CRITICAL Datos personales y RGPD ✓ Necesario para tienda online En vigor: 2018-05-25 Aprobada: 2016-04-27

Reglamento General de Protección de Datos (RGPD) - Reglamento (UE) 2016/679

ESATBEBGCYCZDEDKEEELFIFRHRHUIEITLTLULVMTNLPLPTROSESISK allecommerceretailsoftwareeducationmarketingtienda-shopifytienda-prestashoptienda-woocommercemarketplaceplataforma-saasacademia-onlinedropshippingecommerce-b2becommerce-b2capp-movil-comercial #privacidad #consentimiento #cookies #checkout #marketing-email #seguridad-datos #transferencias-internacionales #derechos-usuarios #product_types_inferred #company:autonomo #company:micropyme #company:pyme #company:gran_empresa #company:marketplace #company:plataforma_p2p #company:empresa_no_ue_que_vende_a_ue electronica ropa calzado alimentacion cosmeticos juguetes muebles joyeria software-saas cursos-online ebooks videojuegos hosting servicios-digitales maquinaria recambios farmacia mascotas deportes libros

Resumen ejecutivo: Normativa pilar de la privacidad en la UE que regula el tratamiento de datos personales en el entorno digital. Obliga a toda tienda online, ya venda productos físicos, software o infoproductos, a obtener un consentimiento explícito y granular, informar con total transparencia mediante políticas de privacidad claras, garantizar los derechos ARCO-POL de los usuarios y aplicar medidas de seguridad técnicas desde el diseño. Su incumplimiento acarrea las sanciones económicas más graves del marco digital europeo, pudiendo alcanzar los 20 millones de euros o el 4% de la facturación global anual.

Acciones concretas para tu tienda

Actualizar politica de privacidad y aviso legal con base juridica clara
Implementar banner de cookies con consentimiento explicito y opcion 'Rechazar todo'
Configurar checkboxes de aceptacion no marcados por defecto en formularios y checkout
Redactar y mantener el Registro de Actividades de Tratamiento (RAT)
Firmar contratos de Encargado de Tratamiento con proveedores (hosting, email marketing, logistica)

⚙ Necesario un modulo adicional

Requiere un gestor de consentimiento (CMP) para cookies y trackers, ademas de modificaciones en el checkout para incluir el doble check de privacidad y marketing. En plataformas como Shopify o PrestaShop, es indispensable un modulo que permita al usuario ejercer el derecho al olvido o descarga de datos de forma automatizada.

Fuente oficial:

EUR-Lex (catalogo historico)

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

El Reglamento General de Protección de Datos (RGPD) surge como respuesta a la obsolescencia de la Directiva 95/46/CE, que durante más de dos décadas intentó, con éxito limitado, armonizar la privacidad en una Europa que aún no conocía el poder del Big Data, las redes sociales masivas ni el comercio electrónico transfronterizo de alta intensidad. El problema principal del régimen anterior era la fragmentación: cada Estado miembro de la UE transponía la Directiva a su manera, creando un mosaico de leyes nacionales (como la antigua LOPD 15/1999 en España) que obligaba a las empresas que vendían en varios países a cumplir con 28 regímenes distintos.

El RGPD, al ser un Reglamento y no una Directiva, tiene efecto directo y es obligatorio en todos sus elementos para todos los Estados miembros desde el 25 de mayo de 2018. Complementa y se apoya en normativas como la Directiva 2002/58/CE (ePrivacy) y en España se ve reforzado por la Ley Orgánica 3/2018 (LOPDGDD). Históricamente, el RGPD marca un cambio de paradigma: se pasa de un modelo reactivo (donde solo se actuaba ante denuncias) a un modelo de 'Responsabilidad Proactiva' (Accountability), donde el comerciante debe ser capaz de demostrar en todo momento que cumple con la ley.

