Lista de verificación RGPD para sitios web — los puntos que realmente afectan a tu web | Scanthra

Scanthra · 7 min de lectura · Actualizado Mayo de 2026

¿A quién se aplica el RGPD?

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) —conocido en español como RGPD (GDPR) — se aplica cuando tratas datos personales de personas que se encuentran físicamente en la UE/EEE, aunque tu negocio esté registrado en otro lugar. Una tienda estadounidense que vende a alemanes, un freelancer polaco con clientes franceses, una consultoría suiza que capta leads de la UE — todos están en el ámbito de aplicación.

«Datos personales» es más amplio de lo que la mayoría imagina: nombre, correo electrónico, dirección IP, identificadores de cookies, huellas digitales de dispositivos. Así que prácticamente cualquier sitio web los maneja.

1. Aviso de privacidad (Art. 13)

Debes decirle a las personas qué datos recopilas, por qué, sobre qué base legal, durante cuánto tiempo y cuáles son sus derechos. En lenguaje claro, en una página enlazada desde todas las demás (el pie de página es el lugar habitual).

Secciones mínimas que incluir:

• Identidad del responsable + datos de contacto.
• Finalidades del tratamiento y base legal (consentimiento / contrato / interés legítimo / obligación legal).
• Categorías de datos y destinatarios (proveedores de analítica, servicio de correo, alojamiento).
• Plazos de conservación.
• Derechos del interesado (acceso, rectificación, supresión, portabilidad, oposición) y cómo ejercerlos.
• Si los datos salen de la UE/EEE y qué garantías se aplican (cláusulas contractuales tipo, decisión de adecuación).
• El derecho a presentar una reclamación ante una autoridad de control.

2. Banner de cookies (ePrivacy + RGPD)

Las cookies no esenciales (analítica, anuncios, píxeles de marketing) requieren consentimiento previo, informado y libremente dado. La oleada de sanciones de 2024–2025 en toda la UE aclaró qué significa eso en la práctica:

• «Rechazar todo» debe ser tan fácil como «Aceptar todo» — misma pantalla, misma prominencia. Sin patrones oscuros.
• Sin seguimiento antes de que el usuario elija. No lances Google Analytics al cargar la página.
• Las cookies esenciales (sesión, CSRF, preferencia de idioma) están bien sin consentimiento — pero sé honesto sobre cuáles son realmente esenciales.
• Vuelve a preguntar cada 6–12 meses; el consentimiento no dura para siempre.

La mayoría de las plataformas de gestión del consentimiento (Cookiebot, Iubenda, alternativas gratuitas como Klaro) hacen esto correctamente de forma predeterminada. El problema detectado más común es que la gente lanza GTM antes de que el banner devuelva «aceptar».

3. Canal para solicitudes de los interesados

Un usuario debe poder solicitar el acceso, la corrección o la eliminación de sus datos. Tienes 30 días para responder (Art. 12(3)). Para la mayoría de los sitios pequeños, un simple formulario o una dirección de correo electrónico son suficientes — lo que importa es que el canal exista, sea fácil de encontrar y esté supervisado.

Scanthra tiene su propio formulario de solicitud de eliminación de datos como ejemplo público.

4. HTTPS en todas partes (Art. 32)

El artículo 32 exige «medidas técnicas adecuadas» para proteger los datos personales. Un formulario de inicio de sesión, un formulario de contacto o una caja de pago transmitidos por HTTP es la forma más fácil de demostrar un fallo en las «medidas adecuadas». El TLS/SSL (cifrado) moderno es gratuito (Let's Encrypt) y se activa con un comando en la mayoría de los entornos. Consulta nuestra guía de TLS para los detalles.

5. Plan de notificación de brechas (Art. 33–34)

Si es probable que una brecha suponga un riesgo para los derechos y libertades de las personas, debes notificar a tu autoridad de control en 72 horas desde que tengas conocimiento. Si el riesgo es alto, también debes notificar a los afectados «sin dilación indebida».

Los requisitos previos a nivel de sitio web:

• Una página o enlace en el pie que explique cómo los usuarios pueden reportar un problema de seguridad (consulta nuestra guía de security.txt).
• Un manual interno que defina «qué tipo de incidente activa una notificación de 72 horas» — para no desperdiciar las primeras 24 horas debatiéndolo.
• Una relación con el portal de tu autoridad de control (p. ej., CNIL, BfDI, UODO, Garante, AEPD) — registrada antes de que la necesites.

6. Registro de actividades de tratamiento (Art. 30)

No es visible en el sitio web, pero está impulsado por él. Debes mantener un registro escrito de cada forma en que tratas datos personales: el formulario de contacto, el boletín, el sistema de reservas, la analítica, el píxel de remarketing, el chat de soporte. Cada entrada lista la finalidad, las categorías, los destinatarios, la retención y las medidas de seguridad.

Una simple hoja de cálculo funciona. Lo importante es tenerla — las multas de 100.000 € publicadas por varias autoridades de protección de datos en los últimos dos años a menudo citan «no se proporcionó ningún registro del Artículo 30» como factor agravante.

7. Transferencias internacionales (Cap. V)

Si tu analítica, servicio de correo o CRM está en EE.UU. (Google Analytics, HubSpot, Mailchimp, Klaviyo), estás transfiriendo datos personales fuera de la UE. Desde el 10 de julio de 2023, el Marco de Privacidad de Datos UE-EE.UU. proporciona una decisión de adecuación para las empresas estadounidenses participantes. De lo contrario, necesitas Cláusulas Contractuales Tipo firmadas con el proveedor y, preferiblemente, una evaluación de impacto de la transferencia.

La mayoría de los proveedores SaaS importantes tienen un «Anexo de Tratamiento de Datos RGPD» que puedes descargar con un clic. Fírmalo y guarda una copia.

La auditoría a nivel de sitio, en 30 minutos

1. Abre tu aviso de privacidad desde el pie de página. ¿Cubre los siete puntos del Art. 13?
2. Visita tu sitio en una ventana de incógnito. ¿Aparece el banner con «Rechazar todo» con igual prominencia?
3. Abre la pestaña de red antes de hacer clic en el banner. ¿Ya se están lanzando solicitudes de analítica/marketing? No deberían.
4. Encuentra el canal de solicitud de eliminación. ¿Está a dos clics desde la página de inicio?
5. Visita tu sitio por HTTP (p. ej., http://tusitio.com) — ¿redirige a HTTPS?
6. Abre /.well-known/security.txt. ¿Existe?

Cómo ayuda Scanthra

El Mapa de cumplimiento de Scanthra en el informe PDF etiqueta cada problema detectado con el artículo del RGPD al que se relaciona (más comúnmente el Art. 32). Los elementos que afectan directamente al RGPD — HTTPS ausente, encabezados de seguridad ausentes, credenciales expuestas, security.txt ausente — se señalan con su impacto técnico y su ángulo de cumplimiento.

Este artículo es de carácter informativo general y no constituye asesoramiento jurídico. Para interpretaciones vinculantes del RGPD, consulta a un abogado cualificado o a tu autoridad nacional de protección de datos.