Volver a los artículos
Audit RGPD
RGPD Auditoría Cookies Conformidad Complio

Auditoría RGPD de sitio web: guía completa 2026

14 de enero de 2026 10 min de lectura DPLIANCE

Auditoría RGPD de sitio web: la guía completa para verificar la conformidad de su sitio

Su sitio web recopila datos personales. Formularios de contacto, cookies de medicion de audiencia, scripts de terceros, pixeles de tracking: cada pagina es un punto de entrada para la CNIL (autoridad francesa de proteccion de datos). En 2025, se pronunciaron 83 sanciones por un monto acumulado de 486,8 millones de euros, de las cuales 21 concernian especificamente a las cookies y rastreadores (fuente: CNIL, balance 2025). Una auditoría RGPD de sitio web es el unico medio de saber exactamente donde esta antes de que la CNIL (autoridad francesa de proteccion de datos) lo haga por usted.

Esta guía detalla lo que cubre una auditoría RGPD de sitio web, los puntos precisos a verificar, las obligaciones legales aplicables, y como automatizarla con Complio por una fraccion del coste de un gabinete.

Por que realizar una auditoría RGPD de su sitio web

La CNIL controla activamente los sitios web

La CNIL (autoridad francesa de proteccion de datos) ya no se limita a esperar las quejas. Desde 2021, utiliza robots para escanear automaticamente los sitios web y detectar los incumplimientos mas comunes: cookies depositadas sin consentimiento, ausencia de banner conforme, boton “Rechazar” menos visible que “Aceptar” (fuente: CNIL).

En 2025, mas del 60 % de las sanciones concernian a pymes. El procedimiento simplificado, implementado en 2022, permite a la CNIL (autoridad francesa de proteccion de datos) pronunciar multas de hasta 20 000 euros sin pasar por la formacion restringida (fuente: vie-publique.fr). En claro: incluso una pequeña empresa con un sitio vitrina puede ser sancionada rapidamente.

Los montos de las multas son disuasorios

Las dos sanciones record de 2025 conciernen a las cookies: 325 millones de euros para Google y 150 millones de euros para Shein (fuente: France Info). Para las empresas francesas, las multas relacionadas con cookies alcanzaron 750 000 euros en 2025.

Mas alla de las cookies, el marco general del RGPD preve sanciones de hasta el 4 % de la facturacion anual mundial o 20 millones de euros (articulo 83 del RGPD). La ausencia de avisos legales es sancionable hasta 75 000 euros para un empresario individual y 375 000 euros para una sociedad (ley LCEN).

Una auditoría protege su empresa y sus clientes

Una auditoría RGPD de sitio web no es una formalidad administrativa. Le permite:

  • Identificar las fallas antes de que un control de la CNIL (autoridad francesa de proteccion de datos) las revele
  • Proteger la confianza de sus usuarios respetando sus datos
  • Evitar las sanciones financieras que pueden poner en peligro una pyme
  • Documentar su enfoque de conformidad (principio de accountability del RGPD)

Que verifica una auditoría RGPD de sitio web

Una auditoría RGPD de sitio web se concentra en los elementos tecnicos y juridicos visibles en el sitio. Aqui estan los ocho ambitos esenciales.

1. El banner de cookies y la CMP

El primer punto de control es la presencia y la conformidad del banner de consentimiento de cookies (CMP, Consent Management Platform). La CNIL (autoridad francesa de proteccion de datos) impone que:

  • El consentimiento se recoja antes de cualquier deposito de cookie no esencial
  • El usuario pueda rechazar tan facilmente como aceptar (mismo nivel, misma visibilidad)
  • Las finalidades se presenten de manera clara y especifica
  • La retirada del consentimiento sea posible en cualquier momento

El incumplimiento de estas reglas es la primera causa de sancion en 2025: 21 organismos sancionados por incumplimientos relacionados con rastreadores (fuente: CNIL).

2. Las cookies depositadas antes y despues del consentimiento

No basta con tener un banner. Hay que verificar que ninguna cookie no esencial se deposite efectivamente antes de que el usuario haya dado su consentimiento. Muchos sitios muestran un banner pero depositan cookies de Google Analytics, Facebook Pixel u otros rastreadores desde la carga de la pagina, antes de cualquier interaccion.

Una auditoría tecnica debe escanear las cookies depositadas en dos momentos: antes de cualquier interaccion con el banner, y despues de la aceptacion del consentimiento.