2. Origen y proceso legislativo

El proceso de creación del RGPD fue uno de los más largos y con mayor actividad de 'lobby' en la historia de la Unión Europea. Propuesto inicialmente por la Comisión Europea en enero de 2012, el texto final no fue adoptado por el Parlamento Europeo y el Consejo hasta abril de 2016. Se publicó en el Diario Oficial de la Unión Europea (DOUE) el 4 de mayo de 2016 (L 119/1), entrando en vigor veinte días después, aunque con un periodo de carencia de dos años para su plena aplicación (25 de mayo de 2018).

Considerandos clave:

Considerando 32: Define el consentimiento como un acto afirmativo claro. No vale el silencio o las casillas premarcadas.
Considerando 39: Establece los principios de transparencia y lealtad en el tratamiento.
Considerando 42: Obliga al responsable a ser capaz de demostrar que el interesado dio su consentimiento.
Considerando 75: Introduce el enfoque de riesgo para los derechos y libertades de las personas físicas.

3. Ámbito subjetivo - A QUIEN aplica

El RGPD aplica a una red extensísima de sujetos vinculados a la venta online:

Responsables del Tratamiento: El dueño de la tienda online (autónomo o sociedad) que decide qué datos se piden (nombre, email, dirección) y para qué (enviar el pedido, enviar publicidad).
Encargados del Tratamiento: Proveedores externos que manejan datos por orden del comercio (agencias de marketing, proveedores de hosting, plataformas de pago, servicios de mensajería).
Empresas No-UE: Crucial para el ecommerce. Si tienes una tienda en EE.UU. o China pero diriges tu oferta a consumidores en España (ofertas en euros, envío a España, idioma español), estás obligado a cumplir el RGPD (Art. 3.2).
Marketplaces y Vendedores: Amazon actúa como responsable de sus datos, pero el vendedor que recibe los datos de envío del cliente también es responsable del tratamiento de esos datos específicos para la entrega.
Figuras Intermedias: Dropshippers (que envían datos al proveedor final), afiliados e influencers que captan leads para terceros.

Excepciones: Solo el tratamiento de datos para actividades exclusivamente personales o domésticas (ej. una agenda de contactos personal) queda fuera. Cualquier actividad comercial, por mínima que sea la facturación, está sujeta.

4. Ámbito objetivo - QUÉ actividades y productos cubre

Aplica a toda venta online que suponga el tratamiento de datos de personas físicas residentes en la UE. El ámbito es universal por tipo de producto:

Tiendas de Productos Físicos: Desde electrónica hasta cosmética. El tratamiento de la dirección de envío y el teléfono es crítico.
SaaS y Software: El registro de usuarios, el control de accesos y la telemetría del software recogen datos personales protegidos.
Infoproductos y Formación: La gestión de alumnos en un LMS, el seguimiento de progresos y los foros de comunidad de pago.
Tipos de Datos afectados:
Datos identificativos (Nombre, DNI).
Datos de contacto (Email, Teléfono).
Datos de localización (Dirección IP, geolocalización).
Datos de comportamiento (Cookies, historial de navegación en la tienda).
Datos de pago (aunque suelen estar anonimizados por la pasarela, el flujo de datos es responsabilidad del comercio).

5. Obligaciones concretas - exegesis del articulado

Principio de Licitud, Lealtad y Transparencia (Art. 5.1.a): Los datos deben tratarse de forma que el usuario sepa exactamente qué ocurre.

Práctica: Política de privacidad accesible en un clic desde el pie de página.

Limitación de la Finalidad (Art. 5.1.b): No puedes usar el email de una compra para enviarle spam si no pediste permiso específico para marketing.
Minimización de Datos (Art. 5.1.c): No pidas la fecha de nacimiento si solo vas a vender un libro digital, a menos que sea legalmente necesario.
Consentimiento (Art. 7): Debe ser libre, específico, informado e inequívoco.

Caso práctico: En el checkout, debe haber un checkbox vacío para la 'Política de Privacidad' (obligatorio para la compra) y OTRO independiente y vacío para 'Boletín de Ofertas' (opcional).

Derechos de los Interesados (Art. 15-22): Acceso, Rectificación, Supresión (Olvido), Limitación, Portabilidad y Oposición.

Implementación: Tener un canal (email dpo@tienda.com) para atender estas solicitudes en menos de 30 días.

