Resumen ejecutivo RGPD 2026 — Lectura rápida
El RGPD y la LOPDGDD son el marco normativo conjunto en protección de datos del e-commerce español. La AEPD impuso en 2026 más de 78 M€ en sanciones, con multas récord a Vodafone, Iberdrola y CaixaBank. La Guía de Cookies AEPD (enero 2024) prohíbe casillas premarcadas, exige "Aceptar" y "Rechazar" con la misma visibilidad y veta los cookie walls salvo modelo "pay or okay". Las brechas deben notificarse en 72 horas. Los derechos ARSULIPO se atienden en 1 mes. Si supera 250 empleados o trata categorías especiales, el RAT y la designación de DPO son obligatorios.
1. El marco normativo RGPD + LOPDGDD: cómo encajan en España
El cumplimiento normativo del e-commerce español en protección de datos no descansa sobre una única ley, sino sobre un edificio jurídico en capas: RGPD y LOPDGDD en la base; sobre ellos, LSSI-CE, Directiva ePrivacy y, desde 2024-2026, el DSA y el Reglamento IA. Comprender la articulación es el primer paso para cualquier auditoría AEPD.
El Reglamento General de Protección de Datos (RGPD)
El Reglamento (UE) 2016/679, aplicable desde el 25 de mayo de 2018, es directamente exigible en todos los Estados miembros. Su artículo 3 abarca cualquier tratamiento de datos de interesados en la Unión, aunque el responsable esté fuera. Para un e-commerce con clientes en España, la aplicabilidad es indiscutible.
Los principios del artículo 5 —licitud, lealtad y transparencia; limitación de la finalidad; minimización; exactitud; limitación del plazo; integridad y confidencialidad; responsabilidad proactiva— deben poder demostrarse. La responsabilidad proactiva implica no sólo cumplir, sino poder demostrarlo.
La Ley Orgánica 3/2018 (LOPDGDD)
La LOPDGDD complementa el RGPD donde el reglamento permite a los Estados miembros legislar. Sus aportaciones más relevantes para un e-commerce:
- Edad mínima de consentimiento (art. 7) — 14 años; por debajo, consentimiento de la patria potestad.
- Régimen sancionador (art. 71-78) — infracciones muy graves, graves y leves con plazos propios.
- DPO obligatorio en sectores específicos (art. 34) — financieras, energía, operadoras, centros sanitarios.
- Derechos digitales (Título X) — desconexión, intimidad laboral, educación digital.
- Datos de personas fallecidas (art. 3) — habilitación a herederos para ejercer derechos.
Las capas complementarias: LSSI-CE, ePrivacy, DSA y Reglamento IA
La Ley 34/2002 (LSSI-CE) regula las comunicaciones comerciales electrónicas (art. 21) y el régimen de cookies (art. 22.2). El Reglamento ePrivacy, en tramitación avanzada en el Consejo de la UE, sustituirá la directiva actual. Desde 2024, el DSA impone a marketplaces obligaciones de trazabilidad de comerciantes, transparencia publicitaria y notificación-acción. El Reglamento IA (UE 2024/1689), en plena aplicación desde el 2 de agosto de 2026 para sistemas de alto riesgo, afecta a chatbots, recomendadores y antifraude.
El papel de la AEPD
La AEPD es la autoridad de control independiente: supervisa, investiga de oficio o por reclamación, sanciona, publica guías y coopera con otras autoridades en el CEPD. Su sede electrónica (sedeagpd.gob.es) centraliza notificaciones de brechas, reclamaciones y comunicaciones.
RGPD — Reglamento General de Protección de Datos
Reglamento (UE) 2016/679 · Aplicable desde 25 de mayo de 2018 · Directamente exigible en todos los Estados miembros
LOPDGDD — Ley Orgánica 3/2018
Ley Orgánica 3/2018, de 5 de diciembre · Complementa el RGPD en España · Garantiza derechos digitales
AEPD — Agencia Española de Protección de Datos
Autoridad de control independiente · sedeagpd.gob.es · Guías, sanciones e inspecciones
ePrivacy + LSSI-CE
Directiva 2002/58/CE y Ley 34/2002 · Cookies, comunicaciones comerciales, datos de tráfico
DSA — Reglamento de Servicios Digitales
Reglamento (UE) 2022/2065 · En aplicación desde 17 de febrero de 2024 · Marketplaces y plataformas
Reglamento IA — UE 2024/1689
Reglamento de Inteligencia Artificial · Alto riesgo aplicable desde 2 agosto 2026 · Chatbots y recomendadores
¿Está listo su e-commerce para una inspección AEPD?
Conecte Zunapro y obtenga RAT, banner de cookies, gestión ARSULIPO, plantillas de aviso de brecha y registro de consentimientos en un único panel. Cumplimiento RGPD+LOPDGDD listo desde el primer día.
