Protección de datos para tiendas online en España: guía legal completa
Te lo digo de colega a colega: cada vez que entra un pedido en tu tienda, estás recogiendo un montón de datos personales. Nombre, dirección, email, teléfono, datos de pago, lo que ha mirado el cliente y lo que tiene en el carrito. Todo eso no es "información de negocio" sin más. Es material protegido por ley, y la ley aquí muerde.
He pasado por la auditoría legal de varios e-commerce y siempre se repite la misma escena: el propietario cree que con poner un banner de cookies cualquiera ya está cubierto, y resulta que tiene tres o cuatro frentes abiertos sin saberlo. Así que vamos a verlo de forma práctica. Qué normativas te afectan de verdad, qué documentos necesitas tener sí o sí, y dónde están los puntos por los que llegan las multas. La idea es que cumplas con la protección de datos para tiendas online en España sin volverte loco ni montar un departamento jurídico.
Marco legal aplicable al e-commerce en España
No hay una única ley que te diga "haz esto". Hay varias normativas que se solapan, y tu tienda cae bajo todas a la vez. Te las traduzco al idioma de quien gestiona un carrito y un checkout.
RGPD (Reglamento General de Protección de Datos)
El reglamento europeo que regula el tratamiento de datos personales. Aplica a cualquier empresa que trate datos de residentes en la UE, independientemente de dónde esté establecida. Si vendes a alguien en España, te aplica, aunque tu servidor esté en la otra punta del mundo.
LOPDGDD (Ley Orgánica de Protección de Datos)
Es la transposición española del RGPD. Añade especificidades nacionales, como los derechos digitales de los empleados y la regulación de los sistemas de información crediticia. Piénsala como la "letra pequeña española" que se monta encima del reglamento europeo.
LSSI-CE (Ley de Servicios de la Sociedad de la Información)
Esta es la que más te va a tocar el día a día. Regula las comunicaciones comerciales electrónicas —tu newsletter y tus emails promocionales—, las cookies y la información que tu web de comercio electrónico está obligada a mostrar.
Ley General para la Defensa de los Consumidores
Aquí están los derechos de quien te compra: derecho de desistimiento, garantías, información precontractual. Todo lo que el cliente puede exigirte después de pulsar "comprar".
PSD2 / PCI-DSS (si procesas pagos)
Y por último, las que regulan la seguridad de las transacciones de pago electrónico. Si tienes pasarela —y la tienes—, esto va contigo.
Obligaciones legales de una tienda online
Vamos al grano con lo que tienes que tener publicado y funcionando. Esta es la lista que repaso en cada auditoría.
1. Aviso legal (LSSI-CE)
Tu web debe mostrar de forma visible y accesible:
- Denominación social y NIF.
- Domicilio social.
- Email y teléfono de contacto.
- Datos de inscripción en el Registro Mercantil.
- Número de colegiado (si aplica).
- Precio de productos/servicios incluyendo impuestos.
Nada de esconderlo en un footer ilegible. "Accesible" significa que un inspector lo encuentra en dos clics, y tu cliente también.
2. Política de privacidad (RGPD)
Este documento explica cómo recoges y tratas los datos personales. Y ojo, no vale uno genérico copiado: tiene que reflejar lo que tú haces de verdad. Como mínimo debe incluir:
- Responsable del tratamiento: nombre de la empresa, NIF, dirección, contacto del DPO (si aplica).
- Finalidades: para qué usas los datos (gestión de pedidos, marketing, atención al cliente).
- Base legal: consentimiento, ejecución de contrato, interés legítimo, obligación legal.
- Destinatarios: a quién compartes los datos (empresas de transporte, pasarela de pago, herramientas de marketing).
- Transferencias internacionales: si los datos salen de la UE (por ejemplo, si usas Mailchimp con servidores en EE.UU.).
- Plazo de conservación: cuánto tiempo guardas los datos.
- Derechos: acceso, rectificación, supresión, portabilidad, oposición, limitación.