Seguridad del Tratamiento (Art. 32): Obligación de cifrar datos (protocolo HTTPS/SSL), seudonimización y capacidad de restaurar la disponibilidad de los datos tras un incidente.

6. Casos prácticos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda de Electrónica (B2C): Recoge datos para garantía de 3 años. Debe informar que guardará el contacto para servicio postventa, pero no puede ceder esos datos a la marca del fabricante para publicidad sin consentimiento expreso.
Caso 2: SaaS de Gestión de Facturas: El desarrollador es Encargado del Tratamiento de los datos de los clientes de sus usuarios. Debe firmar un contrato de encargo (Art. 28) que garantice que no usará esos datos para fines propios.
Caso 3: Dropshipping de Juguetes: El vendedor español recoge el pedido y lo envía a una fábrica en China. Al salir los datos fuera de la UE, se produce una 'Transferencia Internacional'. El vendedor debe informar de ello y asegurarse de que el proveedor chino ofrece garantías mínimas.
Caso 4: Academia de Cursos Online: Utiliza píxeles de Facebook para retargeting. Esto es tratamiento de datos de comportamiento. Si el usuario no acepta la cookie de marketing en el banner inicial, el píxel no debe cargarse.
Caso 5: Vendedor en Amazon (Seller): Amazon le proporciona la dirección de envío. El vendedor no debe incluir esos datos en su propio CRM para enviar publicidad propia posterior, ya que el cliente es de Amazon y el consentimiento se dio para la transacción en Amazon solamente.

7. Plazos clave

8. Sanciones y regimen sancionador

El RGPD establece dos tramos de sanciones máximas (Art. 83):

Hasta 10 millones de euros o el 2% del volumen de negocio anual global (lo que sea mayor) por infracciones relacionadas con obligaciones del responsable, certificaciones o encargados.
Hasta 20 millones de euros o el 4% del volumen de negocio anual global por vulnerar principios básicos (consentimiento), derechos de los interesados o transferencias internacionales.

En España, la AEPD (Agencia Española de Protección de Datos) es el organismo competente. Las sanciones no son solo teóricas: se han impuesto multas de 5.000€ a autónomos por usar WhatsApp para fines comerciales sin permiso, y multas millonarias a grandes bancos y operadoras. Factores como la intencionalidad, el número de afectados y las medidas técnicas previas actúan como atenuantes o agravantes.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guía operativa

Auditoría de Datos: Identifica qué datos pides en tu web. (Coste: Interno / 2-4h).
Registro de Actividades de Tratamiento (RAT): Crea un Excel o Doc con: qué datos tratas, base legal, destinatarios y plazos. (Obligatorio Art. 30).
Actualización de Textos Legales: Redacta Política de Privacidad, Aviso Legal y Política de Cookies. (Coste: ~150-300€ asesoría).
Configuración de Cookies: Instala un CMP (Consent Management Platform) que bloquee scripts antes del consentimiento. (Ej: Cookiebot, Complianz. Coste: 0-20€/mes).
Checkboxes en Formularios: En PrestaShop/WooCommerce, añade campos de aceptación obligatoria (privacidad) y opcional (marketing) en contacto y registro.
Doble Opt-in: Para newsletters, envía email de confirmación tras el registro para validar el consentimiento.
Contratos con Proveedores: Revisa que tu hosting (SiteGround, AWS, etc.) cumpla RGPD y firma su anexo de protección de datos.
Protocolo de Derechos: Crea una plantilla de respuesta para cuando alguien pida borrar sus datos.
HTTPS/SSL: Asegúrate de que toda la web navega bajo certificado seguro. (Coste: suele ser gratis con Let's Encrypt).
Formación: Si tienes empleados, dales una guía básica de no compartir datos de clientes por canales no seguros.
Análisis de Riesgos: Haz una reflexión mínima anual sobre qué pasaría si te roban la base de datos y cómo evitarlo.
Verificación: Realiza una compra de prueba y comprueba que no te has suscrito a nada por error y que los textos legales son visibles.

