Volver a los artículos
Auditoría RGPD de sitio web: guía completa 2026
RGPD Auditoría Cookies Conformidad Complio

Auditoría RGPD de sitio web: guía completa 2026

DPLIANCEProveedor de soluciones Data e IA soberanas
10 min de lectura

Auditoría RGPD de sitio web: la guía completa para verificar la conformidad de su sitio

Su sitio web recopila datos personales. Formularios de contacto, cookies de medicion de audiencia, scripts de terceros, pixeles de tracking: cada pagina es un punto de entrada para las autoridades de proteccion de datos. En 2025, la AEPD impuso 40 millones de euros en sanciones repartidos en 299 expedientes, un aumento del 14 % respecto a 2024. La AEPD intensifica sus controles y puede actuar de oficio. Una auditoría RGPD de sitio web es el unico medio de saber exactamente donde esta antes de que la autoridad competente lo haga por usted.

Esta guía detalla lo que cubre una auditoría RGPD de sitio web, los puntos precisos a verificar, las obligaciones legales aplicables, y como automatizarla con Complio por una fraccion del coste de un gabinete.

Por que realizar una auditoría RGPD de su sitio web

Las autoridades controlan activamente los sitios web

Las autoridades de proteccion de datos ya no se limitan a esperar las quejas. La CNIL en Francia, y la AEPD en Espana, utilizan herramientas automatizadas para escanear los sitios web y detectar los incumplimientos mas comunes: cookies depositadas sin consentimiento, ausencia de banner conforme, boton “Rechazar” menos visible que “Aceptar” (fuente: CNIL).

Las pymes representan la mayoría de las sanciones de la AEPD. La autoridad puede sancionar rápidamente las infracciones más comunes. En claro: incluso una pequeña empresa con un sitio vitrina puede ser sancionada rapidamente.

Los montos de las multas son disuasorios

En España, las sanciones récord de la AEPD incluyen Aena (10 millones de euros por reconocimiento facial biométrico sin evaluación de impacto válida), Vodafone España (8 millones de euros por telemarketing agresivo) y CaixaBank (6 millones de euros por falta de transparencia). Los sectores más sancionados en 2024 fueron energía/agua (11,7 M EUR), financiero (5,4 M EUR) y servicios de internet (4,5 M EUR).

Mas alla de las cookies, el marco general del RGPD preve sanciones de hasta el 4 % de la facturacion anual mundial o 20 millones de euros (articulo 83 del RGPD). La ausencia de avisos legales es sancionable hasta 75 000 euros para un empresario individual y 375 000 euros para una sociedad (ley LCEN).

Una auditoría protege su empresa y sus clientes

Una auditoría RGPD de sitio web no es una formalidad administrativa. Le permite:

  • Identificar las fallas antes de que un control de la autoridad de proteccion de datos las revele
  • Proteger la confianza de sus usuarios respetando sus datos
  • Evitar las sanciones financieras que pueden poner en peligro una pyme
  • Documentar su enfoque de conformidad (principio de accountability del RGPD)

Que verifica una auditoría RGPD de sitio web

Una auditoría RGPD de sitio web se concentra en los elementos tecnicos y juridicos visibles en el sitio. Aqui estan los ocho ambitos esenciales.

1. El banner de cookies y la CMP

El primer punto de control es la presencia y la conformidad del banner de consentimiento de cookies (CMP, Consent Management Platform). El RGPD impone que:

  • El consentimiento se recoja antes de cualquier deposito de cookie no esencial
  • El usuario pueda rechazar tan facilmente como aceptar (mismo nivel, misma visibilidad)
  • Las finalidades se presenten de manera clara y especifica
  • La retirada del consentimiento sea posible en cualquier momento

El incumplimiento de estas reglas es la primera causa de sancion en 2025: 21 organismos sancionados por incumplimientos relacionados con rastreadores (fuente: CNIL).

2. Las cookies depositadas antes y despues del consentimiento

No basta con tener un banner. Hay que verificar que ninguna cookie no esencial se deposite efectivamente antes de que el usuario haya dado su consentimiento. Muchos sitios muestran un banner pero depositan cookies de Google Analytics, Facebook Pixel u otros rastreadores desde la carga de la pagina, antes de cualquier interaccion.

Una auditoría tecnica debe escanear las cookies depositadas en dos momentos: antes de cualquier interaccion con el banner, y despues de la aceptacion del consentimiento.

