Política de privacidad web: qué debe incluir tu empresa

27 May 2026
 Derecho Digital y Tecnología, Marketing y Publicidad Legal
27/05/2026 Adela Ruiz
política de privacidad web - Edera Abogados

La política de privacidad web es uno de los textos legales que la mayoría de webs tienen mal. No porque no exista —casi todas tienen algo— sino porque está desactualizada, copiada de otra web o tan genérica que no cumple con lo que exige el RGPD, algunas incluso pre-fabricadas de plugins que no recogen ni las pautas de la Unión Europea, ya no digamos las de España.

Y el problema no es solo teórico. La AEPD sanciona con regularidad a empresas por formularios de contacto sin información adecuada, por banners de cookies que no funcionan como la ley exige, o por políticas de privacidad que no mencionan la base legal del tratamiento. Muchas de esas empresas ni saben que están incumpliendo.

¿Cuándo es obligatorio tener política de privacidad?

Desde el momento en que tu web recoge cualquier dato personal. Un formulario de contacto con nombre y email ya es suficiente para que aplique el RGPD y la LOPDGDD. No hace falta tener una tienda online ni manejar datos sensibles. ¿Recoges datos en Google Analytics? Entonces la respuesta es sí.

Porque en la práctica, cualquier web empresarial activa recoge datos: formularios, cookies analíticas, suscripciones a newsletter, reservas, solicitudes de presupuesto. Todas esas acciones generan la obligación de informar.

La política de privacidad no es opcional. Es un requisito legal cuyo incumplimiento puede dar lugar a sanciones de la AEPD de entre 40.000 € y 20.000.000 € —o hasta el 4% de la facturación anual global— según la gravedad.

Qué información debe aparecer obligatoriamente

Los artículos 13 y 14 del RGPD establecen el contenido mínimo. Estos son los elementos que no pueden faltar:

  • Identidad del responsable del tratamiento. Nombre o razón social, CIF y datos de contacto. Si tienes Delegado de Protección de Datos (DPO), también sus datos.
  • Finalidades del tratamiento. Para qué se usan los datos. No vale decir «para mejorar la experiencia del usuario»: hay que ser específico. Gestión de consultas, envío de comunicaciones comerciales, facturación, analítica web…
  • Base legal. Por qué tienes derecho a tratar esos datos. Hay seis bases posibles bajo el RGPD: consentimiento, contrato, obligación legal, interés vital, misión de interés público e interés legítimo. Cada tratamiento necesita su base. No se puede aplicar la misma a todo.
  • Plazos de conservación. Cuánto tiempo vas a guardar los datos. Si no tienes un criterio definido, la normativa exige que no sea más del necesario para la finalidad.
  • Destinatarios y cesiones. Si compartes datos con terceros —una herramienta de email marketing, un CRM en la nube, un proveedor de pagos— tienes que indicarlo. Y si ese tercero está fuera del Espacio Económico Europeo, hay que detallar las garantías.
  • Derechos del usuario. Acceso, rectificación, supresión, limitación, portabilidad y oposición. Y cómo ejercerlos: dirección de correo o postal a la que dirigirse. También hay que informar del derecho a reclamar ante la AEPD.
Una política de privacidad que no especifica la base legal de cada tratamiento incumple el RGPD, aunque tenga todos los demás apartados. Es uno de los errores más frecuentes.

Base legal: por qué importa elegir bien

La base legal no es un tecnicismo: define qué puedes hacer con los datos y qué derechos tiene el usuario sobre ellos.

  • Si usas el consentimiento como base: el usuario puede retirarlo en cualquier momento y debes dejar de tratar sus datos. El consentimiento tiene que ser previo, específico y verificable. Una casilla pre-marcada no vale.
  • Si usas el interés legítimo: tienes que haber hecho un balance entre tu interés y los derechos del usuario. Si el usuario se opone, debes dejar de tratar los datos salvo que tengas razones imperiosas. Esta base se usa mal con frecuencia.
  • Si la base es la ejecución de un contrato: solo puedes tratar los datos estrictamente necesarios para ese contrato. No puedes usar esa base para enviarte newsletter comerciales.

Usar la base legal equivocada no es un error formal: invalida el tratamiento completo. Si la AEPD detecta que estás tratando datos con una base que no aplica, puede obligarte a eliminarlos.

