictos
  • Las campañas de marketing transfronterizas resultan más fáciles de verificar desde el punto de vista del cumplimiento, con una única fuente de verdad

9. Multas — 20 millones de euros o el 4% de la facturación mundial (artículo 83)

Los dos niveles

El artículo 83 establece dos niveles máximos de multa:

  • Nivel 1 — hasta 10 millones de euros o el 2% de la facturación anual mundial, lo que resulte mayor: infracciones de las obligaciones del responsable o del encargado (art. 8, 11, 25-39, 42, 43)
  • Nivel 2 — hasta 20 millones de euros o el 4% de la facturación anual mundial, lo que resulte mayor: infracciones de los principios básicos (art. 5), la base jurídica (art. 6), las condiciones del consentimiento (art. 7), las categorías especiales de datos (art. 9), los derechos de los interesados (art. 12-22) y las transferencias internacionales (art. 44-49)

Cómo calculan la cuantía las APD

El CEPD publicó las Directrices 04/2022 sobre el cálculo de las multas administrativas (adoptadas el 24 de mayo de 2023), que establecen una metodología en cinco pasos:

  1. Identificar las operaciones de tratamiento y aplicar el art. 83, apartado 3, para determinar si procede una o varias multas
  2. Determinar el importe de partida en función de la gravedad de la infracción (art. 83, apartado 2, letras a, b, g)
  3. Aplicar circunstancias agravantes o atenuantes (art. 83, apartado 2, letras c-k)
  4. Garantizar que no se supera el límite dinámico (art. 83, apartados 4-6)
  5. Evaluar la eficacia, proporcionalidad y capacidad disuasoria

El panorama de multas en 2026

Las multas RGPD acumuladas superan los 5.500 millones de euros hasta 2026. Entre las sanciones más destacadas:

  • 1.200 millones de euros — Meta Platforms Ireland (DPC irlandesa, 22 de mayo de 2023) — transferencias ilícitas a EE. UU.
  • 746 millones de euros — Amazon Europe Core (CNPD luxemburguesa, 16 de julio de 2021) — consentimiento en adtech
  • 405 millones de euros — Meta / Instagram (DPC irlandesa, 5 de septiembre de 2022) — datos de menores
  • 390 millones de euros — Meta / Facebook + Instagram (DPC irlandesa, enero de 2023) — base jurídica para la publicidad
  • 345 millones de euros — TikTok (DPC irlandesa, septiembre de 2023) — privacidad de menores
  • 290 millones de euros — Uber B.V. (AP neerlandesa, agosto de 2024) — datos de conductores hacia EE. UU.
  • 225 millones de euros — WhatsApp (DPC irlandesa, septiembre de 2021) — fallos de transparencia

La realidad para las pymes

Las multas más sonadas apuntan a los mayores responsables, pero autoridades como la AEPD imponen habitualmente cientos de multas de entre 1.000 y 50.000 € al año a pymes: las infracciones típicas son la falta de avisos de privacidad, videovigilancia no declarada, cookies ilegales y respuestas tardías a las DSR. Para un vendedor online de la UE con una facturación de 1-10 M€, la exposición realista se sitúa en el rango de 5.000-100.000 € por hallazgo: significativa, pero manejable, siempre que exista un cumplimiento básico.

📊 Previsión del riesgo de multas en el panel

El panel de cumplimiento de Zunapro cruza tus actividades de tratamiento con la metodología de cálculo de multas del CEPD y señala primero las lagunas de mayor riesgo.

