2026 es el año en que los propietarios de tiendas Shopify dejan de salir impunes con atajos de conformidad. La UE acelera la aplicación tras la entrada en vigor de la Data Act, y la CPRA de California es ya plenamente exigible con la California Privacy Protection Agency sancionando activamente a los infractores. Si su tienda Shopify atiende a clientes UE o californianos —y casi todas lo hacen—, debe estar preparado para ambos regímenes regulatorios. Esto es lo que ha cambiado, lo que viene y cómo arreglarlo en menos de una hora.
Empiece por un análisis gratuito de su tienda con nuestro escáner de conformidad RGPD para ver exactamente dónde se encuentra hoy.
La realidad sancionadora de 2026: por qué las tiendas Shopify son blancos fáciles
A los reguladores les encantan las tiendas Shopify por tres razones: son fáciles de identificar (la huella de la plataforma es evidente), suelen ejecutar un stack estándar de herramientas de terceros (Google Analytics, Meta Pixel, Klaviyo, Hotjar) y la mayoría de propietarios dependen en exceso de las herramientas por defecto de Shopify, que cubren solo el 40-60 % de los requisitos reales de conformidad.
Lo que ha cambiado en los últimos 12 meses:
- AEPD, Garante, CNIL han publicado guías dirigidas específicamente a banners de cookies de e-commerce en 2025. Casillas premarcadas, “continuar navegando = consentimiento” y dark patterns están explícitamente sancionados.
- La aplicación de la CPRA empezó el 1 de julio de 2023 y la California Privacy Protection Agency ha emitido acuerdos de 500 K$-1 M$ a lo largo de 2025. Ahora se centra en tiendas e-commerce de tamaño medio.
- Global Privacy Control (GPC) ha pasado a ser legalmente vinculante como señal de exclusión bajo la ley de California. La CPA de Colorado (en vigor desde julio 2023) y la CTDPA de Connecticut también la reconocen. La mayoría de tiendas Shopify no la detectan.
- El banner de cookies integrado en Shopify es un suelo de conformidad, no un techo. Funciona para consentimiento RGPD básico pero no gestiona GPC, no bloquea trackers antes del consentimiento y no soporta el control granular “Do Not Sell or Share” del CCPA.
RGPD + CCPA: dos regulaciones, una tienda Shopify
| Aspecto | RGPD (UE) | CCPA/CPRA (California) |
|---|---|---|
| Activador | Cualquier interesado en la UE | Residentes de California (consumidores O empleados) |
| Modelo de consentimiento | Opt-in (antes de recoger datos) | Opt-out (derecho a rechazar venta/compartición) |
| Multa máxima | 20 M€ o 4 % facturación mundial | 7.500 $ por infracción intencional |
| Base jurídica | 6 bases explícitas (consentimiento, contrato, interés legítimo…) | Aviso + derecho de exclusión |
| Señal del navegador | No obligatoria (algunas autoridades la recomiendan) | GPC obligatorio |
| Derechos del interesado | Acceso, rectificación, supresión, portabilidad, oposición, limitación | Conocer, suprimir, corregir, optar por no vender/compartir, limitar PI sensible |
| Regulador | 27 autoridades nacionales (AEPD, CNIL, Garante, BfDI…) | California Privacy Protection Agency (CPPA) |
Si su tienda Shopify tiene aunque sea un cliente californiano, CCPA/CPRA se aplica. Si tiene un visitante UE, el RGPD se aplica. La mayoría de tiendas están en el alcance de ambos —y las infracciones en uno son a menudo prueba para el otro.
Global Privacy Control (GPC): la señal que Shopify no maneja
Bajo CPRA § 7025, Colorado CPA y Connecticut CTDPA, cuando el navegador del usuario envía la cabecera Sec-GPC: 1, la empresa debe tratarla como exclusión válida de venta/compartición —sin ninguna interacción con el banner. Es exigible.
Lo que hacen las herramientas por defecto de Shopify:
- Shopify Customer Privacy API: rastrea el estado del consentimiento, pero no detecta GPC.
- Banner de cookies integrado (activado en Online Store → Preferences): muestra un banner, guarda una cookie, pero no lee
navigator.globalPrivacyControl. - La mayoría de apps de consentimiento de terceros (en 2026): el soporte GPC es una función premium de pago o sencillamente inexistente.
Nuestra bandera de cookies WebLegal gratuita detecta GPC automáticamente en la primera carga de página y aplica silenciosamente la exclusión sin mostrar el banner —conforme CPRA por defecto. También bloquea más de 35 categorías de trackers antes de cualquier interacción de consentimiento, lo que cumple el requisito de “consentimiento previo” del RGPD.