2. Las seis bases jurídicas del artículo 6 RGPD aplicadas al e-commerce
Antes de tratar cualquier dato, todo responsable debe identificar y documentar la base jurídica aplicable a esa finalidad. El artículo 6.1 RGPD enumera de forma tasada las seis bases posibles. La elección no es libre ni intercambiable: cada finalidad requiere su base.
a) Consentimiento del interesado (art. 6.1.a)
Debe ser libre, específico, informado e inequívoco, mediante una manifestación o acción afirmativa clara (art. 4.11 RGPD). Las casillas premarcadas, el silencio o la mera continuación de la navegación no son válidos. Debe poder retirarse con la misma facilidad con que se otorgó (art. 7.3). Es la base habitual para newsletters, cookies no técnicas y comunicaciones a no clientes.
b) Ejecución de un contrato (art. 6.1.b)
Base natural para procesar pedidos: nombre, dirección, datos de pago, historial. Cubre también medidas precontractuales (carrito guardado, presupuesto). No requiere consentimiento adicional, pero la información del artículo 13 sigue siendo obligatoria.
c) Obligación legal (art. 6.1.c)
El e-commerce está sujeto a obligaciones legales que justifican tratamientos sin consentimiento: facturación y conservación durante 6 años (Código de Comercio), colaboración con la AEAT, prevención del blanqueo (Ley 10/2010), obligaciones aduaneras. Base robusta pero limitada a lo estrictamente necesario.
d) Intereses vitales y e) Interés público
Excepcionales en e-commerce. Los vitales protegen la vida o integridad (sector sanitario); el público es típico de administraciones.
f) Interés legítimo (art. 6.1.f)
La base más flexible y controvertida. Permite el tratamiento cuando es necesario para los intereses legítimos del responsable, siempre que no prevalezcan los del interesado. Requiere una ponderación documentada (test de tres pasos: legitimidad, necesidad, equilibrio). Usos típicos: marketing a clientes existentes (con derecho de oposición), prevención del fraude, seguridad de la red, analítica agregada.
| Finalidad e-commerce | Base jurídica RGPD | Documentación obligatoria |
|---|---|---|
| Procesar pedido y enviarlo | Contrato (art. 6.1.b) | Política de privacidad |
| Facturación y libros contables | Obligación legal (art. 6.1.c) | Código de Comercio, LGT |
| Cookies técnicas estrictamente necesarias | No requiere base (art. 22.2 LSSI) | Política de cookies |
| Cookies analíticas y publicitarias | Consentimiento (art. 6.1.a) | Banner CMP + registro |
| Newsletter a no clientes | Consentimiento (art. 6.1.a) | Doble opt-in trazable |
| Email marketing a clientes | Interés legítimo + LSSI 21.2 | Test ponderación + opt-out |
| Detección de fraude en pagos | Interés legítimo (art. 6.1.f) | Test ponderación |
| Recomendaciones personalizadas | Consentimiento o interés legítimo | Información clara + opt-out |
| Perfilado para precios dinámicos | Consentimiento (art. 22 RGPD) | Información reforzada |
| Conservación tras la baja del cliente | Obligación legal (prescripción) | Política de plazos |
3. Consentimiento de cookies: la Guía AEPD de 2024 en detalle
Si hay un área donde la AEPD ha incrementado su actividad sancionadora, es la del consentimiento de cookies. La Guía sobre el uso de las cookies de la AEPD de enero de 2024, que actualiza la versión 2020, fija criterios estrictos para el diseño de banners conformes.
Tipología de cookies según la AEPD
La Guía AEPD distingue las siguientes categorías:
- Técnicas estrictamente necesarias — Navegación, carrito, sesión, autenticación. No requieren consentimiento (art. 22.2 LSSI-CE).
- Preferencias o personalización — Idioma, divisa, región. Si son imprescindibles para el servicio solicitado, no requieren consentimiento.
- Analíticas o de medición — Google Analytics, Matomo, Hotjar. Requieren consentimiento, salvo analítica de primera parte estrictamente agregada.
- Publicitarias y de seguimiento conductual — Meta Pixel, Google Ads, TikTok Pixel. Requieren consentimiento expreso; no pueden cargarse antes.
Requisitos del banner de cookies AEPD 2024
La Guía 2024 fija las siguientes obligaciones:
- "Aceptar" y "Rechazar" en el primer nivel — Mismo tamaño, color, posición. Prohibido enterrar "Rechazar" o presentarlo en gris.
- "Configurar" — Granularidad por finalidades y por terceros concretos.
- Información clara previa — Tipos, finalidades, terceros y plazos antes del consentimiento.
- Equivalencia funcional — Si "Aceptar" cierra en un clic, "Rechazar" también; forzar dos clics es sancionable.
