Fundamentos · 8 min de lectura

Qué es el RGPD y qué significa para tu web

Si tienes una web y en algún momento has recibido el nombre, el email o cualquier otro dato de un usuario europeo, el RGPD te afecta. No importa si eres autónomo con una web de portfolio, si tienes una tienda online o si llevas un pequeño negocio local con página de contacto. La normativa aplica a todos por igual.

En esta guía explicamos qué es el RGPD, por qué existe, qué obliga concretamente a hacer a quienes tienen una web y cómo cumplirlo sin necesidad de ser abogado.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) es una normativa de la Unión Europea que entró en vigor el 25 de mayo de 2018. Su objetivo es dar a las personas más control sobre sus datos personales y homogeneizar las reglas de protección de datos en todos los países miembros.

Antes del RGPD, cada país de la UE tenía su propia ley de protección de datos. Eso creaba un mosaico de normas distintas que dificultaba el cumplimiento para empresas que operaban en varios países. El RGPD unificó todo eso en un único reglamento con aplicación directa en toda la UE.

En España, el RGPD se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el reglamento europeo al ordenamiento jurídico español y añade algunas especificidades nacionales.

¿A quién afecta?

El RGPD afecta a cualquier organización, empresa o persona física (autónomo incluido) que:

En la práctica: si tienes una web en español, es razonable asumir que algunos de tus visitantes son ciudadanos europeos. Aunque seas un freelance unipersonal con un proyecto pequeño, el RGPD aplica. La diferencia está en el nivel de exigencia según el volumen y tipo de datos que tratas, pero la obligación existe.

¿Qué se considera "dato personal"?

Un dato personal es cualquier información que permita identificar a una persona física, directa o indirectamente. Esto incluye:

Esto significa que si tienes un formulario de contacto donde alguien deja su nombre y email, o si usas Google Analytics que registra IPs y comportamientos, ya estás tratando datos personales.

Principios básicos del RGPD

El RGPD se construye sobre varios principios que deben guiar cualquier tratamiento de datos:

Licitud, lealtad y transparencia

Solo puedes tratar datos si tienes una base jurídica válida para hacerlo (consentimiento, contrato, interés legítimo, etc.) y debes informar al usuario de forma clara sobre cómo usarás sus datos.

Limitación de la finalidad

Los datos recogidos para un fin concreto no pueden usarse para otra cosa sin informar al usuario y, en su caso, obtener su consentimiento.

Minimización de datos

Solo debes recoger los datos estrictamente necesarios para tu finalidad. Si para enviar una newsletter solo necesitas el email, no pidas también el teléfono.

Exactitud y conservación limitada

Los datos deben ser exactos y conservarse solo durante el tiempo necesario. Una vez cumplida la finalidad, deben eliminarse o anonimizarse.

Seguridad

Debes aplicar medidas técnicas y organizativas adecuadas para proteger los datos de accesos no autorizados, pérdidas o destrucción.

Obligaciones concretas para tu web

Para la mayoría de autónomos y PYMEs con una web estándar, el cumplimiento del RGPD implica básicamente lo siguiente:

1. Política de privacidad

Obligatoria si recoges cualquier dato personal. Debe explicar quién eres, qué datos recoges, para qué, con qué base jurídica, durante cuánto tiempo, si los cedes a terceros y cómo pueden ejercer sus derechos los usuarios.

2. Información en formularios

Cada formulario donde recojas datos debe incluir un enlace a la política de privacidad y una casilla de aceptación (si la base jurídica es el consentimiento). La casilla no puede venir marcada por defecto.

3. Gestión de cookies

Si usas cookies no técnicas (analítica, publicidad, redes sociales), necesitas un banner de consentimiento y una política de cookies. La AEPD es especialmente estricta en este punto.

4. Contratos con terceros

Si cedes datos a proveedores externos (empresa de hosting, herramienta de email marketing, CRM...), debes tener firmado con ellos un contrato de encargado de tratamiento. La mayoría de proveedores lo ofrecen en sus condiciones de uso o como documento separado.

Lo mínimo para una web sencilla

Para una web informativa con formulario de contacto: política de privacidad, aviso legal, información en el formulario y, si usas Google Analytics u otras cookies no técnicas, banner de cookies y política de cookies. Eso es todo.

Las sanciones: ¿qué pasa si no cumples?

El RGPD establece sanciones de hasta 20 millones de euros o el 4% de la facturación global del año anterior (la cantidad que sea mayor). Estos máximos aplican a infracciones muy graves.

Para un autónomo o PYME pequeña, la realidad es más razonable: la AEPD (Agencia Española de Protección de Datos) aplica un principio de proporcionalidad. Las sanciones efectivas a pequeños negocios suelen arrancar en el entorno de los 3.000-10.000 euros para infracciones graves, aunque se han visto multas menores por incumplimientos básicos cuando hay reclamación de un afectado.

El riesgo real para un negocio pequeño no es tanto la multa millonaria como la reclamación de un usuario insatisfecho ante la AEPD. El procedimiento puede derivar en una inspección y en la obligación de adecuarse, además de la sanción correspondiente.

El mito de "soy muy pequeño para que me afecte"

Es uno de los errores más frecuentes. El RGPD no tiene umbral de tamaño. Un blog personal con formulario de suscripción está sujeto a las mismas obligaciones de fondo que una gran empresa, aunque la proporcionalidad aplica en las sanciones.

La buena noticia es que para webs sencillas el cumplimiento no es complicado ni caro. Se trata principalmente de tener los textos legales correctos y de informar bien a los usuarios sobre cómo usas sus datos.

¿Por dónde empezar? Lo más práctico es generar los documentos legales adaptados a tu web concreta: política de privacidad, política de cookies y aviso legal. Eso resuelve el 80% del cumplimiento para una web estándar.