Herramientas de Shopify vs apps de terceros: realidad 2026
Shopify integrado (gratis):
- ✅ Acuerdo de Tratamiento de Datos (DPA) disponible en ajustes
- ✅ Flujo de acceso/supresión de datos del cliente
- ✅ Banner de cookies básico
- ❌ Detección GPC
- ❌ Bloqueo de trackers antes del consentimiento
- ❌ Plantilla de Política de Privacidad conforme RGPD (plantilla genérica de derecho US)
- ❌ Generación automática del enlace CCPA “Do Not Sell or Share”
Stack típico de terceros (TermsFeed, Iubenda, Osano, Pixel Perfect, CookieYes, WebLegal):
| Función | Iubenda €€€ | TermsFeed €€ | Osano €€€€ | CookieYes € | WebLegal € |
|---|---|---|---|---|---|
| Política de privacidad RGPD | ✅ | ✅ | ✅ | ⚠️ básica | ✅ |
| Secciones específicas CCPA | ✅ | ✅ | ✅ | ⚠️ | ✅ |
| Detección GPC automática | ⚠️ pago | ❌ | ✅ | ⚠️ pago | ✅ gratis |
| Bloqueo de trackers | ⚠️ limitado | ❌ | ✅ | ✅ | ✅ |
| Soporte 14 idiomas | ✅ | ⚠️ 11 | ✅ | ⚠️ 8 | ✅ |
| Bypass seguro para bots/SEO | ❌ | ❌ | ⚠️ | ❌ | ✅ |
| Precio | 29-99 €/mes | 49 $ pago único | 49 $/mes | 9-45 $/mes | 14,90 €/doc |
Para una comparativa en profundidad de los principales generadores, vea nuestra comparativa Iubenda vs Termly vs WebLegal.
Checklist 10 puntos Shopify RGPD + CCPA 2026
Úsela como auditoría antes de la próxima ola regulatoria:
- ☐ DPA firmado con Shopify (ajustes → checkout → RGPD)
- ☐ Política de Privacidad publicada con secciones de doble ley (UE + California) —no un boilerplate genérico “mundial”
- ☐ Política de Cookies que liste cada script de terceros con finalidad + retención (Google Analytics, Meta Pixel, Klaviyo, Hotjar, TikTok, etc.)
- ☐ Condiciones de Venta con derecho de desistimiento UE de 14 días + cláusulas de protección al consumidor de California
- ☐ Banner de cookies que bloquea trackers ANTES del consentimiento (consentimiento previo, art. 7 RGPD)
- ☐ Detección GPC activa (exclusión a nivel de navegador aplicada automáticamente)
- ☐ Enlace “Do Not Sell or Share My Personal Information” en el footer (CPRA § 7013)
- ☐ Flujo de solicitudes de los interesados (email + formulario web) con SLA de 30 días (RGPD) / 45 días (CCPA)
- ☐ DPO o contacto de privacidad mencionado en la Política de Privacidad si trata datos UE a escala
- ☐ Revisión anual programada —las leyes y las apps cambian cada 12 meses
Las tiendas a las que les faltan 4+ puntos de esta lista son las primeras que los reguladores señalan en 2026. Para el panorama documental más amplio, vea los 4 documentos legales esenciales para todo sitio e-commerce.
Si quiere un punto de partida más amplio sobre Shopify y RGPD (sin foco en California), consulte nuestra guía Shopify y RGPD: Proteger Su Tienda de Multas.
Conformidad rápida: 45 minutos para estar listo
Ruta realista para una tienda Shopify de pyme:
- Paso 1 (5 min): análisis de conformidad gratuito —obtenga su puntuación actual.
- Paso 2 (15 min): genere su Política de Privacidad + Política de Cookies + CGV con plantillas legales IA. Pack multi-doc = 34,90-49,90 € total.
- Paso 3 (5 min): instale el banner de cookies con GPC gratuito —una etiqueta de script, sin dashboard.
- Paso 4 (15 min): añada el enlace “Do Not Sell or Share” en su footer (Tema Shopify → Footer), enlazado a la sección correspondiente de su política.
- Paso 5 (5 min): verifique: visite su tienda con un navegador con GPC activado y confirme que el banner rechaza silenciosamente.
Tiempo total: ~45 minutos. Coste total: 35-50 € en documentos, 0 € en banner.
Lecturas relacionadas
- Shopify y RGPD: Proteger Su Tienda de Multas —el primer básico solo RGPD
- Política de cookies: normas y sanciones —qué debe incluir su política de cookies en 2026
- Los 4 documentos legales esenciales —stack documental completo para e-commerce
- Iubenda vs Termly vs WebLegal —comparativa de generadores
