¿Cumple tu web la AEPD en 2026? Checklist de auditoría DIY
Audita en 15 minutos si tu web cumple el RGPD y la guía de cookies de la AEPD. 7 comprobaciones con casos de sanciones reales. Sin tecnicismos.
Si tu web recoge datos de clientes —un formulario de contacto, un alta de newsletter, un sistema de reservas— y se desarrolló hace más de un par de años, hay una probabilidad alta de que incumpla al menos un punto de la normativa vigente. No es alarmismo: la Agencia Española de Protección de Datos (AEPD) ha sancionado a talleres, comercios, clínicas y agencias por fallos técnicos idénticos a los que tiene la mayoría de webs de pymes. En esta guía vas a auditar tú mismo, en unos 15 minutos y sin tecnicismos, los 7 puntos críticos que mira la AEPD.
¿Qué obliga exactamente la AEPD a una web de pyme?
La normativa que afecta a tu web no es una sola ley, sino la convergencia de tres: el RGPD (Reglamento europeo), la LOPDGDD (ley orgánica española) y la LSSI-CE (Ley de Servicios de la Sociedad de la Información). No necesitas dominarlas, pero sí entender qué te exige cada una.
RGPD: el principio de responsabilidad proactiva
El artículo 32 del RGPD establece la responsabilidad proactiva: no basta con cumplir, hay que poder demostrar que cumples. Esto incluye implementar medidas técnicas adecuadas para proteger los datos —cifrado, control de acceso— y mantener registro de cuándo y cómo los usuarios prestaron su consentimiento. Una web sin HTTPS que recoge datos personales incumple este artículo de forma directa.
LSSI-CE: la regulación de cookies
El artículo 22.2 de la LSSI-CE regula el uso de cookies. La AEPD publicó una Guía sobre el uso de cookiescuya última actualización endureció los requisitos: el consentimiento tácito o “por navegación” es ilegal, y el botón de rechazar cookies debe estar al mismo nivel visual y de accesibilidad que el de aceptar. Las casillas premarcadas en el panel de configuración son nulas.
Por qué “soy pequeño, no me van a mirar” es un error
Es la creencia más extendida y la más cara. La AEPD aplica el principio de que ninguna empresa está exenta de cumplir, y las pymes son especialmente vulnerables porque carecen de departamento jurídico. Además, el proceso de denuncia es gratuito y se tramita online: cualquier usuario, cliente o competidor puede iniciarlo con una captura de pantalla. No te inspeccionan por ser grande; te inspeccionan porque alguien te denuncia o porque un fallo es visible.
Los 7 puntos críticos que debes auditar
Esta es la lista de comprobación. Recórrela con tu web abierta en otra pestaña. Cada punto incluye cómo se manifiesta el fallo, por qué es grave y cómo detectarlo sin herramientas técnicas.
1. HTTPS / certificado SSL activo
Cómo detectarlo: mira la barra de direcciones del navegador. Si la URL empieza por http://sin la “s”, o el navegador muestra “No seguro”, tienes un problema crítico. Por qué es grave: sin cifrado SSL, los datos que un cliente envía por un formulario viajan en texto plano y pueden ser interceptados. La AEPD lo califica como vulnerabilidad grave de las medidas de seguridad del artículo 32 del RGPD.
2. Banner de cookies con rechazo equivalente
Cómo detectarlo: abre tu web en una ventana de incógnito. En el banner de cookies que aparece, ¿hay un botón de “Rechazar”tan visible como el de “Aceptar”? Si solo hay “Aceptar”, o si el de rechazar está escondido en un enlace pequeño o en un submenú, incumples. Por qué es grave:la guía de cookies de la AEPD prohíbe expresamente las asimetrías de diseño y los textos del tipo “si continúas navegando, aceptas”.
3. Panel de cookies de segunda capa
Cómo detectarlo:pulsa “Configurar” o “Personalizar” en el banner. En el panel que se abre, las cookies que no son estrictamente necesarias (analíticas, publicitarias) deben estar desactivadas por defecto. Si aparecen activadas, incumples. También debe existir una forma de revocar el consentimiento en cualquier momento, normalmente un enlace o botón flotante permanente.