11. Errores frecuentes

Error 1: No tener el botón 'Rechazar Cookies' al mismo nivel que 'Aceptar'. Conlleva sanciones de la AEPD (recientes multas a grandes ecommerce).
Error 2: Usar una sola casilla para aceptar la Política de Privacidad y el envío de publicidad. Son finalidades distintas y deben estar separadas.
Error 3: No firmar el contrato de encargado con la agencia de marketing que maneja tu base de datos.
Error 4: Almacenar datos de tarjetas de crédito en tu propia base de datos (incumple RGPD y estándares PCI-DSS).
Error 5: Comprar bases de datos de terceros sin verificar que el consentimiento original permitía la cesión a tu empresa.
Error 6: No borrar los datos de carritos abandonados si el usuario no ha dado consentimiento para ser contactado.
Error 7: Publicar fotos de clientes en Instagram sin su autorización por escrito.
Error 8: Responder a un derecho de acceso enviando los datos de otros clientes por error (brecha de seguridad grave).

12. Jurisprudencia y criterios oficiales

Sentencia TJUE Asunto C-673/17 (Planet49): Clarificó que el consentimiento para cookies no es válido mediante casillas premarcadas.
Dictamen 5/2019 del EDPB: Sobre la interacción entre la Directiva ePrivacy y el RGPD, esencial para el marketing online.
Resolución AEPD PS/00044/2021: Sanción a una gran empresa por no permitir el rechazo de cookies de forma sencilla.
Jurisprudencia pendiente: Actualmente se debate en el TJUE el derecho a indemnización por daños inmateriales (estrés) derivados de una brecha de datos, lo que podría abrir la puerta a demandas colectivas contra tiendas online tras un hackeo.

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Sí, totalmente. El RGPD es la ley vigente en España y se complementa con la LOPDGDD. No existe ninguna excepción por vender solo a nivel nacional o local.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

No. El RGPD aplica por la naturaleza de la actividad (tratar datos personales), no por el volumen de facturación. Lo que varía es la intensidad de las medidas de seguridad y el importe de las posibles sanciones, pero las obligaciones básicas de información y consentimiento son idénticas.

Vendo en Amazon, ¿quién es responsable: yo o Amazon?

Ambos son corresponsables o responsables independientes según la fase. Amazon es responsable de la plataforma. Tú eres responsable del tratamiento de los datos que Amazon te facilita para enviar el paquete. No puedes usar esos datos para nada más que el envío.

¿Puedo subcontratar el cumplimiento a un proveedor externo?

Puedes contratar a un consultor o DPO para que te ayude, pero la responsabilidad legal ante la AEPD sigue siendo de tu empresa. Asegúrate de elegir proveedores con seguros de responsabilidad civil.

¿Qué pasa si la sanción me supera la facturación del mes?

Las sanciones deben ser proporcionadas y disuasorias. Sin embargo, para una pyme, una sanción de 3.000€ o 10.000€ ya puede ser devastadora. La AEPD suele tener en cuenta el tamaño de la empresa para graduar la multa.

¿Es obligatorio tener un DPO (Delegado de Protección de Datos)?

Para la mayoría de tiendas online pequeñas no es obligatorio, a menos que trates datos a gran escala (ej. una red publicitaria) o datos sensibles (salud, religión, biometría).

¿Puedo contactar con clientes que compraron hace 5 años?

Solo si los datos siguen siendo necesarios para la finalidad o si tienes un consentimiento que no ha sido revocado. Se recomienda establecer plazos de supresión (ej. 5 años tras la última compra) para cumplir con el principio de limitación del plazo de conservación.

¿Google Analytics cumple el RGPD?

Tras el nuevo 'Data Privacy Framework' (julio 2023), el flujo de datos a EE.UU. con Google está legitimado, pero sigues necesitando el consentimiento del usuario en el banner de cookies para activarlo.

¿Qué hago si me hackean la tienda?

Debes documentar el incidente. Si hay riesgo para los usuarios (ej. robo de contraseñas o datos bancarios), debes notificarlo a la AEPD en 72h y a los usuarios afectados sin demora.

¿Puedo pedir el DNI para emitir una factura?