3. Los scripts de terceros y transferencias de datos fuera de la UE

Cada script de terceros cargado en su sitio (analytics, publicidad, chat, fuentes, CDN) puede transferir datos personales hacia servidores situados fuera de la Union Europea. El RGPD regula estrictamente estas transferencias (capitulo V, articulos 44 a 49).

La CNIL (autoridad francesa de proteccion de datos) habia requerido a varios sitios franceses por su uso de Google Analytics debido a transferencias de datos hacia Estados Unidos (fuente: CNIL). Aunque el Data Privacy Framework ha aportado desde entonces un marco juridico, cada script de terceros sigue siendo un punto de vigilancia.

4. Los formularios y la recopilacion de datos personales

Cada formulario de su sitio (contacto, newsletter, presupuesto, inscripcion) recopila datos personales. El articulo 13 del RGPD impone informar al usuario en el momento de la recopilacion: finalidad, base juridica, duracion de conservacion, derechos de la persona, destinatarios de los datos (fuente: CNIL).

Una auditoría verifica que cada formulario este asociado a una mencion de informacion conforme y que los campos recopilados sean proporcionales a la finalidad (principio de minimizacion de datos).

5. Las paginas legales obligatorias

Tres documentos deben ser accesibles en todo sitio web profesional:

  • Aviso legal: identidad del editor, alojador, director de publicacion (ley LCEN, articulo 6)
  • Politica de privacidad: 9 menciones obligatorias segun los articulos 13 y 14 del RGPD (identidad del responsable del tratamiento, finalidades, base juridica, duracion de conservacion, derechos de las personas, destinatarios, medidas de seguridad, transferencias fuera de la UE, derecho de reclamacion ante la CNIL)
  • Politica de cookies: detalle de las cookies utilizadas, finalidades, duracion de conservacion, medios de rechazo

La ausencia de estas paginas es un incumplimiento directo de las obligaciones legales.

6. Los headers de seguridad

La CNIL (autoridad francesa de proteccion de datos) recomienda asegurar los sitios web implementando headers HTTP de seguridad: HTTPS obligatorio via TLS 1.2 o 1.3, opciones HttpOnly y Secure en las cookies, cabeceras de proteccion contra clickjacking e inyecciones (fuente: CNIL). Estas medidas se enmarcan en la obligacion de seguridad del articulo 32 del RGPD.

7. El protocolo HTTPS

El uso del protocolo HTTPS no es opcional. La CNIL (autoridad francesa de proteccion de datos) recomienda hacer TLS obligatorio en todas las paginas del sitio (fuente: CNIL). Un sitio que transmite datos de formulario en HTTP claro expone los datos personales de sus usuarios.

8. La clasificacion e identificacion de cookies

Todas las cookies depositadas en un sitio deben ser identificadas, clasificadas por finalidad (esencial, analitica, marketing, funcional) y documentadas. Las bases de datos abiertas como la Open Cookie Database permiten clasificar las cookies conocidas y detectar las que no estan declaradas.

Los tres enfoques para realizar una auditoría RGPD de sitio web

La auditoría manual por un gabinete consultor

Un gabinete especializado (DPO externalizado, abogado RGPD, gabinete de consultoría) realiza una auditoría completa que cubre tanto el sitio web como los procesos organizacionales de la empresa. El perimetro es amplio: registro de tratamientos, contratos de subcontratacion, procedimientos internos, formacion de equipos, ademas del analisis tecnico del sitio.

Coste: entre 3 000 y 7 000 euros para una pyme, hasta 15 000 euros y mas para una ETI. Plazo: 3 a 6 dias de prestacion, o sea 3 a 6 semanas calendario con los intercambios (fuente: leto.legal).

Es la solucion adecuada cuando necesita una auditoría organizacional completa. Pero para verificar la conformidad tecnica de su sitio web, es una inversion desproporcionada.

Las herramientas gratuitas y basicas

Varias herramientas en linea ofrecen verificaciones parciales:

  • Cookiebot compliance test: escaneo gratuito limitado a cookies, editado por una empresa estadounidense (Usercentrics)
  • rgpdkit.fr: checklist basica para rellenar uno mismo, sin escaneo tecnico
  • MonAuditRGPD.fr: cuestionario de autoevaluacion declarativo, sin ningun escaneo del sitio

Estas herramientas tienen el merito de existir, pero no rastrean realmente su sitio, no detectan los scripts de terceros, no verifican los formularios y no producen un informe explotable.

La auditoría automatizada con Complio

Complio es una herramienta de auditoría RGPD automatizada de sitio web, desarrollada por DPLIANCE. Impulsada por la inteligencia artificial Mistral, rastrea hasta 15 paginas de su sitio (profundidad 2) con un navegador headless Playwright para analizar su sitio exactamente como lo haría un usuario real.

