La AEPD incluye el comercio electrónico en su programa anual de inspecciones temáticas desde 2022, y el número de procedimientos sancionadores contra tiendas online sigue creciendo cada año. A nivel europeo, el importe medio de las multas casi se ha duplicado en dos años. La razón es estructural: las tiendas online recogen un volumen importante de datos personales (pago, dirección, historial de compras) y suelen ser menos maduras jurídicamente que las grandes plataformas. Resultado: el e-commerce ocupa un lugar prioritario en el programa de control anual de la AEPD.
Si gestiona una tienda online, los siete errores siguientes son los que sistemáticamente sitúan los sitios en la lista prioritaria de la AEPD. Este artículo detalla cada uno con las referencias jurídicas exactas y las correcciones concretas. Empiece analizando gratis su tienda con un escáner de conformidad para identificar sus brechas, y luego siga el plan de acción RGPD en 10 pasos para corregirlos.
Por qué la AEPD apunta especialmente al e-commerce
Cada año la AEPD publica un programa de inspecciones temáticas. Desde 2022, el e-commerce está siempre en la lista, junto con la salud digital y el marketing directo. Las razones son estructurales.
Volumen: una tienda online media recopila más de 30 categorías de datos por cliente (identidad, pago, comportamiento de navegación, preferencias, geolocalización). Multiplicado por decenas de miles de clientes, la exposición es considerable.
Trazabilidad del recorrido del usuario: cookies de terceros, píxeles publicitarios, retargeting, marketing automation. Cada herramienta añadida debilita el marco del consentimiento.
Subcontratación: entre el alojamiento, la plataforma (Shopify, WooCommerce, PrestaShop), la pasarela de pago, la herramienta de email marketing y la solución de scoring, una tienda online media tiene entre 8 y 15 encargados del tratamiento. La cartografía rara vez está al día.
Transferencias internacionales: Google Analytics, Mailchimp, Stripe, AWS — muchos servicios alojados en EE. UU. exigen garantías contractuales específicas (cláusulas contractuales tipo, medidas suplementarias post-Schrems II).
Error 1: Cookies sin consentimiento explícito válido
Es el error más frecuente, y el más fácilmente detectable desde fuera. Un banner de cookies debe cumplir tres requisitos acumulativos (Comité Europeo de Protección de Datos + guía AEPD sobre cookies, actualizada en 2023):
- Consentimiento libre: rechazar debe ser tan fácil como aceptar. Un botón “Aceptar todo” sin botón “Rechazar todo” de visibilidad equivalente es una infracción.
- Consentimiento específico: por finalidad (publicidad, medición de audiencia, personalización), no global.
- Consentimiento previo: ningún cookie de terceros puede instalarse antes del clic.
Sanciones recientes: la AEPD, la CNIL francesa y el Garante italiano han sancionado a grandes plataformas con multas de 60 a 150 millones de euros por estos motivos específicos. Para PYME, las multas oscilan típicamente entre 20 000 € y 200 000 € según el tamaño de la empresa y la duración de la no conformidad.
La corrección: desplegar un banner de cookies conforme con bloqueo automático de rastreadores antes del consentimiento. El banner de cookies gratuito WebLegal bloquea automáticamente más de 37 rastreadores y respeta las directrices del CEPD y de la AEPD, además de Google Consent Mode v2.
Error 2: Política de privacidad genérica o ausente
Una parte importante de los sitios e-commerce españoles inspeccionados en los últimos años no tenía política de privacidad conforme. Las carencias más frecuentes:
- Avisos copiados-pegados de otro sitio sin adaptarlos a los flujos reales de datos.
- Plazos de conservación no especificados por categoría de datos.
- Lista de encargados del tratamiento ausente o desactualizada.
- Bases legales del tratamiento no precisadas (consentimiento, contrato, interés legítimo, obligación legal).
El artículo 13 del RGPD impone 12 menciones obligatorias cuando los datos se recogen directamente de la persona. Omitir una sola constituye un incumplimiento, aunque el sitio sea por lo demás seguro.
La corrección: generar una política adaptada a su actividad real. Evite las plantillas genéricas. Para entender las obligaciones exactas, consulte nuestro artículo Política de privacidad obligatoria: requisitos.
