RGPD y sitio web en 2026: guía de cumplimiento para pymes europeas
Una pyme alcanza el cumplimiento del RGPD marcando 8 puntos: Consent Mode v2 implementado, banner de cookies sin dark patterns, registro de actividades actualizado, alojamiento en la UE verificado, DPD designado si es obligatorio, derechos de usuario operativos (acceso/supresión), plazos de conservación documentados y política de privacidad accesible. Las multas acumuladas a Meta, TikTok y Uber superaron los mil millones de euros en 2024-2025.
El RGPD cumple 8 años en 2026, pero el 70% de los sitios de pymes europeas siguen siendo parcialmente no conformes según la encuesta Cookiebot 2025. Entre la llegada obligatoria del Consent Mode v2 en marzo de 2024, la DSA, el final del Privacy Shield y su resurrección como Data Privacy Framework, y las nuevas decisiones sobre dark patterns, el terreno se mueve constantemente. Esta es la checklist que aplica OptionWeb a todos los sitios cliente en 2026.
1. Google Consent Mode v2 obligatorio
Desde el 6 de marzo de 2024, Google exige la implementación de Consent Mode v2 para utilizar Google Ads y Google Analytics con usuarios europeos. Sin Consent Mode v2 sus campañas ya no pueden usar datos del EEE para optimizar y las conversiones se infrarreportan masivamente.
En la práctica, hay que transmitir 7 parámetros de consentimiento a Google: ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage, personalization_storage, security_storage. Una CMP (Consent Management Platform) certificada por Google lo gestiona automáticamente.
| CMP | Precio mensual | Ventajas | Inconvenientes |
|---|---|---|---|
| Cookiebot | 12-39 € / 100k vistas | Robusto, certificado por Google, escaneo automático de cookies | Caro a partir de 100k vistas, UI anticuada |
| Didomi | Bajo presupuesto (~80-300 €) | Referencia enterprise, conformidad multipaís | Caro para pymes |
| Axeptio | 9-49 € | UX moderna, tono cercano, sede en la UE | Menos granularidad técnica |
| Iubenda | 5-30 € | Buena relación calidad/precio, multilingüe | Documentación menos clara |
| CMP open-source (Klaro) | 0 € | Self-hosted, gratuito, compatible con RGPD | Mantenimiento manual, sin escaneo automático |
Recomendación de OptionWeb: Axeptio para pymes hasta 100k vistas/mes (UX, precio, sede UE), Cookiebot por encima si necesita escaneo automático multidominio.
2. Banner de cookies sin dark patterns
La AEPD y la CNIL multiplicaron las sanciones a banners de cookies en 2024-2025. Patrones explícitamente prohibidos: botón 'Rechazar todo' oculto o menos visible que 'Aceptar', casillas premarcadas para cookies no esenciales, scroll de página = consentimiento implícito, cierre del banner sin elección equivalente a aceptación.
Regla estricta: 'Aceptar todo' y 'Rechazar todo' al mismo nivel visual — mismo tamaño, color y posición. Rechazar debe ser tan fácil como aceptar. Una pyme francesa fue multada con 8.000 € en 2024 simplemente porque su botón 'Rechazar' era el doble de pequeño.
3. Registro de actividades de tratamiento
El registro de actividades de tratamiento es obligatorio para toda organización con más de 250 empleados, y muy recomendable por debajo. Para una pyme inspeccionada es el primer documento que pedirá la AEPD.
Para cada tratamiento (newsletter, formulario de contacto, pago, selección de personal, contabilidad), documentar:
- Finalidad — Por qué se recogen los datos (p. ej. envío de una newsletter mensual).
- Base jurídica — Consentimiento, contrato, obligación legal, interés legítimo, misión de interés público o intereses vitales.
- Categorías de datos — Email, nombre, IP, comportamiento, datos bancarios, etc.
- Categorías de personas — Prospects, clientes, empleados, subcontratistas, candidatos.
- Destinatarios — Quién recibe los datos: equipo interno, subencargados (Mailchimp, Stripe), socios.
- Transferencias fuera de la UE — Si aplica: país, base jurídica (CCT, BCR, decisión de adecuación).
- Plazo de conservación — Activo + archivo intermedio + archivo legal.
- Medidas de seguridad — Cifrado, control de accesos, copias de seguridad, formación del equipo.
Formato práctico: tabla en Excel o Notion, actualizada con cada nuevo tratamiento. La AEPD ofrece una plantilla gratuita. Calcule 1-2 días de trabajo para componerlo la primera vez.
4. Alojamiento y transferencias fuera de la UE
Desde la sentencia Schrems II (julio de 2020), alojar un sitio web con usuarios europeos en AWS US, Google Cloud US o Azure US sin Cláusulas Contractuales Tipo + análisis de impacto = no conformidad clara. El Data Privacy Framework UE-EE. UU. de julio de 2023 estabilizó la situación para hosters estadounidenses certificados DPF, pero el riesgo residual persiste (recurso de anulación pendiente).
Solución sencilla para pymes: hosting en la UE (AWS Frankfurt, OVH, Hetzner, Scaleway, Verpex EU). Sin transferencia fuera de la UE = sin discusión. Es nuestra elección por defecto en OptionWeb con Verpex (datacenter en Países Bajos).