4. Política de privacidad accesible y completa
Cómo detectarlo: busca el enlace a la política de privacidad —debe estar accesible desde cualquier página, normalmente en el pie. Ábrela y comprueba que identifica al responsable del tratamiento, las finalidades, la base legal y cómo ejercer derechos. Por qué es grave: recoger datos por un formulario sin una política de privacidad válida es uno de los incumplimientos que la AEPD sanciona con más frecuencia.
5. Formularios con consentimiento trazable
Cómo detectarlo: revisa cada formulario de tu web. Debe tener una casilla de verificación desmarcada por defecto y específica para aceptar la política de privacidad. Vincular la aceptación al mero hecho de enviar el formulario, o juntar en una sola casilla el servicio y el envío de publicidad, invalida el consentimiento. Además, debes poder demostrar cuándo se prestó —algo imposible en gestores antiguos que no registran fecha, IP y versión del texto aceptado.
6. Derechos ARCO ejercitables
Cómo detectarlo: ¿tu web explica cómo un usuario puede acceder, rectificar o suprimir sus datos? ¿Hay un canal claro para hacerlo? Si alguien pide que borres sus datos y no puedes procesarlo de forma ágil, te expones a una sanción. Es exactamente el fallo que llevó a una empresa de marketing digital a una multa de 15.000 € por seguir enviando ofertas tras una solicitud de supresión.
7. Aviso legal con identidad fiscal
Cómo detectarlo: tu web debe tener un aviso legal accesible que identifique al titular: nombre o razón social, NIF/CIF, domicilio y datos de contacto. La LSSI-CE lo exige a cualquier web con actividad económica. Es el punto más fácil de resolver y, aun así, muchas webs lo omiten.
Cómo hacer la auditoría tú mismo en 15 minutos
Herramientas gratuitas que necesitas
No necesitas software de pago. Con esto basta:
- Tu navegador en modo incógnito — para ver el banner de cookies como lo ve un usuario nuevo.
- Las herramientas de desarrollador del navegador(tecla F12, pestaña “Application” o “Almacenamiento”) — para ver qué cookies se cargan antes de que des consentimiento.
- Una comprobación visual de la barra de direcciones para el HTTPS.
El proceso paso a paso
- Abre tu web en una ventana de incógnito.
- Comprueba el HTTPS en la barra de direcciones (punto 1).
- Sin tocar nada, abre las herramientas de desarrollador y mira si ya se han cargado cookies analíticas o publicitarias. Si las hay antes de tu consentimiento, incumples.
- Examina el banner: ¿rechazo equivalente? (punto 2).
- Entra en “Configurar” y revisa el panel de segunda capa (punto 3).
- Localiza y lee la política de privacidad y el aviso legal (puntos 4 y 7).
- Revisa cada formulario buscando la casilla desmarcada (punto 5).
- Busca cómo se ejercen los derechos ARCO (punto 6).
Anota cada punto como correcto, dudoso o incorrecto. Al terminar tendrás un mapa claro de tu situación.
Qué pasa si la AEPD detecta un incumplimiento
El catálogo de sanciones reales a pymes
No hablamos de multas teóricas a grandes tecnológicas. Estas son resoluciones reales de la AEPD contra pequeños negocios, por fallos técnicos idénticos a los de esta checklist:
| Fallo técnico | Tipo de negocio | Sanción |
|---|---|---|
| Banner de cookies sin opción de rechazo | Distribuidora de mobiliario | 3.000 € |
| Sin política de privacidad, formularios irregulares | Empresa de servicios de impresión | 3.000 € + apercibimiento |
| Servidor sin HTTPS, control de acceso deficiente | Comunidad de propietarios | 1.000 € + orden de subsanación |
| Difusión comercial sin base legal (grupo WhatsApp) | Taller de automóviles | 3.000 € |
| Ignorar el derecho de supresión | Empresa de marketing digital | 15.000 € |
El rango general según la LOPDGDD: las infracciones leves alcanzan los 30.000 € y las graves los 150.000 €. Para una pyme, cualquier cifra de esta tabla es un golpe serio a la caja del trimestre.
La medida que de verdad asusta: la suspensión del tratamiento
Más allá del importe, la AEPD tiene potestad para ordenar la suspensión del tratamiento de datos. En la práctica esto significa apagar el motor de reservas de un hotel, inhabilitar el formulario de una clínica o cortar el canal de ventas de un comercio. Para un negocio que depende de su web, esto es más grave que la multa: es perder ingresos cada día que pasa. Y las resoluciones sancionadoras son públicas, con el daño reputacional que eso implica.