- No bloqueo previo — Las cookies no técnicas no pueden cargarse antes del consentimiento.
- Retirada equivalente — Enlace permanente "Configurar cookies" en el pie.
- Trazabilidad — Registros con fecha, hora, versión y finalidades aceptadas o rechazadas.
Cookie walls y modelo "pay or okay"
Los cookie walls están prohibidos, pero la AEPD admite el modelo "pay or okay" siempre que: a) el precio sin trazadores sea razonable; b) las alternativas ofrezcan contenido equivalente; c) se informe con claridad de ambas opciones desde el primer momento. La AEPD ha sancionado varios medios digitales por modelos desequilibrados.
Sanciones por incumplimiento
El régimen se sanciona doblemente: LSSI-CE art. 22 (hasta 30.000 €) y, si hay tratamiento ilícito de datos, RGPD (hasta 20 M€ o 4% facturación). Vueling, Spotify, Google y Glovo han sido multados por banners no conformes.
Auditoría rápida de su banner. Si su banner actual no muestra "Aceptar" y "Rechazar" con el mismo peso visual en el primer nivel, está expuesto a una sanción AEPD. Zunapro incluye un CMP (Consent Management Platform) certificado IAB Europe TCF v2.2 con plantilla AEPD 2024 lista para activar. Ver módulo de cookies →
🍪 Banner de cookies conforme AEPD 2024
CMP integrada con trazabilidad de consentimiento, granularidad por finalidades y bloqueo previo automático de scripts no consentidos. Lista en 5 minutos.
4. Derechos ARSULIPO: cómo gestionar acceso, rectificación, supresión, limitación, portabilidad y oposición
Los derechos del interesado de los artículos 15 a 22 RGPD son uno de los pilares del sistema. En España se conocen por el acrónimo ARSULIPO: Acceso, Rectificación, SUpresión, LImitación, Portabilidad y Oposición. Todo e-commerce debe contar con un procedimiento ágil.
Acceso (art. 15 RGPD)
Derecho a confirmación del tratamiento y a recibir una copia con información sobre fines, categorías, destinatarios, plazos, derechos y origen. Gratuito la primera vez; copias adicionales pueden conllevar tarifa razonable basada en costes administrativos.
Rectificación (art. 16 RGPD)
Corrección de datos inexactos o completado de incompletos. La mayoría se resuelven en el área de cliente sin procedimiento formal.
Supresión o "derecho al olvido" (art. 17 RGPD)
Eliminación cuando los datos ya no son necesarios, se retira el consentimiento, se ejerce oposición o el tratamiento es ilícito. No es absoluto: las obligaciones legales (facturas 6 años, blanqueo 10 años) prevalecen.
Limitación del tratamiento (art. 18 RGPD)
Suspensión temporal mientras se verifica la exactitud, cuando el tratamiento es ilícito pero no se desea supresión, o cuando hay oposición pendiente de resolución.
Portabilidad (art. 20 RGPD)
Aplica a datos facilitados por el interesado tratados por consentimiento o contrato. Derecho a recibirlos en formato estructurado (JSON, CSV) y, cuando sea posible, a transmitirlos directamente a otro responsable. En e-commerce: historial de pedidos, lista de deseos, datos del perfil.
Oposición (art. 21 RGPD)
Oposición al tratamiento por interés legítimo o público, y al marketing directo. Frente al marketing directo, la oposición es absoluta e incondicional: basta la manifestación para que cese cualquier comunicación. Cada email comercial debe incluir enlace de baja visible y funcional.
Decisiones automatizadas (art. 22 RGPD)
Derecho a no ser objeto de decisiones únicamente automatizadas con efectos jurídicos o significativos: scoring crediticio, denegación de pedidos por antifraude, precios dinámicos. Requiere información previa, intervención humana e impugnación.
Plazos y formalidades
Respuesta en un plazo máximo de 1 mes, prorrogable a 2 meses adicionales en casos complejos (con notificación motivada). Gratuita salvo solicitudes manifiestamente infundadas. La verificación de identidad es obligatoria: nunca entregue información sin acreditar quién pregunta.
| Derecho | Plazo respuesta | Forma habitual | Limitaciones |
|---|---|---|---|
| Acceso | 1 mes (+ 2) | Descarga JSON/CSV | Identificación previa |
| Rectificación | 1 mes | Área de cliente | Datos veraces |
| Supresión | 1 mes | Anonimización + log | Obligaciones legales |
| Limitación | 1 mes | Bloqueo del registro | Hasta resolución |
| Portabilidad | 1 mes | JSON estructurado | Solo datos facilitados |
| Oposición marketing | Inmediato | Enlace de baja | Incondicional |
📥 Automatice las solicitudes ARSULIPO
Formulario integrado en su web, verificación de identidad, generación automática de informes de acceso, exportación JSON para portabilidad y registro auditable para la AEPD.