Lo que Complio detecta:

  • Las cookies depositadas antes y despues del consentimiento
  • La presencia y la conformidad de la CMP (a traves del analisis visual por el LLM Pixtral)
  • Los scripts de terceros cargados en cada pagina
  • Los formularios y los campos de datos personales recopilados
  • La presencia de las paginas legales (aviso legal, politica de privacidad, politica de cookies)
  • Los headers de seguridad HTTP
  • Las transferencias de datos fuera de la Union Europea

Lo que recibe:

Un informe PDF estructurado que incluye un resumen ejecutivo, el detalle de cada pagina analizada, una puntuacion de conformidad sobre 100, y recomendaciones concretas generadas por Mistral AI. La puntuacion se calcula sobre la relacion items conformes / items aplicables.

Condiciones:

  • 89 euros sin impuestos por auditoría (106,80 euros con impuestos)
  • Resultados en aproximadamente 10 minutos
  • Ninguna cuenta que crear: pago seguro via Mollie, informe enviado por email
  • Clasificacion de cookies a traves de la Open Cookie Database

Lo que Complio no hace

La transparencia es un valor. Complio no realiza:

  • Pruebas de seguridad aplicativa (OWASP, pentest)
  • Pruebas de compatibilidad movil o de accesibilidad
  • Verificacion de que las practicas internas se aplican realmente (verifica la presencia de los documentos, no su aplicacion efectiva)
  • Auditoría organizacional (registro de tratamientos, procedimientos internos, contratos de subcontratistas)

Para una auditoría organizacional completa, un gabinete sigue siendo necesario. Complio cubre la parte tecnica visible del sitio web, la que la CNIL (autoridad francesa de proteccion de datos) puede controlar en linea en cualquier momento.

FAQ: auditoría RGPD de sitio web

Una auditoría RGPD de sitio web es obligatoria?

El RGPD no impone explicitamente una “auditoría” como tal. Sin embargo, el articulo 24 impone al responsable del tratamiento implementar medidas apropiadas para demostrar que el tratamiento es conforme (principio de accountability). El articulo 32 impone garantizar la seguridad de los datos. En la practica, una auditoría regular es el unico medio de cumplir estas obligaciones y documentar su conformidad.

Con que frecuencia hay que auditar su sitio?

La CNIL (autoridad francesa de proteccion de datos) recomienda una verificacion regular, especialmente despues de cada modificacion significativa del sitio (adicion de formulario, cambio de CMP, integracion de nuevos scripts). En la practica, una auditoría trimestral o semestral es un ritmo razonable para un sitio activo. A 89 euros la auditoría con Complio, el coste ya no es un freno.

Mi sitio vitrina sin e-commerce esta afectado?

Si. Un simple formulario de contacto recopila datos personales (nombre, email, mensaje). Una herramienta de medicion de audiencia deposita cookies. Los avisos legales son obligatorios para todo sitio profesional. El tamaño del sitio o la ausencia de venta en linea no exime de ninguna obligacion RGPD.

Que se arriesga concretamente en caso de no conformidad?

El procedimiento simplificado de la CNIL (autoridad francesa de proteccion de datos) permite pronunciar multas de hasta 20 000 euros rapidamente, sin procedimiento pesado. La formacion restringida puede llegar hasta 20 millones de euros o el 4 % de la facturacion mundial. En 2025, 67 de las 83 sanciones fueron pronunciadas a traves del procedimiento simplificado: la CNIL (autoridad francesa de proteccion de datos) tambien se dirige a las pequeñas estructuras.

Complio reemplaza a un DPO o un gabinete?

No. Complio audita la parte tecnica y visible de su sitio web. Un DPO o un gabinete cubre el conjunto de la conformidad organizacional: registro de tratamientos, analisis de impacto, contratos de subcontratacion, formacion de equipos. Los dos enfoques son complementarios. Complio le permite asegurar rapidamente su sitio mientras estructura su conformidad global.

Mas vale saberlo antes que la CNIL

La CNIL (autoridad francesa de proteccion de datos) intensifica sus controles automatizados y ahora se dirige a las pymes con el procedimiento simplificado. Cada dia que su sitio no es conforme es un riesgo. Una auditoría RGPD automatizada con Complio toma 10 minutos y cuesta 89 euros sin impuestos. Un control de la CNIL (autoridad francesa de proteccion de datos) puede costar 20 000 euros como minimo, sin contar el daño a su reputacion.

Auditar mi sitio con Complio

Escríbanos

contact@dpliance.com
Contáctenos