- Derecho a reclamar: posibilidad de presentar reclamación ante la AEPD.
3. Política de cookies (LSSI-CE + RGPD)
Tu tienda usa cookies. Todas lo hacen, así que no nos engañemos. Y aquí hay tres cosas que tienes que clavar: informar de qué cookies usas, para qué y durante cuánto tiempo; obtener el consentimiento antes de activar las no esenciales (analítica, marketing, personalización); y permitir que el usuario navegue rechazándolas igual de fácil que aceptándolas.
¿Cómo se materializa todo eso? En el banner de cookies. Visible al primer acceso, con sus opciones de aceptar, rechazar o configurar. Y "rechazar" tiene que estar al mismo nivel que "aceptar", no escondido tres pantallas más adentro.
Tipos de cookies y consentimiento
| Tipo | Ejemplo | ¿Necesita consentimiento? |
|---|---|---|
| Técnicas/esenciales | Carrito de compra, sesión de usuario | No |
| Analíticas propias | Google Analytics (configurado sin datos personales) | Sí (aunque con exención parcial) |
| Analíticas de terceros | Google Analytics estándar, Hotjar | Sí |
| Publicitarias | Google Ads, Facebook Pixel, retargeting | Sí |
| De personalización | Idioma preferido, productos recomendados | Sí |
Fíjate en la primera fila: el carrito y la sesión de usuario no piden consentimiento porque sin ellos la tienda no funciona. Todo lo demás sí lo pide.
4. Condiciones de venta (Ley de consumidores)
El documento que regula cómo se compra en tu tienda. Aquí no puede faltar:
- Proceso de compra paso a paso.
- Precios con impuestos incluidos.
- Métodos de pago aceptados.
- Plazos y costes de envío.
- Derecho de desistimiento (14 días naturales para la mayoría de productos).
- Política de devoluciones.
- Garantías legales.
- Ley aplicable y jurisdicción.
Ese plazo de 14 días naturales es de los que más reclamaciones genera cuando no se informa bien, así que déjalo claro como el agua.
5. Formularios con cláusula informativa
Cada formulario que recoja datos —registro, contacto, newsletter, el propio checkout— necesita su cláusula informativa resumida, con enlace a la política de privacidad completa y la casilla de consentimiento cuando toque. Sí, también el checkout. Es el formulario que más datos recoge y el que más gente se olvida de revisar.
6. Consentimiento para comunicaciones comerciales
Para mandar newsletters, ofertas o emails promocionales necesitas el consentimiento expreso del destinatario, el clásico opt-in. Hay una excepción que te interesa conocer:
- Clientes existentes: puedes enviar comunicaciones sobre productos similares a los que ya compraron, siempre que les des opción de darse de baja en cada comunicación (soft opt-in).
Y en cualquier caso, cada email lleva su enlace visible para darse de baja. Sin excepciones.
Protección de datos en el proceso de compra
Aquí es donde la teoría se convierte en tu funnel real. Veámoslo desde dentro de un pedido.
Datos que recoges en un pedido
| Dato | Finalidad | Base legal |
|---|---|---|
| Nombre y apellidos | Entrega, facturación | Ejecución de contrato |
| Confirmación de pedido, comunicación | Ejecución de contrato | |
| Dirección de envío | Entrega | Ejecución de contrato |
| Teléfono | Contacto para entrega | Ejecución de contrato |
| Datos de pago | Cobro | Ejecución de contrato |
| Historial de compras | Servicio post-venta, recomendaciones | Interés legítimo / Consentimiento |
| Datos de navegación (cookies) | Analítica, marketing | Consentimiento |
Lo importante de esta tabla: casi todo lo que pides en el checkout se sostiene en "ejecución de contrato", o sea, lo necesitas para servir el pedido y no hace falta pedir consentimiento aparte. Pero en cuanto pasas al historial para recomendar productos o a las cookies de marketing, la base legal cambia y ahí sí necesitas consentimiento.