Ejecutar evaluación de riesgos →

10. Checklist RGPD para e-commerce + APD nacionales

La checklist operativa de 12 puntos

  1. Designar un responsable y (si procede) un DPD — documentar públicamente la designación y los datos de contacto
  2. Mantener un registro del artículo 30 de actividades de tratamiento, indexado por finalidad, base jurídica, destinatarios, conservación, transferencias
  3. Publicar un aviso de privacidad conforme al RGPD según los art. 13-14 — por capas, redactado con claridad, en el idioma del mercado
  4. Desplegar una CMP compatible con TCF v2.2 con botones «Aceptar todo» / «Rechazar todo» equivalentes e interruptores granulares
  5. Documentar la base jurídica de cada actividad de tratamiento — distinguiendo especialmente contrato, interés legítimo y consentimiento
  6. Firmar DPA (art. 28) con cada encargado — pasarelas de pago, proveedores de hosting, socios logísticos, herramientas de marketing
  7. Configurar flujos de trabajo DSR — art. 15-22, SLA de un mes, verificación de identidad, registro de auditoría
  8. Fijar plazos de conservación y eliminación — datos de pedidos, datos de marketing, datos de registro, datos de pago, cada uno con su propio plazo
  9. Implementar un plan de respuesta a brechas en 72 horas — manual, DPD designado, plantillas para la APD, monitorización
  10. Firmar las CCT de 2021 + realizar EIT para cada transferencia sin decisión de adecuación; apoyarse en el DPF UE-EE. UU. cuando el encargado esté certificado
  11. Realizar EIPD (art. 35) para tratamientos de alto riesgo — elaboración de perfiles, categorías especiales de datos a gran escala, observación sistemática
  12. Formar al personal, registrar las decisiones, documentarlo todo — la responsabilidad proactiva (art. 5, apartado 2) es en sí misma una obligación sustantiva

Autoridades de control nacionales — A quién contactar y cuándo

Estado miembro Autoridad Ciudad Foco de aplicación destacado 2026
Francia CNIL París Cookies, adtech, TCF, multas elevadas
España AEPD Madrid Aplicación en pymes, videovigilancia, retrasos en DSR
Italia Garante Roma IA/ChatGPT, telemarketing, cookies
Alemania — federal BfDI Bonn Organismos federales, telecomunicaciones, correos
Alemania — regional 16 APD regionales Por Land Aplicación en el sector privado (LfDI BW, BlnBDI, HmbBfDI las más activas)
Países Bajos Autoriteit Persoonsgegevens (AP) La Haya Cookie walls, registro de IA, fugas de datos del sector público
Irlanda Data Protection Commission (DPC) Dublín Autoridad principal para las big tech, mayores multas
Hungría NAIH Budapest Videovigilancia, reconocimiento facial, datos de RR. HH.
Bélgica Gegevensbeschermingsautoriteit (APD/GBA) Bruselas Adtech, resoluciones sobre TCF de IAB Europe
Reino Unido ICO (UK GDPR) Wilmslow Adtech, código de protección de menores, directrices sobre IA

Cómo leer la tabla: en los casos transfronterizos se aplica el mecanismo de «ventanilla única» y la autoridad principal es la APD del establecimiento principal del responsable. En las reclamaciones puramente nacionales, se ocupa la APD local. Zunapro guarda por cada cliente una configuración de la autoridad principal, de forma que las reclamaciones de los clientes se enrutan automáticamente.

Cómo poner una tienda Zunapro a punto para el RGPD — Paso a paso

1. Configura el responsable y el DPD

En el panel de Zunapro → Configuración → Privacidad, declara la entidad jurídica responsable, la dirección registrada, el representante en la UE (si estás fuera de la UE) y el contacto del DPD. Estos valores alimentan automáticamente el aviso de privacidad del artículo 13, la primera capa del banner de cookies y la configuración del buzón DSR.

2. Activa la CMP TCF v2.2

  • Activa la plataforma de gestión del consentimiento en Configuración → Cookies
  • Elige el formato (banner, modal, barra) y confirma el trato equivalente de «Aceptar todo» / «Rechazar todo»
  • Selecciona las finalidades 1-11 de la GVL de TCF — Zunapro preselecciona los valores por defecto para e-commerce
  • Confirma el enlace permanente de «Configuración de cookies» en el pie de página

3. Genera el aviso de privacidad del artículo 13

Zunapro genera un aviso multilingüe a partir de los datos introducidos en el paso 1 y de las integraciones que hayas conectado (pasarelas de pago, herramientas de marketing, región de hosting). Revisa, edita la versión localizada por mercado y publica.