Sí, es una obligación legal del Reglamento de Facturación. En este caso, la base legal no es el consentimiento, sino el 'Cumplimiento de una obligación legal'.

¿Las listas de deseos (wishlists) recogen datos personales?

Sí, vinculan un usuario con un interés de compra. Debes informar de este tratamiento en la política de privacidad.

¿Es legal el Dropshipping bajo el RGPD?

Es legal siempre que el cliente sepa que sus datos de envío se comunicarán a un tercero (el proveedor) para poder recibir el producto.

14. Normativas relacionadas

LOPDGDD (Ley Orgánica 3/2018): La adaptación española que detalla aspectos como el testamento digital o los sistemas de información de denuncias internas. BOE-A-2018-16673
Directiva ePrivacy (2002/58/CE): Regula las cookies y el spam. Pendiente de ser sustituida por un nuevo Reglamento ePrivacy. CELEX 32002L0058
Ley de Servicios de la Sociedad de la Información (LSSI-CE 34/2002): Fundamental en España para el envío de comunicaciones comerciales electrónicas. BOE-A-2002-13758
Ley del Consumidor (Real Decreto Legislativo 1/2007): Se cruza con el RGPD en cuanto a los derechos de información precontractual.

15. Recursos oficiales y herramientas recomendadas

AEPD Facilita 2.0: Herramienta gratuita para que pymes y autónomos generen sus textos legales básicos.
Guía de Cookies de la AEPD: El documento de referencia para configurar correctamente los banners de consentimiento.
EDPB Guidelines: Directrices del Comité Europeo sobre consentimiento, transparencia y perfilado.
Modulos Recomendados: 'Complianz' para WordPress/WooCommerce, 'IqitPrivacy' para PrestaShop, o las apps nativas de privacidad en Shopify.

16. Conclusion practica y valoracion

El RGPD no es un trámite de 'una sola vez', sino un proceso continuo. Para una tienda online, la criticidad es máxima porque su activo más valioso es su base de datos de clientes. El riesgo de no actuar no es solo la multa, sino la pérdida de confianza de los usuarios y la posible retirada de pasarelas de pago que exigen cumplimiento normativo.

Esfuerzo estimado: Para una tienda nueva, la adaptación básica lleva entre 10 y 20 horas de trabajo especializado. El coste de mantenimiento es bajo, centrándose en no cometer errores en las campañas de marketing. Roadmap:

Corto plazo (ya): SSL, banner de cookies y checkboxes.
Medio plazo (1 mes): RAT y contratos con proveedores.
Largo plazo: Auditorías de seguridad periódicas y limpieza de bases de datos inactivas.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.

Reglamento General de Protección de Datos (RGPD) - Reglamento (UE) 2016/679

En vigor desde 25/05/2018

Resumen: Normativa pilar de la privacidad en la UE que regula el tratamiento de datos personales en el entorno digital. Obliga a toda tienda online, ya venda productos físicos, software o infoproductos, a obtener un consentimiento explícito y granular, informar con total transparencia mediante políticas de privacidad claras, garantizar los derechos ARCO-POL de los usuarios y aplicar medidas de seguridad técnicas desde el diseño. Su incumplimiento acarrea las sanciones económicas más graves del marco digital europeo, pudiendo alcanzar los 20 millones de euros o el 4% de la facturación global anual.

Acciones concretas

Actualizar politica de privacidad y aviso legal con base juridica clara
Implementar banner de cookies con consentimiento explicito y opcion 'Rechazar todo'
Configurar checkboxes de aceptacion no marcados por defecto en formularios y checkout
Redactar y mantener el Registro de Actividades de Tratamiento (RAT)
Firmar contratos de Encargado de Tratamiento con proveedores (hosting, email marketing, logistica)

1. Contexto y marco normativo previo

2. Origen y proceso legislativo

Considerandos clave:

Considerando 32: Define el consentimiento como un acto afirmativo claro. No vale el silencio o las casillas premarcadas.
Considerando 39: Establece los principios de transparencia y lealtad en el tratamiento.
Considerando 42: Obliga al responsable a ser capaz de demostrar que el interesado dio su consentimiento.
Considerando 75: Introduce el enfoque de riesgo para los derechos y libertades de las personas físicas.