5. Registro de Actividades de Tratamiento (RAT): qué documentar y cómo
El RAT, regulado en el artículo 30 RGPD, es el inventario interno exhaustivo de todos los tratamientos de la organización. Es la espina dorsal del principio de responsabilidad proactiva: si la AEPD inspecciona, será el primer documento que solicite.
¿Quién está obligado?
Obligatorio para empresas con más de 250 empleados y, para empresas menores, cuando el tratamiento no sea ocasional, incluya categorías especiales o pueda suponer riesgo. En la práctica, todo e-commerce con clientes recurrentes debe mantener RAT: su tratamiento no es ocasional por definición.
Contenido mínimo del RAT (art. 30.1)
- Nombre y contacto del responsable, corresponsable, representante y DPO
- Finalidades del tratamiento
- Categorías de interesados y de datos personales
- Categorías de destinatarios, incluidos terceros países
- Transferencias internacionales con la garantía aplicable
- Plazos de supresión por categorías de datos
- Descripción de las medidas técnicas y organizativas (art. 32 RGPD)
Contenido del RAT del encargado (art. 30.2)
Si su empresa actúa como encargado (SaaS que trata datos de clientes de otra empresa), el RAT debe contener: identificación de encargado y responsable, categorías de tratamientos por cuenta de cada responsable, transferencias internacionales y medidas de seguridad.
Buenas prácticas
- Granularidad por finalidad — Un registro por cada finalidad (pedidos, marketing, fidelización, antifraude), no uno genérico.
- Versionado y fechas — Cada actualización fechada y firmada.
- Vinculación con la política de privacidad — Las finalidades del RAT deben coincidir con las divulgadas en la política pública.
- Revisión anual — Mínimo una revisión anual completa, más actualizaciones puntuales.
- Formato accesible — La AEPD acepta electrónico estructurado; Facilita RGPD es válido para microempresas.
6. Delegado de Protección de Datos (DPO): cuándo es obligatorio y qué hace
El DPO es una figura clave del RGPD: asesora al responsable, supervisa la aplicación de las políticas internas, coopera con la AEPD y es punto de contacto para los interesados.
Supuestos de designación obligatoria
El artículo 37 RGPD obliga a designar DPO cuando: el tratamiento lo lleva a cabo una autoridad pública; las actividades principales requieren observación habitual y sistemática a gran escala; o se tratan a gran escala categorías especiales de datos o relativos a condenas penales.
El artículo 34 LOPDGDD amplía la lista en España: colegios profesionales, centros docentes, sector eléctrico/gas/agua, entidades financieras, aseguradoras, operadoras, centros sanitarios.
¿Y los e-commerce típicos?
La mayoría de e-commerce de tamaño medio no están estrictamente obligados, pero la AEPD recomienda la designación voluntaria por sus ventajas: refuerzo de cultura de cumplimiento, interlocución profesional con la AEPD, anticipación de inspecciones. Conlleva las mismas obligaciones formales que la obligatoria.
Características del DPO
- Cualificación profesional — Conocimientos especializados en derecho y práctica de protección de datos. La AEPD ofrece un esquema voluntario de certificación.
- Independencia funcional — No puede recibir instrucciones sobre sus funciones; reporta al máximo nivel directivo.
- Compatibilidad y conflicto de intereses — No puede ser DPO quien decida sobre los fines y medios del tratamiento (CEO, CFO, director de marketing o de IT).
- Interno o externo — Empleado o profesional externo contratado por servicios.
- Notificación a la AEPD — Datos de contacto en la sede electrónica y en la política de privacidad.
👤 ¿Necesita DPO para su e-commerce?
Zunapro pone a su disposición un panel para gestionar la designación, notificación AEPD y registro de actividades del DPO. Plantillas de informes de cumplimiento y trazabilidad listas para inspección.
7. Brechas de seguridad: notificación a la AEPD en 72 horas y comunicación al interesado
Una brecha de seguridad es, según el artículo 4.12 RGPD, toda violación que ocasione destrucción, pérdida, alteración o acceso no autorizado a datos personales. Es uno de los focos prioritarios de supervisión de la AEPD.
Tipología
- Confidencialidad — Acceso no autorizado (intrusión, mal envío, robo de portátil).
- Integridad — Alteración no autorizada o accidental.
- Disponibilidad — Pérdida del acceso (ransomware, borrado, fallo de backup).
El plazo de 72 horas (art. 33 RGPD)
El responsable debe notificar la brecha a la AEPD sin dilación indebida y, a más tardar, en 72 horas desde su conocimiento, salvo que sea improbable que constituya riesgo. Si supera 72 horas, debe motivar el retraso.
