RGPD y comercio electrónico en España: obligaciones, sanciones AEPD y guía de conformidad
Cada transacción online es un acto de confianza
Cuando un cliente introduce su tarjeta de crédito en su tienda online, no solo compra un producto. Confía en usted sus datos personales — nombre, dirección, email, datos bancarios, historial de compras. Esa confianza tiene un valor inmenso. Y en España, tiene un marco legal muy estricto.
El comercio electrónico español facturó más de 90.000 millones de euros en 2025. Detrás de cada pedido hay datos que el RGPD, la LOPDGDD y la LSSI obligan a proteger. Y la AEPD vigila con una intensidad sin equivalente en Europa.
No se trata solo de evitar multas. Se trata de construir un negocio digital que respete a sus clientes.
299 sanciones en 2025. La AEPD es la autoridad más activa de Europa en volumen de multas. El e-commerce es uno de sus sectores prioritarios.
Por qué el e-commerce es una prioridad para la AEPD
299 sanciones en 2025: España lidera Europa en volumen de multas
La AEPD es una de las autoridades de protección de datos más activas del continente. En 2025, impuso 299 sanciones económicas por un total de 40 millones de euros — un incremento del 14 % respecto a 2024. Ninguna otra autoridad europea sanciona con tanta frecuencia.
Este dato es crucial para el comercio electrónico: mientras que otras autoridades europeas se concentran en grandes expedientes con multas de decenas de millones, la AEPD actúa en volumen. Sanciona a grandes corporaciones, sí, pero también a pymes, autónomos y tiendas online de tamaño medio. El riesgo de sanción no es teórico — es estadístico.
Un modelo basado en denuncias ciudadanas
Cualquier ciudadano puede presentar una reclamación ante la AEPD a través de su Sede Electrónica en minutos, de forma gratuita y sin abogado. Un cliente que recibe un email no solicitado, que no puede darse de baja, o que descubre cookies sin consentimiento, puede denunciar directamente.
En el sector e-commerce, las reclamaciones son frecuentes: comunicaciones comerciales no deseadas, dificultades para ejercer derechos, cookies sin consentimiento, falta de transparencia.
La LSSI: una ley específica para el comercio digital
España tiene algo que otros países no tienen: la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico). Precede al RGPD en 15 años y establece obligaciones específicas sobre comunicaciones comerciales y cookies. Se aplica de forma complementaria al RGPD y a la LOPDGDD, creando un triple marco normativo.
Las 7 obligaciones RGPD para tiendas online en España
1. Consentimiento de cookies: LSSI + RGPD + Guía AEPD
En España, las cookies están reguladas por tres textos simultáneamente: el artículo 22.2 de la LSSI, el RGPD y la LOPDGDD. La AEPD publicó su “Guía sobre el uso de las cookies” (actualizada en 2023) que detalla las obligaciones específicas para el mercado español.
Las reglas esenciales:
- Ninguna cookie no esencial — No puede depositarse antes del consentimiento explícito
- Consentimiento cualificado — Debe ser libre, específico, informado e inequívoco
- Botón rechazar visible — “Rechazar todo” debe ser tan visible como “Aceptar todo”
- Política de cookies accesible — Clara, completa y actualizada
- Navegación no es consentimiento — La AEPD lo confirmó expresamente
La AEPD realiza controles automatizados de sitios web. Si su tienda online deposita cookies de Google Analytics, Facebook Pixel o cualquier rastreador de marketing antes del consentimiento, es una infracción directa.
Solución concreta: Cookilio bloquea todos los scripts de terceros antes del consentimiento del usuario y genera la prueba server-side de cada elección. Desplegable en 5 minutos, a partir de 9 EUR/mes. Más información sobre Cookilio.
2. Comunicaciones comerciales: las reglas estrictas de la LSSI
Este es el terreno donde más sanciona la AEPD en el contexto e-commerce. El artículo 21 de la LSSI prohíbe el envío de comunicaciones comerciales por correo electrónico u otro medio equivalente sin el consentimiento previo del destinatario.