3. Los scripts de terceros y transferencias de datos fuera de la UE

Cada script de terceros cargado en su sitio (analytics, publicidad, chat, fuentes, CDN) puede transferir datos personales hacia servidores situados fuera de la Union Europea. El RGPD regula estrictamente estas transferencias (capitulo V, articulos 44 a 49).

La CNIL en Francia habia requerido a varios sitios por su uso de Google Analytics debido a transferencias de datos hacia Estados Unidos (fuente: CNIL). Aunque el Data Privacy Framework ha aportado desde entonces un marco juridico, cada script de terceros sigue siendo un punto de vigilancia.

4. Los formularios y la recopilacion de datos personales

Cada formulario de su sitio (contacto, newsletter, presupuesto, inscripcion) recopila datos personales. El articulo 13 del RGPD impone informar al usuario en el momento de la recopilacion: finalidad, base juridica, duracion de conservacion, derechos de la persona, destinatarios de los datos (fuente: CNIL).

Una auditoría verifica que cada formulario este asociado a una mencion de informacion conforme y que los campos recopilados sean proporcionales a la finalidad (principio de minimizacion de datos).

5. Las paginas legales obligatorias

Tres documentos deben ser accesibles en todo sitio web profesional:

  • Aviso legal: identidad del editor, alojador, director de publicacion (ley LCEN, articulo 6)
  • Politica de privacidad: 9 menciones obligatorias segun los articulos 13 y 14 del RGPD (identidad del responsable del tratamiento, finalidades, base juridica, duracion de conservacion, derechos de las personas, destinatarios, medidas de seguridad, transferencias fuera de la UE, derecho de reclamacion ante la autoridad de proteccion de datos — la AEPD en Espana)
  • Politica de cookies: detalle de las cookies utilizadas, finalidades, duracion de conservacion, medios de rechazo

La ausencia de estas paginas es un incumplimiento directo de las obligaciones legales.

6. Los headers de seguridad

Las autoridades de proteccion de datos recomiendan asegurar los sitios web implementando headers HTTP de seguridad: HTTPS obligatorio via TLS 1.2 o 1.3, opciones HttpOnly y Secure en las cookies, cabeceras de proteccion contra clickjacking e inyecciones (fuente: CNIL). Estas medidas se enmarcan en la obligacion de seguridad del articulo 32 del RGPD.

7. El protocolo HTTPS

El uso del protocolo HTTPS no es opcional. Las autoridades de proteccion de datos recomiendan hacer TLS obligatorio en todas las paginas del sitio (fuente: CNIL). Un sitio que transmite datos de formulario en HTTP claro expone los datos personales de sus usuarios.

8. La clasificacion e identificacion de cookies

Todas las cookies depositadas en un sitio deben ser identificadas, clasificadas por finalidad (esencial, analitica, marketing, funcional) y documentadas. Las bases de datos abiertas como la Open Cookie Database permiten clasificar las cookies conocidas y detectar las que no estan declaradas.

Los tres enfoques para realizar una auditoría RGPD de sitio web

La auditoría manual por un gabinete consultor

Un gabinete especializado (DPO externalizado, abogado RGPD, gabinete de consultoría) realiza una auditoría completa que cubre tanto el sitio web como los procesos organizacionales de la empresa. El perimetro es amplio: registro de tratamientos, contratos de subcontratacion, procedimientos internos, formacion de equipos, ademas del analisis tecnico del sitio.

Coste: entre 3 000 y 7 000 euros para una pyme, hasta 15 000 euros y mas para una ETI. Plazo: 3 a 6 dias de prestacion, o sea 3 a 6 semanas calendario con los intercambios (fuente: leto.legal).

Es la solucion adecuada cuando necesita una auditoría organizacional completa. Pero para verificar la conformidad tecnica de su sitio web, es una inversion desproporcionada.

Las herramientas gratuitas y basicas

Varias herramientas en linea ofrecen verificaciones parciales:

  • Cookiebot compliance test: escaneo gratuito limitado a cookies, editado por una empresa estadounidense (Usercentrics)
  • rgpdkit.fr: checklist basica para rellenar uno mismo, sin escaneo tecnico
  • MonAuditRGPD.fr: cuestionario de autoevaluacion declarativo, sin ningun escaneo del sitio

Estas herramientas tienen el merito de existir, pero no rastrean realmente su sitio, no detectan los scripts de terceros, no verifican los formularios y no producen un informe explotable.