Error 3: Aviso legal incompleto
El aviso legal en una tienda online se rige por la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI), el Real Decreto Legislativo 1/2007 (Ley de Defensa de Consumidores y Usuarios) y, para los datos personales, el RGPD y la LOPDGDD. Debe incluir:
- Identidad del vendedor (nombre, denominación social, forma jurídica)
- Domicilio social y dirección de correo electrónico
- Teléfono
- Número de inscripción en el Registro Mercantil y capital social para sociedades
- NIF / CIF
- Datos del responsable de la edición
- Datos del proveedor de hosting
La ausencia de estas menciones puede ser sancionada por la Dirección General de Consumo de la comunidad autónoma correspondiente, con multas administrativas según el RDL 1/2007. La AEPD se centra en los aspectos relativos a los datos personales, mientras que las autoridades de consumo (estatales y autonómicas) controlan los obligaciones del aviso legal en sí. Para más detalle, vea nuestra guía Aviso legal: multa de 75 000 € si falta.
Error 4: Transferencias fuera de la UE sin garantías
Desde la sentencia Schrems II (julio de 2020), toda transferencia de datos a Estados Unidos (y otros países sin decisión de adecuación) debe estar enmarcada por garantías específicas:
- Cláusulas Contractuales Tipo (CCT), versión de junio de 2021 — las versiones anteriores ya no son válidas desde el 27 de diciembre de 2022.
- Evaluación de Impacto de la Transferencia (TIA) documentada.
- Medidas suplementarias si las CCT no bastan (cifrado, seudonimización).
Herramientas concretas afectadas en e-commerce:
| Servicio | Riesgo | Medida |
|---|---|---|
| Google Analytics 4 | Sancionado por CNIL/Garante/AEPD entre 2022 y 2023 | Activar la anonimización de IP + Consent Mode v2, o migrar a Matomo / Plausible |
| Mailchimp | Alojamiento en EE. UU. | CCT + auditoría anual, o alternativa europea (Brevo, Mailjet) |
| Stripe | Alojamiento parcialmente en EE. UU. | CCT activas por defecto, verificar la versión |
| AWS / GCP | Según la región elegida | Preferir eu-west-* / europe-west-* |
La corrección: hacer el inventario de los encargados del tratamiento, verificar las CCT y considerar alternativas europeas para herramientas no críticas. Específicamente para Google Analytics, vea nuestra guía Google Analytics y RGPD: alternativas conformes.
Error 5: Encargados del tratamiento sin contrato
El artículo 28 del RGPD impone un contrato escrito (Acuerdo de Tratamiento de Datos) entre el responsable del tratamiento (usted) y cada encargado que accede a los datos personales de sus clientes. El contrato debe contener 9 cláusulas obligatorias: objeto, duración, finalidades, tipos de datos, obligaciones del encargado, derechos del responsable, transferencias fuera de la UE, subcontratación posterior, cláusulas de finalización.
Las plataformas principales (Shopify, Stripe, AWS, Mailchimp) facilitan un acuerdo estándar firmado en línea. La cuestión: hay que firmarlo realmente y archivarlo. La AEPD solicita sistemáticamente estos acuerdos en una inspección. La ausencia del acuerdo para un solo encargado puede bastar para activar un requerimiento.
La corrección: mantener un registro de encargados con, para cada entrada: tipos de datos tratados, país de alojamiento, fecha de firma del acuerdo, enlace al contrato archivado. Actualizar al añadir cualquier herramienta nueva.
Error 6: Ausencia de proceso para los derechos de los interesados
El RGPD garantiza a los clientes siete derechos exigibles: acceso, rectificación, supresión, limitación, portabilidad, oposición y derecho relativo a las decisiones automatizadas (artículos 15 a 22). La empresa debe responder en un máximo de un mes (ampliable a tres meses para solicitudes complejas).
En la práctica, la AEPD constata regularmente:
- Ninguna dirección de correo dedicada a las solicitudes (un email genérico no basta).
- Sin procedimiento interno documentado: las solicitudes se retrasan o se olvidan.
- Respuesta incompleta: por ejemplo, ante una solicitud de acceso, la empresa envía la exportación de los datos del cliente, pero olvida los registros de conexión, los datos de pago archivados o los emails de marketing recibidos.
- Sin verificación de identidad del solicitante, o por el contrario, exigencias excesivas (copia sistemática del DNI).
La corrección: crear una dirección dpo@susitio.es o privacidad@susitio.es, documentar el proceso interno (quién recibe, quién valida, quién responde, en qué plazo), y verificar la formación periódica del equipo.