Las únicas excepciones:
- Relación contractual previa — Los productos o servicios promocionados son similares a los adquiridos
- Consentimiento expreso — El destinatario ha dado su consentimiento explícito
- Mecanismo de oposición — En ambos casos, debe existir un mecanismo sencillo y gratuito de oposición (darse de baja)
Prácticas que la AEPD sanciona sistemáticamente:
- Bases de datos compradas — Envío de newsletters a contactos adquiridos sin consentimiento
- Email marketing sin opt-in — Contactos que no han dado consentimiento previo
- Enlace de baja ausente — Ausencia de enlace de baja funcional en los correos comerciales
- Ignorar solicitudes de baja — Continuar enviando correos tras una solicitud de baja
- Cesión sin consentimiento — Cesión de listas de correo a terceros sin consentimiento
CaixaBank fue sancionada con 6 millones de euros en parte por este tipo de prácticas — envío de comunicaciones comerciales sin base jurídica válida.
3. Datos de clientes y plazos de conservación
Una tienda online acumula datos con cada pedido: nombre, dirección de envío, email, teléfono, historial de compras, dirección IP, preferencias de producto. El RGPD exige que estos datos se conserven solo el tiempo estrictamente necesario.
Plazos orientativos según la finalidad:
- Datos de facturación — 4 años (obligación fiscal, Ley General Tributaria)
- Datos contractuales — Duración del contrato + prescripción civil (5 años, art. 1964 Código Civil)
- Datos de navegación y analytics — Máximo 13 meses para los rastreadores
- Datos de marketing — Hasta la retirada del consentimiento, con revisión periódica
Obligaciones clave:
- Documentar los plazos — Para cada categoría de datos
- Supresión automática — Implementar procesos de supresión al vencer el plazo
- Informar al cliente — Los plazos deben figurar en la política de privacidad
- Responder en plazo — Solicitudes de supresión en menos de un mes
4. Seguridad de pagos y datos financieros
Los datos bancarios son datos personales especialmente sensibles. El artículo 32 del RGPD exige medidas técnicas y organizativas apropiadas.
Medidas mínimas exigibles:
- Pasarela PCI-DSS — No almacenar datos de tarjeta en su servidor
- HTTPS en todas las páginas — Especialmente el checkout
- Autenticación reforzada (SCA) — Obligatoria bajo PSD2
- Cifrado y control de accesos — Datos en base de datos protegidos
5. Reseñas, valoraciones y contenido generado por usuarios
Si su tienda permite reseñas o comentarios, está recopilando datos personales (nombre, IP, email, contenido).
Obligaciones específicas:
- Informar de la finalidad — Antes de publicar la reseña
- Derecho de modificación o supresión — Permitir la modificación o supresión por su autor
- Plataformas externas — Si usa Trustpilot, Google Reviews, documentar la transferencia de datos
6. Remarketing, píxeles y rastreadores de terceros
El remarketing — mostrar anuncios a usuarios que ya visitaron su tienda — es una práctica habitual del e-commerce. Pero requiere depositar cookies y rastreadores que el RGPD somete a consentimiento previo.
Rastreadores que requieren consentimiento explícito:
- Facebook Pixel / Meta Conversions API — Rastreador de conversiones Meta
- Google Ads Remarketing — Remarketing Google
- TikTok Pixel — Rastreador TikTok
- Pinterest Tag — Rastreador Pinterest
- Criteo, RTB House — Y cualquier plataforma de retargeting
Muchos sitios e-commerce cargan estos píxeles antes del consentimiento. Es una de las infracciones más frecuentes detectadas por la AEPD.
Alternativa: Mirage Analytics proporciona datos de audiencia sin cookies ni rastreadores de terceros. Alojado en Europa, 19 EUR/mes.