3. Ámbito subjetivo - A QUIEN aplica

El RGPD aplica a una red extensísima de sujetos vinculados a la venta online:

Responsables del Tratamiento: El dueño de la tienda online (autónomo o sociedad) que decide qué datos se piden (nombre, email, dirección) y para qué (enviar el pedido, enviar publicidad).
Encargados del Tratamiento: Proveedores externos que manejan datos por orden del comercio (agencias de marketing, proveedores de hosting, plataformas de pago, servicios de mensajería).
Empresas No-UE: Crucial para el ecommerce. Si tienes una tienda en EE.UU. o China pero diriges tu oferta a consumidores en España (ofertas en euros, envío a España, idioma español), estás obligado a cumplir el RGPD (Art. 3.2).
Marketplaces y Vendedores: Amazon actúa como responsable de sus datos, pero el vendedor que recibe los datos de envío del cliente también es responsable del tratamiento de esos datos específicos para la entrega.
Figuras Intermedias: Dropshippers (que envían datos al proveedor final), afiliados e influencers que captan leads para terceros.

4. Ámbito objetivo - QUÉ actividades y productos cubre

Aplica a toda venta online que suponga el tratamiento de datos de personas físicas residentes en la UE. El ámbito es universal por tipo de producto:

Tiendas de Productos Físicos: Desde electrónica hasta cosmética. El tratamiento de la dirección de envío y el teléfono es crítico.
SaaS y Software: El registro de usuarios, el control de accesos y la telemetría del software recogen datos personales protegidos.
Infoproductos y Formación: La gestión de alumnos en un LMS, el seguimiento de progresos y los foros de comunidad de pago.
Tipos de Datos afectados:
Datos identificativos (Nombre, DNI).
Datos de contacto (Email, Teléfono).
Datos de localización (Dirección IP, geolocalización).
Datos de comportamiento (Cookies, historial de navegación en la tienda).
Datos de pago (aunque suelen estar anonimizados por la pasarela, el flujo de datos es responsabilidad del comercio).

5. Obligaciones concretas - exegesis del articulado

Principio de Licitud, Lealtad y Transparencia (Art. 5.1.a): Los datos deben tratarse de forma que el usuario sepa exactamente qué ocurre.

Práctica: Política de privacidad accesible en un clic desde el pie de página.

Limitación de la Finalidad (Art. 5.1.b): No puedes usar el email de una compra para enviarle spam si no pediste permiso específico para marketing.
Minimización de Datos (Art. 5.1.c): No pidas la fecha de nacimiento si solo vas a vender un libro digital, a menos que sea legalmente necesario.
Consentimiento (Art. 7): Debe ser libre, específico, informado e inequívoco.

Caso práctico: En el checkout, debe haber un checkbox vacío para la 'Política de Privacidad' (obligatorio para la compra) y OTRO independiente y vacío para 'Boletín de Ofertas' (opcional).

Derechos de los Interesados (Art. 15-22): Acceso, Rectificación, Supresión (Olvido), Limitación, Portabilidad y Oposición.

Implementación: Tener un canal (email dpo@tienda.com) para atender estas solicitudes en menos de 30 días.

Seguridad del Tratamiento (Art. 32): Obligación de cifrar datos (protocolo HTTPS/SSL), seudonimización y capacidad de restaurar la disponibilidad de los datos tras un incidente.