Error 7: Brechas de seguridad no notificadas en 72 h
El artículo 33 del RGPD impone notificar una violación de datos a la AEPD en las 72 horas siguientes a su conocimiento, salvo que la violación no sea susceptible de generar un riesgo para los derechos y libertades de las personas. Si el riesgo es elevado, el artículo 34 exige además notificación individual a los clientes afectados.
En e-commerce, las violaciones más frecuentes:
- Fuga de la base de clientes por error de exportación (URL pública incorrecta).
- Acceso no autorizado tras el compromiso de la cuenta de administrador.
- Robo de datos por inyección SQL o XSS.
- Error de envío masivo (email con la base de clientes adjunta).
La AEPD constata regularmente que los e-commerce, por desconocimiento o por miedo a la imagen, no notifican en los plazos. Es un factor agravante: las sanciones se vuelven sustancialmente más altas que para una violación inicialmente menor reportada a tiempo.
La corrección: preparar previamente un protocolo de notificación (modelo de carta a la AEPD, equipo responsable, registro de violaciones). La AEPD ofrece un formulario de notificación en línea específico para estas comunicaciones.
Cómo ponerse en conformidad rápidamente
Los siete errores anteriores se corrigen en menos de una semana para la mayoría de PYME. La secuencia recomendada:
- Día 1: auditoría de lo existente mediante un escáner automático de conformidad para identificar errores públicos (cookies, aviso legal, política de privacidad).
- Día 2: generar o actualizar los documentos legales (política de privacidad, aviso legal, condiciones de venta) con una herramienta especializada.
- Día 3: desplegar un banner de cookies conforme con bloqueo automático.
- Día 4: hacer el inventario de los encargados del tratamiento y verificar los acuerdos.
- Día 5: crear la dirección dedicada a los derechos + documentar el proceso interno.
- Día 6-7: preparar el protocolo de notificación de violaciones y formar al equipo.
Para las multas en caso de inspección, vea nuestro dossier Multas RGPD: top 15 sanciones CNIL en Francia o nuestra guía multi-jurisdicción Sitio web no conforme RGPD: hasta 300 000 € de multa.
FAQ
¿La AEPD inspecciona aleatoriamente o solo por denuncia?
Ambas. Aproximadamente el 70 % de las inspecciones siguen a una denuncia (cliente, competidor, asociación). El 30 % restante son inspecciones temáticas anuales (e-commerce, salud, sector público) o inspecciones de seguimiento tras un requerimiento previo.
¿Cuál es la multa media para una PYME e-commerce española en 2026?
Para PYME (facturación < 5 M €), la media se sitúa entre 5 000 € y 50 000 €. Para empresas medianas, entre 50 000 € y 500 000 €. Las sanciones de varios millones afectan sobre todo a grandes plataformas o a violaciones deliberadas.
¿Es necesario un Delegado de Protección de Datos (DPD) para un e-commerce?
No siempre. El DPD es obligatorio si trata datos a gran escala (artículo 37 del RGPD). Un e-commerce generalista con menos de 50 000 clientes/año generalmente no lo necesita, pero puede designar un responsable RGPD interno. A partir de 100 000 clientes/año o si trata categorías especiales de datos (salud, datos bancarios sin cifrar), el DPD se vuelve necesario.
¿Cómo saber si mi Google Analytics es conforme?
Tres puntos: (1) anonimización de IP activada, (2) Consent Mode v2 conectado a su banner de cookies, (3) acuerdo de tratamiento firmado con Google. Si tiene dudas sobre alguno de los tres, conviene considerar Plausible o Matomo, que son conformes por defecto.
¿Qué hacer si descubro hoy una brecha de datos?
En orden: (1) contener la fuga (cambiar contraseñas comprometidas, aislar el sistema), (2) evaluar el riesgo para las personas (quién, cuántas, qué datos), (3) notificar a la AEPD en 72 h mediante el formulario online si el riesgo está confirmado, (4) si el riesgo es elevado, prevenir individualmente a los clientes afectados, (5) documentar todo en el registro de violaciones.
¿Cuánto dura una inspección de la AEPD?
Una inspección presencial dura uno o dos días. La fase de instrucción posterior puede durar de seis meses a dos años antes de la decisión final. Durante este período, tiene la obligación de cooperar y responder a las solicitudes de documentos complementarios.
Auditar hoy su tienda online lleva menos de cinco minutos con un escáner automático, y le evita semanas de incertidumbre en caso de inspección. Para las obligaciones específicas de Shopify, vea también nuestro dossier Shopify y RGPD: proteger su tienda de las multas.