7. Transferencias internacionales de datos
Una tienda online española utiliza de media entre 10 y 30 servicios de terceros: plataforma e-commerce, pasarela de pago, email marketing, analytics, CRM, logística, atención al cliente. Muchos de estos servicios tienen sede fuera de la UE — especialmente en Estados Unidos.
Los artículos 44 a 49 del RGPD regulan las transferencias internacionales. Sin decisión de adecuación o cláusulas contractuales tipo (CCT), la transferencia es ilícita. El Data Privacy Framework UE-EE.UU. proporciona un marco, pero su estabilidad jurídica es incierta.
Acción concreta: mapear todos sus proveedores, verificar la ubicación de sus servidores y documentar la base jurídica de cada transferencia.
Sanciones AEPD emblemáticas: lecciones para el e-commerce
| Empresa | Multa | Motivo principal |
|---|---|---|
| Vodafone España | 8,15 M€ | Llamadas comerciales no autorizadas |
| CaixaBank | 6 M€ | Consentimiento y marketing |
| La Liga | 250 K€ | App espiando a través del micrófono |
CaixaBank: 6 millones de euros
6 millones de euros: 4 millones por falta de información transparente (arts. 13-14 RGPD) y 2 millones por tratamiento sin base jurídica (art. 6). El banco no informaba adecuadamente sobre el uso de datos para comunicaciones comerciales.
Lección: los avisos de privacidad genéricos no protegen de una sanción. Cada tratamiento debe documentarse con precisión.
Vodafone España: 8,15 millones de euros
Cuatro sanciones por más de 8 millones de euros, esencialmente por telemarketing agresivo y comunicaciones sin consentimiento. La AEPD consideró que la persistencia demostraba un problema sistémico.
Lección: la reincidencia agrava las sanciones. Si su email marketing no gestiona correctamente las bajas, el riesgo se acumula.
La Liga: 250.000 euros
La app oficial accedía al micrófono de 10 millones de usuarios para detectar emisiones ilegales de partidos. Sanción confirmada por el Tribunal Supremo en 2022.
Lección: si su app accede a funcionalidades del dispositivo, debe informar al usuario de forma continua.
LSSI: la ley española que va más allá del RGPD
La LSSI es una ley española específica que complementa el RGPD para todo negocio digital. Anterior al reglamento europeo en 15 años, establece obligaciones propias sobre comunicaciones comerciales y cookies, con sanciones de hasta 600.000 euros.
La Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) es un texto fundamental para cualquier negocio digital en España. Es anterior al RGPD, pero sigue plenamente vigente y complementa las obligaciones europeas.
Obligaciones de información (arts. 9-12 LSSI)
Toda tienda online debe mostrar de forma permanente: nombre o denominación social, NIF/CIF, domicilio, email, datos registrales, y precios con impuestos y gastos de envío incluidos.
Comunicaciones comerciales (art. 20-21 LSSI)
Los emails comerciales deben identificarse como publicidad, indicar al remitente, contar con consentimiento previo (opt-in) e incluir un mecanismo de baja (opt-out). La LSSI establece sanciones propias: hasta 150.000 euros por infracciones graves y hasta 600.000 euros por infracciones muy graves. Estas sanciones son independientes de las del RGPD y pueden acumularse.
Cookies (art. 22.2 LSSI)
El artículo 22.2 transpone la directiva ePrivacy al derecho español. Exige consentimiento informado antes de instalar cookies. La AEPD publicó su “Guía sobre el uso de las cookies” como referencia para la aplicación de este artículo.
Checklist de conformidad para tiendas online en España
Urgencias (esta semana)
- Auditar su sitio web — Complio analiza cookies, scripts, formularios y páginas legales en 10 minutos. 89 EUR por auditoría.
- Implementar una CMP conforme — Cookilio bloquea todos los rastreadores antes del consentimiento. Desde 9 EUR/mes.
- Revisar Google Analytics — Si utiliza GA, verifique que no se ejecuta antes del consentimiento. Considere Mirage Analytics como alternativa sin cookies, alojada en Europa, 19 EUR/mes.