Para subencargados estadounidenses inevitables (Stripe, Mailchimp, HubSpot, Google Workspace) hay que:
- Verificar la certificación DPF del subencargado en dataprivacyframework.gov
- Firmar un DPA (Acuerdo de Tratamiento de Datos) (normalmente automático en sus condiciones)
- Verificar las CCT (Cláusulas Contractuales Tipo) anexas al DPA
- Documentar en el registro de tratamientos la transferencia y su base jurídica
- Mencionar explícitamente la transferencia en la política de privacidad
5. DPD: ¿obligatorio o no?
El Delegado de Protección de Datos (DPD) es obligatorio sólo en 3 casos: autoridad pública, observación sistemática a gran escala de personas, tratamiento a gran escala de datos sensibles (salud, opiniones, religión, biometría). Para el 95% de las pymes no es obligatorio.
Pero está muy recomendado para pymes B2C o e-commerce: un DPD externo mancomunado cuesta 200-500 €/mes y aporta cobertura legal ante una inspección. Tres opciones:
| Opción | Coste | Para quién |
|---|---|---|
| DPD interno (gerente o RR. HH. formado) | Formación 800-2000 € | Pymes 10-50 personas, tratamientos simples |
| DPD externo mancomunado | 200-500 €/mes | Pymes B2C o e-commerce con datos de usuarios |
| DPD interno dedicado | Salario 50-80k €/año | Empresa 100+ empleados o tratamientos sensibles |
6. Derechos de los usuarios (acceso, supresión)
Todo usuario tiene 6 derechos exigibles: acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad, oposición. Una pyme debe atender una solicitud en 1 mes (ampliable a 2 meses en casos complejos con justificación).
Configuración mínima: dirección de correo dedicada (privacy@sudominio.eu), formulario de contacto etiquetado 'Solicitud RGPD', procedimiento interno documentado para identificar la solicitud, localizar los datos, exportarlos o eliminarlos y notificar al usuario.
7. Plazos de conservación
Conservar datos 'por si acaso' = vulneración del RGPD. Cada categoría de datos debe tener un plazo de conservación justificado. Modelo para pymes:
| Categoría | Activo | Archivo intermedio | Legal |
|---|---|---|---|
| Prospects (formulario contacto) | 3 años tras último contacto | — | — |
| Clientes | Duración de la relación + 3 años | 5 años | 10 años (facturas) |
| Suscriptores newsletter | Mientras estén suscritos | 1 año tras baja | — |
| CV no seleccionados | 2 años (salvo solicitud de supresión) | — | — |
| Logs de servidor (seguridad) | Máx. 1 año | — | — |
| Cookies analytics | Máx. 13 meses | — | — |
8. Política de privacidad accesible
Página dedicada, enlace en el footer de cada página, redactada en lenguaje claro (no jurídica ilegible). Debe contener: identidad del responsable del tratamiento, finalidades y bases jurídicas, plazos de conservación, derechos de los usuarios y cómo ejercerlos, eventuales transferencias fuera de la UE, lista de subencargados terceros (Google Analytics, Mailchimp, etc.), DPD si está designado, derecho a reclamar ante la autoridad (AEPD en España, CNIL en Francia).
Actualizar con cada nuevo subencargado o nueva finalidad. Fecha de última actualización visible en la parte superior.
Multas recientes: lo que hay que recordar
Las multas RGPD superaron en 2024 los mil millones de euros acumulados sólo para Meta (1.200 M€), TikTok (345 M€) y Uber (290 M€). Para las pymes las sanciones son más moderadas pero los motivos recurrentes son reveladores:
- Botón 'Rechazar' oculto o más pequeño — Sanciones repetidas entre 5.000 € y 100.000 € en 2024.
- Newsletter sin double opt-in verificado — Caso típico: 10.000 € de multa para una pyme que importó una lista sin prueba de consentimiento.
- Plazo de conservación excesivo — Conservar CV durante 10 años 'por si acaso' = sanción. Límite recomendado de 2 años.
- Transferencia a subencargado de EE. UU. sin CCT — Sanción 2025 contra una pyme que usaba una herramienta de marketing estadounidense no DPF: 25.000 €.
- Política de privacidad ausente o incompleta — Multa mínima de 5.000 € casi sistemática en caso de denuncia.
Read next
Accesibilidad web y European Accessibility Act 2025: guía WCAG 2.2
El European Accessibility Act entró en vigor el 28 de junio de 2025. Qué empresas están afectadas, qué obligaciones WCAG 2.2 y 2.4 aplican, y cómo auditar y corregir un sitio pyme en 2026.
Alojamiento web en Bélgica en 2026: la guía completa para PYMES
Cómo elegir un alojamiento web belga en 2026 — criterios de selección, costes reales, conformidad RGPD, centros de datos locales, rendimiento. Guía práctica de OptionWeb.
Local SEO y Google Business Profile para pymes belgas en 2026
Cómo posicionarse en el local pack de Google: optimización de Google Business Profile, citas NAP, review velocity, schema LocalBusiness y estrategia específica para pymes belgas.