4. Configura el flujo de trabajo DSR

  • Configura el buzón de privacidad (o un endpoint de formulario web)
  • Asocia cada derecho (acceso, supresión, etc.) a su SLA y a los sistemas que deben actuar
  • Activa el registro de auditoría

5. Activa la monitorización de brechas + la biblioteca de CCT

Activa el manual de respuesta a incidentes en 72 horas e importa las CCT de 2021 ya firmadas para cada subencargado que opere fuera de la UE/EEE. Zunapro envía recordatorios anuales para actualizar la EIT.

6. Ponlo en marcha

  1. Inicia sesión en Zunapro y abre el módulo de la UE
  2. Activa Privacy Hub en Configuración
  3. Recorre el asistente — responsable, DPD, CMP, aviso de privacidad, DSR, plan de brechas, CCT
  4. Traduce a cada mercado en el que vendas (Zunapro ofrece plantillas en EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
  5. Ponlo en marcha — el primer recorrido completo suele completarse en 10-15 minutos para una única tienda

Pon a punto cada tienda de la UE conforme al RGPD desde un solo panel

CMP TCF v2.2 · Aviso de privacidad del artículo 13 · Flujo de trabajo DSR · Respuesta a brechas en 72 horas · CCT 2021 + EIT · biblioteca de APD ya mapeada para CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Integración en 10 minutos, sin necesidad de demo.

Conectar marketplaces de la UE →

Preguntas frecuentes sobre el RGPD en la UE 2026

¿Qué es el RGPD y desde cuándo es aplicable?

El RGPD es el Reglamento General de Protección de Datos, formalmente el Reglamento (UE) 2016/679. Se adoptó el 27 de abril de 2016 y pasó a ser directamente aplicable en los 27 Estados miembros de la UE y los tres países del EEE (Noruega, Islandia, Liechtenstein) el 25 de mayo de 2018.

Al tratarse de un Reglamento y no de una Directiva, entró en vigor en la misma fecha en todos los Estados miembros, sin necesidad de transposición nacional. Sustituyó a la Directiva de Protección de Datos de 1995 (95/46/CE).

¿Necesito el consentimiento RGPD para las cookies de mi tienda online?

Sí, para cualquier cookie no esencial: analítica, publicidad, personalización, pruebas A/B, contenidos incrustados de terceros. Las cookies estrictamente necesarias (carrito, sesión de inicio, token CSRF) están exentas pero deben documentarse igualmente.

El marco IAB Europe TCF v2.2, obligatorio desde noviembre de 2023, es el estándar para recabar y señalizar el consentimiento. Las casillas premarcadas, los cookie walls sin una opción de rechazo equivalente y considerar «seguir navegando como consentimiento» están explícitamente prohibidos según las directrices del CEPD y las resoluciones de ejecución de la CNIL y la AEPD.

¿Es obligatoria una política de privacidad conforme al RGPD?

Sí. Los artículos 13 y 14 del RGPD exigen que todo responsable —incluido cualquier vendedor de e-commerce— facilite un aviso de privacidad claro y transparente. El contenido obligatorio incluye la identidad del responsable, las finalidades y bases jurídicas del tratamiento, los plazos de conservación, los destinatarios, las transferencias internacionales, los derechos de los interesados y el derecho a presentar una reclamación ante una autoridad de control.

El aviso debe redactarse en lenguaje sencillo, ser fácilmente accesible (normalmente enlazado en el pie de página de cada página) y coincidir con tus actividades de tratamiento reales. Los avisos genéricos que no coinciden con el registro del artículo 30 son un motivo frecuente de sanción.

¿Cuándo debe una empresa de e-commerce designar un DPD?

El artículo 37 del RGPD exige un delegado de protección de datos cuando (a) el tratamiento lo realiza una autoridad pública, (b) las actividades principales requieren una observación habitual y sistemática de interesados a gran escala, o (c) las actividades principales implican el tratamiento a gran escala de categorías especiales de datos o de datos de condenas penales.