- Verificar el enlace de baja — En todos los correos comerciales, debe funcionar y procesarse en 48 horas máximo.
Conformidad estructural (este mes)
- Política de privacidad completa — Con las 9 menciones obligatorias del art. 13 RGPD, adaptada al contexto español (LOPDGDD, AEPD como autoridad de control).
- Política de cookies detallada — Conforme a la Guía de cookies de la AEPD.
- Aviso legal LSSI — Con todos los datos del artículo 10 de la LSSI.
- Registro de actividades de tratamiento — Art. 30 RGPD, obligatorio.
- Contratos de encargado del tratamiento — Con cada proveedor tecnológico que trate datos personales.
- Mapeo de transferencias internacionales — Documentar la base jurídica de cada flujo fuera de la UE.
Conformidad continua (cada trimestre)
- Re-auditar el sitio web — Los sitios cambian, nuevos scripts se añaden, la conformidad se degrada.
- Revisar bases de datos de marketing — Purgar contactos sin consentimiento válido.
- Gestionar solicitudes de derechos — Respuesta en menos de un mes (arts. 15-22 RGPD).
- Formar a los equipos — El RGPD afecta a marketing, IT, atención al cliente y dirección.
FAQ
¿Qué es la LSSI y cómo afecta a mi tienda online?
La LSSI (Ley 34/2002) es la ley española específica para servicios digitales y comercio electrónico. Obliga a las tiendas online a identificarse claramente, regular sus comunicaciones comerciales y obtener consentimiento para cookies. Se aplica de forma complementaria al RGPD y a la LOPDGDD, con sanciones propias de hasta 600.000 euros.
¿Cómo puedo denunciar ante la AEPD?
A través de la Sede Electrónica (sedeagpd.gob.es), de forma gratuita, sin abogado, con certificado digital, DNIe o Cl@ve. La AEPD investiga cada reclamación.
¿Puedo enviar emails comerciales a mis clientes sin consentimiento?
Solo si existe una relación contractual previa y los productos o servicios promocionados son similares a los ya adquiridos (art. 21.2 LSSI). Incluso en este caso, debe ofrecer un mecanismo sencillo y gratuito de oposición en cada comunicación. Para el resto de casos, necesita consentimiento previo y expreso.
¿Cuánto puede multarme la AEPD?
Hasta 20 millones de euros o el 4 % de la facturación mundial (RGPD), más hasta 600.000 euros (LSSI). Para pymes: entre 2.000 y 300.000 euros típicamente.
¿Google Analytics es legal en España?
Google Analytics no está prohibido, pero su uso requiere consentimiento previo del usuario (cookies de terceros) y plantea cuestiones sobre transferencias internacionales de datos a servidores de Google. La AEPD sigue de cerca la jurisprudencia europea sobre este tema. Alternativas como Mirage Analytics eliminan ambos problemas: sin cookies, sin transferencias fuera de la UE.
¿Qué diferencia hay entre RGPD, LOPDGDD y LSSI?
El RGPD es el reglamento europeo (aplicación directa). La LOPDGDD (LO 3/2018) adapta el RGPD al derecho español. La LSSI (Ley 34/2002) regula específicamente los servicios digitales y el comercio electrónico. Las tres se aplican simultáneamente a toda tienda online.
Lea también — Sanciones AEPD: balance completo | Cookies y RGPD: todo lo que hay que saber | Checklist RGPD sitio web | Banner de cookies conforme al RGPD
| Necesidad | Solución |
|---|---|
| Auditoría de conformidad | Complio — 89 €/auditoría |
| Banner de cookies | Cookilio — 9 €/mes |
| Analytics sin cookies | Mirage Analytics — 19 €/mes |
Fuentes: AEPD — Guía sobre el uso de las cookies, AEPD — Resoluciones, BOE — Ley 34/2002 (LSSI), BOE — Ley Orgánica 3/2018 (LOPDGDD), ECIJA — Sanciones AEPD 2025. Publicado el 9 de abril de 2026.