La auditoría automatizada con Complio

Complio es una herramienta de auditoría RGPD automatizada de sitio web, desarrollada por DPLIANCE. Impulsada por la inteligencia artificial Mistral, rastrea hasta 15 paginas de su sitio (profundidad 2) con un navegador headless Playwright para analizar su sitio exactamente como lo haría un usuario real.

Lo que Complio detecta:

  • Las cookies depositadas antes y despues del consentimiento
  • La presencia y la conformidad de la CMP (a traves del analisis visual por el LLM Pixtral)
  • Los scripts de terceros cargados en cada pagina
  • Los formularios y los campos de datos personales recopilados
  • La presencia de las paginas legales (aviso legal, politica de privacidad, politica de cookies)
  • Los headers de seguridad HTTP
  • Las transferencias de datos fuera de la Union Europea

Lo que recibe:

Un informe PDF estructurado que incluye un resumen ejecutivo, el detalle de cada pagina analizada, una puntuacion de conformidad sobre 100, y recomendaciones concretas generadas por Mistral AI. La puntuacion se calcula sobre la relacion items conformes / items aplicables.

Condiciones:

  • 89 euros sin impuestos por auditoría (106,80 euros con impuestos)
  • Resultados en aproximadamente 10 minutos
  • Ninguna cuenta que crear: pago seguro via Mollie, informe enviado por email
  • Clasificacion de cookies a traves de la Open Cookie Database

Lo que Complio no hace

La transparencia es un valor. Complio no realiza:

  • Pruebas de seguridad aplicativa (OWASP, pentest)
  • Pruebas de compatibilidad movil o de accesibilidad
  • Verificacion de que las practicas internas se aplican realmente (verifica la presencia de los documentos, no su aplicacion efectiva)
  • Auditoría organizacional (registro de tratamientos, procedimientos internos, contratos de subcontratistas)

Para una auditoría organizacional completa, un gabinete sigue siendo necesario. Complio cubre la parte tecnica visible del sitio web, la que las autoridades de proteccion de datos pueden controlar en linea en cualquier momento.

FAQ: auditoría RGPD de sitio web

Una auditoría RGPD de sitio web es obligatoria?

El RGPD no impone explicitamente una “auditoría” como tal. Sin embargo, el articulo 24 impone al responsable del tratamiento implementar medidas apropiadas para demostrar que el tratamiento es conforme (principio de accountability). El articulo 32 impone garantizar la seguridad de los datos. En la practica, una auditoría regular es el unico medio de cumplir estas obligaciones y documentar su conformidad.

Con que frecuencia hay que auditar su sitio?

Las autoridades de proteccion de datos recomiendan una verificacion regular, especialmente despues de cada modificacion significativa del sitio (adicion de formulario, cambio de CMP, integracion de nuevos scripts). En la practica, una auditoría trimestral o semestral es un ritmo razonable para un sitio activo. A 89 euros la auditoría con Complio, el coste ya no es un freno.

Mi sitio vitrina sin e-commerce esta afectado?

Si. Un simple formulario de contacto recopila datos personales (nombre, email, mensaje). Una herramienta de medicion de audiencia deposita cookies. Los avisos legales son obligatorios para todo sitio profesional. El tamaño del sitio o la ausencia de venta en linea no exime de ninguna obligacion RGPD.

Que se arriesga concretamente en caso de no conformidad?

Las autoridades de proteccion de datos pueden pronunciar multas rapidamente. El RGPD preve sanciones de hasta 20 millones de euros o el 4 % de la facturacion mundial. Las pymes representan la mayoría de las sanciones de la AEPD. En 2025, la AEPD impuso 40 millones de euros en sanciones (299 expedientes).

Complio reemplaza a un DPO o un gabinete?

No. Complio audita la parte tecnica y visible de su sitio web. Un DPO o un gabinete cubre el conjunto de la conformidad organizacional: registro de tratamientos, analisis de impacto, contratos de subcontratacion, formacion de equipos. Los dos enfoques son complementarios. Complio le permite asegurar rapidamente su sitio mientras estructura su conformidad global.

Mas vale saberlo antes que la AEPD

Las autoridades de proteccion de datos intensifican sus controles automatizados y ahora se dirigen a las pymes. Cada dia que su sitio no es conforme es un riesgo. Una auditoría RGPD automatizada con Complio toma 10 minutos y cuesta 89 euros sin impuestos. Un control de la AEPD puede costar miles de euros como minimo, sin contar el daño a su reputacion.

Auditar mi sitio con Complio

Escríbanos

contact@dpliance.com
Contáctenos