La notificación se realiza por el formulario telemático de la sede AEPD y debe contener: naturaleza, categorías y número aproximado de afectados, datos de contacto del DPO, consecuencias probables y medidas adoptadas.
Comunicación al interesado (art. 34 RGPD)
Cuando la brecha entrañe alto riesgo (contraseñas en claro, datos bancarios, salud), debe comunicarse al interesado sin dilación en lenguaje claro. Puede evitarse si los datos estaban cifrados con tecnología adecuada, si se han adoptado medidas que eliminen el riesgo, o si supone esfuerzo desproporcionado (comunicación pública equivalente).
Registro interno obligatorio (art. 33.5 RGPD)
Toda brecha, sea notificable o no, debe documentarse internamente con hechos, efectos y medidas correctoras. Este registro es escrutado en cualquier inspección AEPD.
Sanciones típicas por gestión deficiente de brechas
- BBVA — 5 M€ (2020) bases de datos compartidas
- CaixaBank — 6 M€ (2021) información insuficiente
- Vodafone — 3,9 M€ (2021) brecha 9.000 clientes
- Iberdrola — 2,5 M€ (2024) oposición al marketing
- Air Europa — 600.000 € (2021) tarjetas de 489.000 clientes
72 horas es un plazo muy corto. Sin un plan de respuesta preparado de antemano, es imposible cumplirlo. Zunapro incluye un workflow de gestión de brechas con detección automática, plantilla de notificación AEPD pre-rellenada y comunicación masiva al interesado. Ver módulo de brechas →
8. Régimen sancionador AEPD 2026: cuantías, tendencias y casos reales
La actividad sancionadora de la AEPD ha crecido año tras año. En 2026 la agencia impuso más de 78 millones de euros, con más de 15.000 reclamaciones y resolución media de 8-12 meses.
Tramos de sanción del RGPD (art. 83)
Criterios de graduación (art. 83.2 RGPD)
- Naturaleza, gravedad y duración de la infracción
- Intencionalidad o negligencia
- Medidas paliativas adoptadas
- Responsabilidad técnica y organizativa
- Infracciones previas y cooperación con la AEPD
- Categorías de datos y forma en que se conoció
- Adhesión a códigos de conducta o certificaciones
Sanciones AEPD destacadas 2023-2026
| Entidad | Importe | Año | Motivo principal |
|---|---|---|---|
| Google LLC | 10.000.000 € | 2022 | Cesión a terceros y derechos del interesado |
| CaixaBank | 6.000.000 € | 2021 | Información insuficiente en consentimientos |
| BBVA | 5.000.000 € | 2020 | Bases de datos compartidas y trazabilidad |
| Spotify AB | 5.000.000 € | 2023 | Falta de transparencia y derechos de acceso |
| Vodafone España | 3.940.000 € | 2021 | Brecha + marketing no consentido |
| Iberdrola | 2.500.000 € | 2024 | Oposición a marketing y consentimiento |
| Glovo | 2.000.000 € | 2023 | Cookies y consentimiento |
| Telefónica | 1.500.000 € | 2023 | Spam telefónico y consentimiento |
| Air Europa | 600.000 € | 2021 | Brecha datos tarjetas 489K clientes |
Tendencias 2026
- Foco en cookies y banners — Tras la Guía 2024, multitud de PYMEs han recibido apercibimientos y sanciones.
- Marketing telefónico y SMS no solicitado — Sanciones recurrentes desde la LGT 2022 que prohíbe llamadas comerciales no consentidas.
- Brechas mal gestionadas — Incumplimiento de las 72 horas o de la comunicación al interesado en alto riesgo.
- Transferencias internacionales — Tras Schrems II y el DPF, la AEPD vigila las garantías a Estados Unidos.
- Decisiones automatizadas e IA — Criterios coordinados con el Reglamento IA aplicable desde agosto de 2026.
🛡️ Reduzca su exposición a sanciones AEPD
Pack de cumplimiento integral incluido sin coste adicional: RAT, banner cookies AEPD 2024, gestión ARSULIPO, notificación de brechas, registro de consentimientos y plantillas legales actualizadas.
9. Transferencias internacionales: Estados Unidos, Reino Unido y resto del mundo
Cualquier e-commerce moderno utiliza cloud, analítica, pagos o SaaS con servidores fuera del EEE. Estas transferencias internacionales están reguladas en los artículos 44 a 50 RGPD y son una de las áreas técnicamente más complejas.
Países con decisión de adecuación
Territorios reconocidos por la Comisión con protección "esencialmente equivalente" — las transferencias no requieren garantías adicionales: Andorra, Argentina, Canadá (parcial), Feroe, Guernsey, Isla de Man, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido, Corea del Sur, Suiza, Uruguay. Estados Unidos sólo para entidades certificadas en el DPF (julio 2023).
