La protección de datos en 2025: todo lo que su web debe saber
protección de datos, RGPD 2025, cumplimiento web
La protección de datos en 2025: todo lo que su web debe saber
Fecha: 2025-05-19 08:35:42Autor: Alex Rubio
La protección de datos en 2025: todo lo que su web debe saber
1. Un momento decisivo
En apenas cinco meses de 2025 la Agencia Española de Protección de Datos (AEPD) ha multado a LaLiga con 1 M € por reconocimiento facial en los estadios, a Orange Espagne con 1,2 M € por una SIM duplicada y a una inmobiliaria con 20 000 € por fotografiar buzones de vecinos para marketing puerta a puerta. Mientras tanto, el regulador irlandés —que actúa como “policía europeo” de muchas grandes tecnológicas— acaba de imponer 530 M € a TikTok y ha ordenado suspender los envíos de datos a China si no cambia sus procesos.
El RGPD no se ha relajado con el tiempo: según el último Enforcement Tracker Report, 2 245 sanciones estaban registradas a 1 de marzo de 2025, con una recaudación acumulada cercana a los 6 000 M €.
Moraleja: si organizaciones multimillonarias y hasta ligas de fútbol pagan, cualquier web corporativa es un blanco visible.
2. El marco legal que importa este año
| Norma / guía | Clave en 2025 | Implicación directa para su web |
|---|---|---|
| RGPD (UE 2016/679) | Sigue siendo la “Constitución” de los datos en Europa. | Bases jurídicas, derechos de las personas, multas de hasta 20 M € o el 4 % de la facturación . |
| LOPD-GDD (ES 3/2018) | Aterriza el RGPD en España; reformada para incluir limitaciones al tratamiento biométrico. | Reglas sobre derechos digitales y denuncias ante la AEPD. |
| Guía de Cookies AEPD (14-05-2024) | Obliga a mostrar un botón “Rechazar” tan visible como “Aceptar” y prohíbe casillas premarcadas. | El banner incorrecto es hoy el incumplimiento más fácil de detectar. |
| Data Act (aplicable 12-09-2025) | Introduce derechos sobre los datos generados por dispositivos y servicios en la nube. | Reescribe contratos con proveedores IoT y obliga a nuevas cláusulas en la política de privacidad. |
(El ePrivacy Regulation sigue atascado en Bruselas, pero la AEPD aplica ya sus criterios a través de la guía de cookies).
3. ¿Qué me puede pasar si ignoro el tema?
- Multa económica. Las cifras anteriores hablan solas. El riesgo ya no es teórico.
- Costes de remediation. Abogados, consultores y desarrollo urgente suelen triplicar la sanción.
- Pérdida de reputación y SEO . Una resolución de la AEPD es pública y los medios la replican; además, Google penaliza webs inseguras.
- Bloqueo operativo. El regulador puede ordenar la suspensión de un tratamiento, paralizando parte del negocio.
4. Anatomía de una web “a prueba de AEPD”
4.1 Política de privacidad que vive y respira
- Desglosar bases jurídicas de cada tratamiento.
- Incluir plazos de conservación concretos.
- Revelar transferencias internacionales y salvaguardas.
- Referenciar el Data Act cuando aplique.
4.2 Cookies y consentimiento informado
- Igualdad visual entre “Aceptar” y “Rechazar”.
- No ejecutar scripts antes del consentimiento.
- Guardar prueba del momento exacto de aceptación.
- Panel para cambiar la decisión en un clic.
4.3 Formularios, leads y newsletters
- Enlace concurrente a la política de privacidad.
- Doble opt-in obligatorio para marketing.
- Logs de consentimiento conservados al menos tres años.
4.4 E-commerce y pagos
- Base jurídica: ejecución de contrato.
- Cumpla PSD2 SCA y cifrado TLS 1.3.
- Contrato de encargado con plataforma de pago y hosting.
4.5 Chatbots y atención en vivo
- Mensaje inicial sobre tratamiento de datos.
- Exportar la transcripción ante solicitud de acceso.
4.6 Analítica y trazadores de sesión
- Bloqueo hasta consentimiento.
- Activar anonimización de IP .
- Revisar identificadores considerados datos personales.
4.7 Plugins sociales
- Bloqueo previo al consentimiento.
- Actualizar política de privacidad con transferencias internacionales.
4.8 Hosting, backups y seguridad
- DPA firmado con el proveedor.
- Copias cifradas AES-256 almacenadas en la UE.
- WAF, CSP y pentest anual.
4.9 Áreas privadas, biometría y control de accesos
La biometría es un dato “especialmente sensible”. Tras la multa a LaLiga, la AEPD exige proporcionalidad justificada con una Evaluación de Impacto y medidas alternativas.
4.10 Documente todo
Bajo el principio de responsabilidad proactiva no basta «cumplir»: hay que poder demostrar el cumplimiento en cualquier momento.
5. Autodiagnóstico rápido
| Pregunta | Sí | No |
|---|---|---|
| ¿Su banner muestra “Rechazar” tan visible como “Aceptar”? | ||
| ¿Tiene evidencias (fecha, IP) de cada consentimiento? | ||
| ¿Los formularios enlazan a la política de privacidad? | ||
| ¿Analytics y píxeles se bloquean hasta aceptar? | ||
| ¿Existe un DPA con hosting, e-mail y pasarela de pago? | ||
| ¿Los textos legales se revisaron tras mayo 2024? | ||
| ¿Algún plugin social carga antes del consentimiento? | ||
| ¿Hace pentest y revisa backups al menos 1 vez/año? | ||
| ¿Responde a solicitudes de acceso/borrado < 30 días? |
Un solo “No” significa riesgo real de inspección y sanción.
6. Próximos pasos
- Auditoría interna inminente. Utilice la tabla anterior como guion y documente resultados.
- Plan de acción. Priorice cookies, bases jurídicas y contratos con terceros.
- Formación del equipo. Marketing, TI y legal deben entender la guía de cookies y el Data Act.
- ¿Necesita ayuda externa? Podemos derivarle —sin coste ni compromiso— a nuestro despacho jurídico especializado.
*Este artículo se basa en resoluciones y guías oficiales publicadas hasta mayo 2025. No sustituye al asesoramiento jurídico profesional.*