Cookies: lo que muchas webs siguen haciendo mal

La política de cookies es técnicamente distinta a la política de privacidad, pero en la práctica van de la mano. Los errores más habituales en 2025:

  • Banners que solo tienen el botón de «Aceptar» sin opción de rechazar al mismo nivel. La AEPD ha dejado claro que aceptar y rechazar deben estar en igualdad de condiciones.
  • Cookies analíticas o publicitarias que se instalan antes de que el usuario dé su consentimiento. Es una infracción directa del RGPD.
  • Texto que lleva al usuario a una larga política sin poder rechazar desde el propio banner.
  • Webs que no actualizan la política de cookies cuando cambian de herramienta o añaden nuevos scripts de terceros.

Un detalle que muchos pasan por alto: Google Analytics, Meta Pixel, HubSpot y la mayoría de herramientas de marketing instalan cookies de terceros. Si los tienes en tu web, necesitas un gestor de cookies que cumpla con el Consent Mode v2 de Google y que permita registrar el consentimiento de forma verificable.

Formularios de contacto y captación de leads

Cada formulario de tu web es un punto de recogida de datos que tiene que cumplir con el artículo 13 del RGPD. En el momento de recoger el dato —no solo en la política de privacidad— el usuario tiene que saber:

  • Quién es el responsable del tratamiento.
  • Para qué se van a usar sus datos.
  • Cuál es la base legal.
  • Que puede ejercer sus derechos y cómo.

Esto se resuelve con un texto informativo visible junto al formulario (no solo en el footer) y una casilla de consentimiento desmarcada si vas a usar los datos para enviar comunicaciones comerciales.

Un formulario de contacto que solo tiene el botón de «Enviar» sin ninguna información sobre protección de datos incumple el RGPD. Es el tipo de incumplimiento que la AEPD detecta con más frecuencia en sus actuaciones de oficio.

¿Qué pasa si la AEPD detecta un incumplimiento?

La AEPD puede iniciar un procedimiento sancionador de oficio o a raíz de una reclamación de un usuario. El proceso tiene fases: requerimiento de información, propuesta de resolución y resolución final.

Las sanciones se gradúan según la gravedad:

  • Infracciones leves: hasta 40.000 €.
  • Infracciones graves: hasta 10.000.000 € o el 2% de la facturación anual global.
  • Infracciones muy graves: hasta 20.000.000 € o el 4% de la facturación anual global.

En la práctica, las pymes no suelen recibir las multas máximas, pero sí sanciones en el rango de 3.000 a 50.000 € por incumplimientos básicos como formularios sin información adecuada, cookies instaladas sin consentimiento o ausencia de política de privacidad.

La mejor defensa no es jurídica: es tener la documentación en orden antes de que llegue la inspección.

Preguntas frecuentes sobre política de privacidad web

¿Tengo que tener política de privacidad si mi web no vende nada?

Sí, si recoge cualquier dato personal. Un formulario de contacto, una suscripción a newsletter o incluso Google Analytics (que recoge datos de navegación asociados a IPs) son suficientes para que aplique la obligación. La ley no distingue entre web comercial y web informativa.

¿Puedo copiar la política de privacidad de otra web?

Técnicamente puedes, pero es una mala idea. La política de privacidad tiene que reflejar los tratamientos reales de tu empresa: qué datos recoges, con qué finalidad, qué herramientas usas. Una política genérica copiada que no coincide con tu actividad real incumple igual que no tener ninguna, porque la información que le das al usuario es incorrecta.

¿Con qué frecuencia hay que actualizar la política de privacidad?

Cada vez que cambie algo relevante en tu actividad de tratamiento de datos: si añades una nueva herramienta, si cambias de proveedor de email marketing, si empiezas a tratar nuevos tipos de datos o si cambias la base legal de algún tratamiento. No hay una frecuencia mínima fijada por ley, pero la AEPD valora negativamente las políticas visiblemente desactualizadas.

¿Necesito un Delegado de Protección de Datos (DPO)?

No todas las empresas están obligadas. La obligación aplica principalmente a organismos públicos, empresas que tratan datos a gran escala de forma sistemática, y empresas que tratan categorías especiales de datos (salud, ideología, biometría…) como actividad principal. Si no encajas en esas categorías, no es obligatorio, aunque puede ser recomendable si manejas volúmenes significativos de datos de clientes.

¿Qué diferencia hay entre política de privacidad, aviso legal y política de cookies?

Son tres documentos distintos con obligaciones distintas. El aviso legal identifica al titular de la web y regula las condiciones de uso. La política de privacidad informa sobre el tratamiento de datos personales. La política de cookies detalla qué cookies se instalan, para qué y cómo gestionarlas. Una web completa necesita los tres, accesibles desde el pie de página.

 

¿Tu política de privacidad lleva más de un año sin actualizarse o no sabes si tu web cumple con el RGPD? Consulta tu caso con nuestro equipo.
Comparte este post
Resumen de privacidad
edera abogados

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Powered by  GDPR Cookie Compliance