El EU-US Data Privacy Framework (DPF)
Tras la invalidación del Privacy Shield por Schrems II (TJUE, 2020), la Comisión adoptó en julio de 2023 una decisión de adecuación basada en el DPF. Los proveedores estadounidenses se auto-certifican; lista pública en dataprivacyframework.gov. Grandes proveedores certificados: Google, Microsoft, AWS, Meta, Stripe, HubSpot, Salesforce, Mailchimp, Zendesk. La certificación es por finalidad y filial específica: verifique siempre el alcance.
Cláusulas Contractuales Tipo (SCC)
Para países sin adecuación o proveedores no DPF, las SCC aprobadas por la Comisión en junio de 2021 son la garantía estándar. Cuatro módulos según relación responsable-encargado-subencargado. Deben acompañarse de una Transfer Impact Assessment (TIA) que valore el marco jurídico de destino y las medidas complementarias (cifrado, seudonimización, controles de acceso).
Reglas Corporativas Vinculantes (BCR)
Políticas internas para transferencias intragrupo en multinacionales. Requieren aprobación de la autoridad principal coordinada con el CEPD. Proceso largo (12-24 meses); en la práctica habitual sólo en grandes grupos.
Casos especiales
- Reino Unido — Decisión de adecuación vigente desde 2021. Transferencias a UK tratadas como intra-UE.
- China, Rusia, India, Turquía — Sin decisión de adecuación. Requieren SCC + TIA reforzado.
- Marketplaces extra-UE — Las transferencias derivadas de operaciones logísticas y de pago son un foco de inspección AEPD en 2026.
10. Evaluaciones de Impacto (DPIA), seguridad técnica y plan de cumplimiento
Cerramos con dos piezas que culminan el cumplimiento: la Evaluación de Impacto (DPIA) y las medidas técnicas y organizativas del artículo 32 RGPD.
¿Cuándo es obligatoria una DPIA?
El artículo 35 RGPD obliga a realizar DPIA cuando un tratamiento sea probable que entrañe alto riesgo. La AEPD ha publicado una lista de tipos que la requieren, entre ellos en e-commerce:
- Observación, seguimiento o evaluación sistemática (perfilado avanzado)
- Tratamientos a gran escala de categorías especiales
- Decisiones automatizadas con efectos jurídicos (scoring, antifraude)
- Tecnologías innovadoras (IA generativa, biometría, IoT)
- Combinación de datos de diversas fuentes (data lakes, CDP)
Contenido mínimo de una DPIA (art. 35.7 RGPD)
- Descripción sistemática de las operaciones y fines
- Evaluación de necesidad y proporcionalidad
- Evaluación de riesgos para los derechos del interesado
- Medidas previstas para afrontar los riesgos y garantías de seguridad
Medidas técnicas y organizativas del artículo 32 RGPD
El responsable y el encargado deben aplicar medidas adecuadas al riesgo. La AEPD valora especialmente:
- Seudonimización y cifrado — En reposo (AES-256) y en tránsito (TLS 1.2/1.3).
- Confidencialidad, integridad, disponibilidad y resiliencia — Capacidad de recuperación frente a incidentes (RTO/RPO documentados).
- Verificación regular — Auditorías periódicas y pruebas de penetración.
- Mínimo privilegio — Gestión de accesos por roles y registro de actividad (logs).
- Formación periódica del personal y, en sector público, certificación ENS.
Plan de cumplimiento RGPD en 10 pasos para un e-commerce español 2026
- Diagnóstico inicial — Gap analysis frente al RGPD y la LOPDGDD.
- DPO o coordinador interno — Notificación a la AEPD si procede.
- RAT — Un registro por finalidad, vinculado a la política de privacidad.
- Política de privacidad — Conforme al artículo 13 RGPD, lenguaje claro.
- Banner cookies AEPD 2024 — CMP granular, rechazar al mismo nivel, trazabilidad.
- ARSULIPO — Formulario, respuesta en 1 mes, verificación de identidad, registro auditable.
- Plan de brechas — Detección, notificación AEPD en 72 horas, comunicación al interesado.
- Contratos de encargado — Artículo 28 RGPD con todos los proveedores cloud, SaaS y logísticos.
- Transferencias internacionales — DPF, SCC, BCR, TIA según corresponda.
- Formación, auditoría y mejora — Plan anual, auditoría interna semestral.
Cumplimiento RGPD + LOPDGDD en un único panel
RAT, CMP cookies AEPD 2024, gestión ARSULIPO, notificación de brechas, plantillas legales y trazabilidad para inspección AEPD. Activación en 10 minutos, integración con su catálogo y CRM existentes.
Activar cumplimiento RGPD →Preguntas frecuentes sobre RGPD y LOPDGDD para e-commerce en España 2026
¿Qué es el RGPD y cómo se relaciona con la LOPDGDD en España?