Qué hacer con los fallos que has encontrado
Prioriza por riesgo, no por esfuerzo
Si has detectado varios fallos, no los abordes por orden de facilidad. Ordénalos por riesgo:
- Crítico — resolver ya: ausencia de HTTPS, cookies que se cargan antes del consentimiento, formularios que recogen datos sin base legal.
- Alto — esta semana: banner sin rechazo equivalente, política de privacidad inexistente o desactualizada.
- Medio — este mes: panel de segunda capa con casillas premarcadas, aviso legal incompleto, canal de derechos ARCO poco claro.
Cuándo puedes resolverlo tú y cuándo necesitas ayuda
Redactar un aviso legal o instalar un certificado SSL básico es algo que muchos propietarios resuelven solos. Pero reconstruir la gestión de consentimiento, migrar una web entera a HTTPS sin romper enlaces, o rehacer formularios con trazabilidad real suele requerir criterio técnico. La señal de que necesitas ayuda es simple: si después de leer esta guía no tienes claro cómo arreglar un punto crítico, no improvises sobre datos de clientes.
En Arvantor auditamos y reconstruimos webs con el cumplimiento integrado desde el diseño, no como un parche final. Si quieres ver cómo trabajamos cada proyecto o revisar proyectos que ya hemos entregado, están a un clic.
Sigue profundizando
Esta guía es el mapa general. Si quieres bajar al detalle de un punto concreto:
- Banner de cookies legal en 2026 — los requisitos exactos de la guía de la AEPD, capa por capa.
- Formularios web y RGPD — cómo recoger datos con consentimiento trazable.
- Multas por cookies de la AEPD — qué fallos las disparan y cuánto cuestan.
- Sanciones del RGPD a webs en 2026 — el régimen sancionador y la suspensión del tratamiento.
- Cómo evitar una multa de la AEPD — las 6 medidas preventivas, ordenadas por riesgo.
- Te han denunciado a la AEPD — el procedimiento sancionador paso a paso.
En resumen
Auditar el cumplimiento de tu web no es un trámite legal abstracto: es revisar siete puntos concretos que la AEPD ya ha sancionado en negocios como el tuyo. Lo que conviene recordar:
- La normativa aplica igual a webs B2B y B2C, y a empresas de cualquier tamaño.
- Los 7 puntos críticos se revisan en 15 minutos sin herramientas de pago.
- Las sanciones reales a pymes van de 1.000 € a 15.000 €, y pueden incluir la suspensión del tratamiento de datos.
- Prioriza los fallos por riesgo: HTTPS y consentimiento antes que aviso legal.
- El coste de adaptarse siempre es una fracción del de una sanción.
Preguntas frecuentes
- ¿La LSSI-CE se aplica también a webs B2B?
- Sí. El artículo 21.1 de la LSSI-CE no distingue entre destinatarios particulares (B2C) y empresas o autónomos (B2B). La obligación de obtener consentimiento para comunicaciones comerciales electrónicas y para el uso de cookies aplica por igual a cualquier web, sea cual sea su público.
- ¿Necesito un Delegado de Protección de Datos siendo una pyme pequeña?
- No en la mayoría de casos. El RGPD solo obliga a designar un DPO cuando el tratamiento de datos es a gran escala o de categorías especiales (datos de salud, ideología, etc.). Una pyme con una web corporativa y un formulario de contacto normalmente no lo necesita, pero sí debe cumplir el resto de obligaciones (información, seguridad, consentimiento).
- ¿Cuánto cuesta adaptar una web a la normativa?
- Depende del estado de partida. Si solo faltan textos legales y un banner de cookies correcto, es una intervención de pocas horas. Si hay que migrar a HTTPS, rehacer formularios y reconstruir la gestión de consentimiento, el alcance es mayor. Lo importante es que el coste de adaptarse es siempre una fracción del de una sanción.
- ¿Puede denunciarme un competidor por mi web?
- Sí. La AEPD dispone de un canal de denuncias en su sede electrónica accesible para cualquier persona. Un cliente descontento, un usuario o un competidor pueden iniciar un procedimiento aportando capturas de pantalla de una web no conforme. No hace falta ser parte afectada para denunciar.