El umbral de 250 empleados, tan citado, se refiere al registro del artículo 30, no a la designación de un DPD. En la práctica, la mayoría de los marketplaces, grandes minoristas y operaciones de e-commerce intensivas en publicidad conductual necesitan un DPD con independencia de su plantilla. Las normas nacionales pueden ser más estrictas — la BDSG alemana exige un DPD a partir de 20 personas implicadas en un tratamiento automatizado.

¿Cuáles son los derechos de los interesados según el RGPD?

El capítulo III (artículos 15 a 22) concede ocho derechos: acceso (art. 15), rectificación (art. 16), supresión / derecho al olvido (art. 17), limitación del tratamiento (art. 18), portabilidad de los datos (art. 20), oposición (art. 21) y el derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles (art. 22), además del derecho a la información (art. 13-14).

El artículo 12 establece las reglas operativas: responder en el plazo de un mes, ampliable a dos meses adicionales para solicitudes complejas o numerosas, de forma gratuita salvo que la solicitud sea «manifiestamente infundada o excesiva».

¿Qué es la regla de las 72 horas para notificar brechas de seguridad?

El artículo 33 del RGPD exige a los responsables notificar a la autoridad de control competente una violación de datos personales en el plazo de 72 horas desde que tengan constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas físicas. Cuando exista un riesgo alto, el artículo 34 exige además notificar a los interesados afectados sin dilación indebida.

Las notificaciones tardías o inexistentes suelen dar lugar a multas con independencia de la brecha subyacente — Twitter International (450.000 €, DPC irlandesa 2020) y Uber (600.000 €, AP neerlandesa) son ejemplos bien conocidos.

¿Cómo transfiero datos de clientes de e-commerce fuera de la UE tras la sentencia Schrems II?

Tras Schrems II (TJUE C-311/18, 16 de julio de 2020), el Privacy Shield quedó invalidado. Las transferencias a un tercer país requieren ahora bien (i) una decisión de adecuación de la Comisión —que actualmente cubre al Reino Unido, Suiza, Japón, Corea del Sur, Canadá (organizaciones comerciales), Israel y otros, además del Marco de Privacidad de Datos UE-EE. UU. adoptado en julio de 2023—, bien (ii) las cláusulas contractuales tipo de 2021 junto con una evaluación de impacto de la transferencia y medidas técnicas suplementarias.

El cifrado de extremo a extremo, la seudonimización y las medidas contractuales/organizativas son las garantías suplementarias más habituales (Recomendaciones 01/2020 del CEPD).

¿Cómo cambiará el Reglamento ePrivacy las normas sobre cookies?

El Reglamento ePrivacy, destinado a sustituir a la Directiva ePrivacy de 2002/2009 (Directiva 2002/58/CE, la «Directiva de cookies»), lleva negociándose desde 2017. Una vez adoptado, armonizará las normas sobre cookies, marketing electrónico y metadatos en toda la UE a nivel de reglamento, sustituyendo el actual mosaico de leyes nacionales.

La previsión actual para 2026 apunta a su finalización bajo el nuevo mandato de la Comisión. Hasta entonces, las leyes nacionales de ePrivacy (LCEN francesa / Deliberación CNIL 2020-091, TTDSG/TDDDG alemana, LSSI-CE española, directrices Garante 2021 sobre cookies en Italia) siguen vigentes junto con el RGPD. Una CMP TCF v2.2 es compatible de cara al futuro con el borrador del RePr.

¿A cuánto ascienden las multas del RGPD y quién las impone?

El artículo 83 del RGPD establece dos niveles: hasta 10 millones de euros o el 2% de la facturación anual mundial (lo que resulte mayor) para infracciones administrativas, y hasta 20 millones de euros o el 4% de la facturación anual mundial para infracciones de los principios básicos, la base jurídica, los derechos de los interesados y las transferencias internacionales.

Las multas las imponen las autoridades de control nacionales — CNIL (Francia), AEPD (España), Garante (Italia), BfDI y las 16 autoridades regionales (Alemania), AP (Países Bajos), NAIH (Hungría), ICO (Reino Unido bajo el UK GDPR), la DPC irlandesa (autoridad principal en la mayoría de los casos de big tech). La mayor multa individual hasta la fecha asciende a 1.200 millones de euros contra Meta Platforms Ireland (DPC irlandesa, mayo de 2023).