El RGPD (Reglamento General de Protección de Datos, UE 2016/679) es la norma europea directamente aplicable desde el 25 de mayo de 2018. No requiere transposición: es exigible en todos los Estados miembros tal cual.
La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre) es la ley española que complementa y desarrolla el RGPD, regulando aspectos específicos como la edad mínima de consentimiento (14 años), los derechos digitales y las garantías para los trabajadores. Ambas normas se aplican conjuntamente a cualquier e-commerce que trate datos de residentes en España.
¿Cuál es la sanción máxima por incumplir el RGPD en España en 2026?
Las sanciones del RGPD se dividen en dos tramos:
- Hasta 10 millones de euros o el 2% del volumen de negocio anual mundial (la cifra mayor) para infracciones del artículo 83.4 RGPD
- Hasta 20 millones de euros o el 4% del volumen de negocio anual mundial (la cifra mayor) para infracciones del artículo 83.5 RGPD
La AEPD ha impuesto multas superiores a los 5 millones de euros a empresas como Vodafone España, Iberdrola y CaixaBank por incumplimientos relacionados con consentimiento, brechas de seguridad y marketing directo no autorizado.
¿Es obligatorio tener Delegado de Protección de Datos (DPO) en un e-commerce español?
El nombramiento de DPO es obligatorio cuando el tratamiento principal consiste en operaciones que requieran observación habitual y sistemática de interesados a gran escala, o cuando se traten categorías especiales de datos a gran escala. Para la mayoría de e-commerce con tráfico moderado no es estrictamente obligatorio, pero la AEPD recomienda su designación voluntaria.
La LOPDGDD añade supuestos adicionales (artículo 34): entidades financieras, distribuidoras de energía, operadoras de telecomunicaciones, centros sanitarios, colegios profesionales, prestadores de servicios de la sociedad de la información que perfilen usuarios a gran escala, etc.
¿Cómo debe ser un banner de cookies conforme a la AEPD en 2026?
Según la Guía de Cookies de la AEPD (versión enero 2024), el banner debe permitir aceptar todas, rechazar todas y configurar con la misma facilidad visual (mismo tamaño, color y posición). Los botones de "Aceptar" y "Rechazar" deben aparecer en el primer nivel del banner.
El consentimiento debe ser granular por finalidades (técnicas, analíticas, publicitarias, de personalización). Las cookies no técnicas no pueden cargarse antes de obtener consentimiento expreso. Las paredes de cookies (cookie walls) que obligan a aceptar para acceder al contenido están prohibidas, salvo que se ofrezca una alternativa equivalente (modelo pay or okay) y proporcionada.
¿Qué son los derechos ARSULIPO y cómo gestionarlos?
ARSULIPO es el acrónimo de los derechos del interesado bajo el RGPD: Acceso, Rectificación, SUpresión (al olvido), LImitación, Portabilidad y Oposición.
Todo e-commerce debe habilitar un canal sencillo (formulario, email, área de cliente) para que el usuario ejerza estos derechos, con respuesta en un plazo máximo de 1 mes, prorrogable a 2 meses adicionales en casos complejos. La respuesta debe ser gratuita salvo solicitudes manifiestamente infundadas o excesivas. Zunapro automatiza la gestión ARSULIPO con plantillas legales y trazabilidad para auditoría AEPD.
¿Cuándo hay que notificar una brecha de seguridad a la AEPD?
Toda brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de las personas físicas debe notificarse a la AEPD en un plazo máximo de 72 horas desde su conocimiento, usando el formulario telemático de la sede electrónica.
Si la brecha conlleva alto riesgo (filtración de contraseñas en claro, datos bancarios, datos de salud), también debe comunicarse a los interesados afectados sin dilación indebida y en lenguaje claro. El registro interno de todas las brechas (notificadas o no) es obligatorio según el artículo 33.5 del RGPD.
¿Qué información debe contener la política de privacidad de un e-commerce?
Conforme al artículo 13 RGPD: identidad y contacto del responsable y del DPO; finalidades y base jurídica; destinatarios y transferencias internacionales; plazos de conservación; derechos ARSULIPO; derecho a reclamar ante la AEPD; origen de los datos (art. 14); existencia de decisiones automatizadas o perfilado.
Debe redactarse en lenguaje claro, sencillo y accesible (art. 12 RGPD), evitando jerga jurídica innecesaria.
¿Las transferencias de datos a Estados Unidos son legales en 2026?
Sí, mediante el EU-US Data Privacy Framework (DPF) en vigor desde julio de 2023 y ratificado por la Comisión Europea. Los proveedores estadounidenses certificados en el DPF (lista pública en dataprivacyframework.gov) pueden recibir datos sin necesidad de cláusulas contractuales tipo adicionales.