Pasarelas de pago y PCI-DSS
Buenas noticias en este frente. Si usas pasarelas externas como Stripe, PayPal o Redsys, los datos de tarjeta los procesa la pasarela, no tú. Eso reduce enormemente tu responsabilidad en cuanto a PCI-DSS.
Dicho esto, no te despreocupes del todo: asegúrate de que tu pasarela está certificada PCI-DSS y de que nunca, jamás, almacenas datos completos de tarjeta en tu base de datos. Si alguna vez ves un número de tarjeta entero en tu backend, tienes un problema serio.
Datos compartidos con terceros
Tu tienda no trabaja sola, y con cada herramienta que conectas estás compartiendo datos:
- Empresa de transporte: nombre, dirección y teléfono del comprador.
- Pasarela de pago: datos necesarios para procesar el cobro.
- Herramientas de marketing: email (si hay consentimiento) para newsletters y remarketing.
- Plataforma de hosting: almacena los datos en sus servidores.
- Herramientas de analítica: datos de navegación (cookies).
Todos estos son encargados de tratamiento, y con cada uno debes tener firmado un contrato de encargado. El de transporte y el de hosting son los que más se olvidan, y son justo los que un inspector pide primero.
Errores legales más comunes en tiendas online
Te resumo en qué tropieza casi todo el mundo. Si reconoces tu tienda en alguno de estos puntos, ya sabes por dónde empezar:
- No tener banner de cookies funcional: un PDF diciendo "usamos cookies" no cumple la ley.
- Casilla de newsletter premarcada: el consentimiento debe ser activo, no premarcado.
- No firmar contratos con encargados de tratamiento: especialmente con la empresa de transporte y el hosting.
- Política de privacidad copiada de otra web: cada web debe tener una política adaptada a sus tratamientos específicos.
- No informar sobre transferencias internacionales: si usas Mailchimp, Google Analytics o cualquier servicio con servidores fuera de la UE, debes informar.
- No ofrecer mecanismo de desistimiento claro: el cliente debe poder ejercer su derecho de desistimiento de forma sencilla.
- Conservar datos indefinidamente: define plazos de conservación y respétalos.
- No tener proceso para ejercicio de derechos: si un cliente pide que elimines sus datos, debes poder hacerlo en 30 días.
Ese último punto es traicionero. El día que llega la solicitud no es momento de improvisar: o tienes el proceso montado o se te van los 30 días encima.
Herramientas para cumplir
No hace falta que reinventes nada. El mercado ya tiene resuelto casi todo, y buena parte es gratis o casi:
| Necesidad | Herramienta | Coste |
|---|---|---|
| Banner de cookies | CookieYes, Cookiebot | 0-45 €/mes |
| Textos legales (privacidad, aviso legal, cookies) | Iubenda, Termly | 0-30 €/mes |
| Gestión de consentimientos | OneTrust, Cookiebot | 30-100 €/mes |
| Contratos encargado tratamiento | Plantillas AEPD (gratuitas) | Gratuito |
| Gestión de derechos (acceso, supresión) | Proceso interno documentado | Gratuito |
Mira las dos últimas filas: las plantillas de contrato de encargado las da gratis la propia AEPD, y el proceso para gestionar derechos no cuesta dinero, cuesta sentarte a documentarlo una tarde. Sin excusas, vamos.
Cuando merece la pena pedir ayuda
Llega un punto en el que, entre el catálogo, las campañas y la logística, no tienes la tarde para sentarte a auditar tratamientos y firmar contratos de encargado uno por uno. Ahí es donde entramos: en Tangram Consulting acompañamos a tiendas online en todo el cumplimiento de protección de datos —auditoría legal, implementación de cookies y consentimientos, redacción de textos legales adaptados a tus tratamientos y la configuración técnica que lo sostiene.
Si tu e-commerce necesita ponerse al día con el RGPD y la LSSI antes de que lo haga un inspector por ti, escríbenos y lo revisamos juntos: https://tangramconsulting.es/contacto.