¿Cómo es una checklist mínima de RGPD para un vendedor de e-commerce de la UE?

Doce puntos esenciales: (1) designar un responsable y, si procede, un DPD; (2) mantener un registro de actividades de tratamiento conforme al art. 30; (3) publicar un aviso de privacidad conforme al RGPD; (4) implementar el consentimiento de cookies TCF v2.2; (5) documentar la base jurídica de cada actividad de tratamiento; (6) firmar contratos de encargo del tratamiento con cada encargado; (7) configurar flujos de trabajo para las solicitudes de los interesados con plazos definidos; (8) fijar plazos de conservación y eliminación; (9) implementar un plan de respuesta a brechas en 72 horas; (10) disponer de CCT de 2021 y EIT para las transferencias sin decisión de adecuación; (11) realizar EIPD para los tratamientos de alto riesgo; (12) formar al personal y documentarlo todo.

¿Se aplica el RGPD a vendedores de fuera de la UE que envían a la UE?

Sí. El artículo 3, apartado 2, del RGPD tiene alcance extraterritorial: todo responsable o encargado situado fuera de la UE que ofrezca bienes o servicios a interesados en la UE/EEE, o que observe su comportamiento, está sujeto al RGPD.

Los vendedores de fuera de la UE deben, en la mayoría de los casos, designar un representante en la UE conforme al artículo 27 — una persona física o jurídica establecida en la UE que actúa como punto de contacto para las autoridades de control y los interesados. Por tanto, las operaciones de e-commerce de Turquía, Reino Unido, EE. UU. y Asia que venden de forma transfronteriza a la UE necesitan cumplir el RGPD y, normalmente, designar un representante conforme al art. 27.

¿Cuál es la diferencia entre un responsable y un encargado del tratamiento?

El responsable determina los fines y los medios del tratamiento — normalmente, el propio vendedor de e-commerce. El encargado trata los datos personales por cuenta del responsable siguiendo instrucciones documentadas — típicamente pasarelas de pago, socios logísticos, herramientas de marketing, proveedores de hosting.

El artículo 28 exige un contrato de encargo del tratamiento (DPA) por escrito entre ambos, que cubra el objeto, la duración, la naturaleza, la finalidad, las categorías de datos y las obligaciones del responsable y del encargado (incluida la autorización de subencargados, la notificación de brechas al responsable y la eliminación/devolución de los datos al finalizar el servicio).

¿Cuánto tarda en ponerse conforme con el RGPD una tienda Zunapro?

Unos 10 minutos para la capa técnica. Zunapro ofrece tiendas listas para el RGPD con una plataforma de gestión del consentimiento compatible con TCF v2.2, plantillas de aviso de privacidad del artículo 13 en 12 idiomas de la UE, flujos de trabajo para solicitudes de los interesados, reglas de conservación configurables, herramientas automatizadas de notificación de brechas y CCT de 2021 ya firmadas para los subencargados.

El trabajo restante es más de política interna que de código: documentar tus bases jurídicas por actividad de tratamiento, completar tu registro del artículo 30 y ajustar los datos de contacto de tu autoridad de control. La mayoría de los vendedores completan el primer recorrido completo en una tarde y luego van iterando.

Lanza tu infraestructura de e-commerce en la UE — conforme al RGPD desde el primer momento

Reglamento (UE) 2016/679 · Consentimiento de cookies TCF v2.2 · Aviso de privacidad del artículo 13 · 8 derechos de los interesados · Respuesta a brechas en 72 horas · CCT 2021 + EIT · biblioteca de APD ya mapeada para CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Un panel, todas las tiendas de la UE, todos los marketplaces.

🇪🇺 Lánzate a toda la UE →
Compartir:

¿Necesita ayuda con esto?

Servicio relacionado: E-Commerce

Contacto

Obtenga una consulta gratuita para su proyecto de comercio electrónico.

Chatear por WhatsApp