Para proveedores no certificados, siguen siendo necesarias las Cláusulas Contractuales Tipo (SCC) actualizadas en 2021 y una evaluación de impacto de la transferencia (TIA). El marco está bajo revisión jurisprudencial constante en el TJUE; un eventual "Schrems III" podría modificar el panorama.
¿Qué es el Registro de Actividades de Tratamiento (RAT) y quién debe llevarlo?
El Registro de Actividades de Tratamiento (RAT), regulado en el artículo 30 del RGPD, es un inventario interno de todos los tratamientos de datos que realiza el responsable.
Es obligatorio para todas las empresas con más de 250 empleados y para empresas más pequeñas cuando el tratamiento no sea ocasional, incluya categorías especiales o pueda suponer un riesgo. En la práctica, todo e-commerce con clientes recurrentes debe mantener un RAT actualizado. Debe estar disponible inmediatamente si la AEPD lo solicita en una inspección.
¿El consentimiento marcado por defecto en una casilla es válido?
No. El RGPD exige consentimiento libre, específico, informado e inequívoco mediante una manifestación o acción afirmativa clara del interesado. Las casillas premarcadas, el silencio o la inacción no constituyen consentimiento válido (sentencia TJUE C-673/17 Planet49 y artículo 4.11 RGPD).
Esto aplica a la suscripción a newsletters, a cookies no técnicas y a cualquier tratamiento basado en consentimiento. El consentimiento debe poder retirarse con la misma facilidad con que se otorgó (art. 7.3 RGPD).
¿Qué bases jurídicas puede usar un e-commerce para tratar datos de clientes?
El artículo 6 del RGPD enumera seis bases: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público e interés legítimo.
Para un e-commerce típico: la compraventa se basa en la ejecución del contrato; la facturación en obligación legal; el marketing por email a clientes en interés legítimo (con derecho de oposición); las cookies analíticas y publicitarias en consentimiento; y la prevención del fraude en interés legítimo. Cada finalidad requiere una base jurídica específica y debe documentarse en el RAT y en la política de privacidad.
¿Cuánto cuesta cumplir el RGPD para un e-commerce mediano en España?
Una auditoría inicial para un e-commerce mediano (10.000-100.000 clientes) oscila entre 1.500 y 5.000 €. El mantenimiento anual (DPO externo, CMP, formación) ronda los 3.000-8.000 €. Sin embargo, una sanción media de la AEPD supera los 50.000 €, sin contar el daño reputacional. Zunapro incluye el pack de cumplimiento RGPD (banner cookies, ARSULIPO, RAT, plantillas de brecha) sin coste adicional.
¿Cómo afecta el Reglamento de Servicios Digitales (DSA) a mi e-commerce?
El DSA (UE 2022/2065), aplicable desde el 17 de febrero de 2024, afecta a marketplaces, intermediarios y servicios de alojamiento. Obligaciones principales: trazabilidad de comerciantes (KYBC), transparencia publicitaria, notificación-acción y obligaciones reforzadas para VLOPs.
Para un e-commerce monomarca, el impacto directo es menor; si opera con vendedores de terceros (marketplace), las obligaciones se suman a las del RGPD.
¿Y el Reglamento de Inteligencia Artificial (AI Act) en mi e-commerce?
El Reglamento IA (UE 2024/1689) entra en plena aplicación para sistemas de alto riesgo el 2 de agosto de 2026. Afecta a IA para perfilado y scoring, decisiones automatizadas con efectos jurídicos, biometría, chatbots (transparencia) y recomendadores.
Las sanciones por IA prohibida alcanzan los 35 millones de euros o el 7% de facturación mundial. Se integra con el RGPD (art. 22) y el DSA.
¿Cuánto tiempo lleva implementar un programa de cumplimiento RGPD con Zunapro?
Aproximadamente 10 minutos para activar el banner CMP, el formulario ARSULIPO, las plantillas de RAT y la trazabilidad de consentimientos. La integración con catálogo, CRM y pasarelas existentes suele completarse en menos de una hora.
El módulo está incluido sin coste adicional en cualquier plan Zunapro España. Las plantillas legales se actualizan automáticamente cuando la AEPD publica nuevas guías o el RGPD se modifica.
Active el cumplimiento RGPD + LOPDGDD en su e-commerce hoy
RAT · Banner cookies AEPD 2024 · Gestión ARSULIPO · Notificación de brechas · Plantillas legales · Trazabilidad para inspección AEPD — todo integrado en un único panel. Sin demos obligatorias, sin contratos largos. Empiece su programa de cumplimiento en 10 minutos.
🇪🇸 Activar cumplimiento ahora →¿Necesita ayuda con esto?
Servicio relacionado: E-Commerce