6. Casos prácticos por TIPO DE TIENDA Y PRODUCTO

Caso 1: Tienda de Electrónica (B2C): Recoge datos para garantía de 3 años. Debe informar que guardará el contacto para servicio postventa, pero no puede ceder esos datos a la marca del fabricante para publicidad sin consentimiento expreso.
Caso 2: SaaS de Gestión de Facturas: El desarrollador es Encargado del Tratamiento de los datos de los clientes de sus usuarios. Debe firmar un contrato de encargo (Art. 28) que garantice que no usará esos datos para fines propios.
Caso 3: Dropshipping de Juguetes: El vendedor español recoge el pedido y lo envía a una fábrica en China. Al salir los datos fuera de la UE, se produce una 'Transferencia Internacional'. El vendedor debe informar de ello y asegurarse de que el proveedor chino ofrece garantías mínimas.
Caso 4: Academia de Cursos Online: Utiliza píxeles de Facebook para retargeting. Esto es tratamiento de datos de comportamiento. Si el usuario no acepta la cookie de marketing en el banner inicial, el píxel no debe cargarse.
Caso 5: Vendedor en Amazon (Seller): Amazon le proporciona la dirección de envío. El vendedor no debe incluir esos datos en su propio CRM para enviar publicidad propia posterior, ya que el cliente es de Amazon y el consentimiento se dio para la transacción en Amazon solamente.

7. Plazos clave

8. Sanciones y regimen sancionador

El RGPD establece dos tramos de sanciones máximas (Art. 83):

Hasta 10 millones de euros o el 2% del volumen de negocio anual global (lo que sea mayor) por infracciones relacionadas con obligaciones del responsable, certificaciones o encargados.
Hasta 20 millones de euros o el 4% del volumen de negocio anual global por vulnerar principios básicos (consentimiento), derechos de los interesados o transferencias internacionales.

9. Comparativa antes y despues

10. Como cumplir paso a paso - Guía operativa

Auditoría de Datos: Identifica qué datos pides en tu web. (Coste: Interno / 2-4h).
Registro de Actividades de Tratamiento (RAT): Crea un Excel o Doc con: qué datos tratas, base legal, destinatarios y plazos. (Obligatorio Art. 30).
Actualización de Textos Legales: Redacta Política de Privacidad, Aviso Legal y Política de Cookies. (Coste: ~150-300€ asesoría).
Configuración de Cookies: Instala un CMP (Consent Management Platform) que bloquee scripts antes del consentimiento. (Ej: Cookiebot, Complianz. Coste: 0-20€/mes).
Checkboxes en Formularios: En PrestaShop/WooCommerce, añade campos de aceptación obligatoria (privacidad) y opcional (marketing) en contacto y registro.
Doble Opt-in: Para newsletters, envía email de confirmación tras el registro para validar el consentimiento.
Contratos con Proveedores: Revisa que tu hosting (SiteGround, AWS, etc.) cumpla RGPD y firma su anexo de protección de datos.
Protocolo de Derechos: Crea una plantilla de respuesta para cuando alguien pida borrar sus datos.
HTTPS/SSL: Asegúrate de que toda la web navega bajo certificado seguro. (Coste: suele ser gratis con Let's Encrypt).
Formación: Si tienes empleados, dales una guía básica de no compartir datos de clientes por canales no seguros.
Análisis de Riesgos: Haz una reflexión mínima anual sobre qué pasaría si te roban la base de datos y cómo evitarlo.
Verificación: Realiza una compra de prueba y comprueba que no te has suscrito a nada por error y que los textos legales son visibles.

11. Errores frecuentes

Error 1: No tener el botón 'Rechazar Cookies' al mismo nivel que 'Aceptar'. Conlleva sanciones de la AEPD (recientes multas a grandes ecommerce).
Error 2: Usar una sola casilla para aceptar la Política de Privacidad y el envío de publicidad. Son finalidades distintas y deben estar separadas.
Error 3: No firmar el contrato de encargado con la agencia de marketing que maneja tu base de datos.
Error 4: Almacenar datos de tarjetas de crédito en tu propia base de datos (incumple RGPD y estándares PCI-DSS).
Error 5: Comprar bases de datos de terceros sin verificar que el consentimiento original permitía la cesión a tu empresa.
Error 6: No borrar los datos de carritos abandonados si el usuario no ha dado consentimiento para ser contactado.
Error 7: Publicar fotos de clientes en Instagram sin su autorización por escrito.
Error 8: Responder a un derecho de acceso enviando los datos de otros clientes por error (brecha de seguridad grave).

12. Jurisprudencia y criterios oficiales

Sentencia TJUE Asunto C-673/17 (Planet49): Clarificó que el consentimiento para cookies no es válido mediante casillas premarcadas.
Dictamen 5/2019 del EDPB: Sobre la interacción entre la Directiva ePrivacy y el RGPD, esencial para el marketing online.
Resolución AEPD PS/00044/2021: Sanción a una gran empresa por no permitir el rechazo de cookies de forma sencilla.
Jurisprudencia pendiente: Actualmente se debate en el TJUE el derecho a indemnización por daños inmateriales (estrés) derivados de una brecha de datos, lo que podría abrir la puerta a demandas colectivas contra tiendas online tras un hackeo.

13. FAQ extensa

¿Si vendo solo a España, me afecta esta normativa UE?

Sí, totalmente. El RGPD es la ley vigente en España y se complementa con la LOPDGDD. No existe ninguna excepción por vender solo a nivel nacional o local.

Soy autónomo facturando <60.000€/año, ¿hay alguna excepción?

Vendo en Amazon, ¿quién es responsable: yo o Amazon?

¿Puedo subcontratar el cumplimiento a un proveedor externo?

Puedes contratar a un consultor o DPO para que te ayude, pero la responsabilidad legal ante la AEPD sigue siendo de tu empresa. Asegúrate de elegir proveedores con seguros de responsabilidad civil.

¿Qué pasa si la sanción me supera la facturación del mes?

¿Es obligatorio tener un DPO (Delegado de Protección de Datos)?

Para la mayoría de tiendas online pequeñas no es obligatorio, a menos que trates datos a gran escala (ej. una red publicitaria) o datos sensibles (salud, religión, biometría).

¿Puedo contactar con clientes que compraron hace 5 años?

¿Google Analytics cumple el RGPD?

¿Qué hago si me hackean la tienda?

Debes documentar el incidente. Si hay riesgo para los usuarios (ej. robo de contraseñas o datos bancarios), debes notificarlo a la AEPD en 72h y a los usuarios afectados sin demora.

¿Puedo pedir el DNI para emitir una factura?

Sí, es una obligación legal del Reglamento de Facturación. En este caso, la base legal no es el consentimiento, sino el 'Cumplimiento de una obligación legal'.

¿Las listas de deseos (wishlists) recogen datos personales?

Sí, vinculan un usuario con un interés de compra. Debes informar de este tratamiento en la política de privacidad.

¿Es legal el Dropshipping bajo el RGPD?

Es legal siempre que el cliente sepa que sus datos de envío se comunicarán a un tercero (el proveedor) para poder recibir el producto.

14. Normativas relacionadas

LOPDGDD (Ley Orgánica 3/2018): La adaptación española que detalla aspectos como el testamento digital o los sistemas de información de denuncias internas. BOE-A-2018-16673
Directiva ePrivacy (2002/58/CE): Regula las cookies y el spam. Pendiente de ser sustituida por un nuevo Reglamento ePrivacy. CELEX 32002L0058
Ley de Servicios de la Sociedad de la Información (LSSI-CE 34/2002): Fundamental en España para el envío de comunicaciones comerciales electrónicas. BOE-A-2002-13758
Ley del Consumidor (Real Decreto Legislativo 1/2007): Se cruza con el RGPD en cuanto a los derechos de información precontractual.

15. Recursos oficiales y herramientas recomendadas

AEPD Facilita 2.0: Herramienta gratuita para que pymes y autónomos generen sus textos legales básicos.
Guía de Cookies de la AEPD: El documento de referencia para configurar correctamente los banners de consentimiento.
EDPB Guidelines: Directrices del Comité Europeo sobre consentimiento, transparencia y perfilado.
Modulos Recomendados: 'Complianz' para WordPress/WooCommerce, 'IqitPrivacy' para PrestaShop, o las apps nativas de privacidad en Shopify.

16. Conclusion practica y valoracion

Corto plazo (ya): SSL, banner de cookies y checkboxes.
Medio plazo (1 mes): RAT y contratos con proveedores.
Largo plazo: Auditorías de seguridad periódicas y limpieza de bases de datos inactivas.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.

Fuente oficial: https://eur-lex.europa.eu/eli/reg/2016/679/oj

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.