Checklist RGPD sitio web: 15 puntos esenciales
Checklist RGPD sitio web: los 15 puntos a verificar para estar conforme
Su sitio web es conforme al RGPD? La pregunta parece simple. La respuesta lo es menos. Entre las cookies, los scripts de terceros, los formularios, las paginas legales y los headers de seguridad, los puntos de control son numerosos y tecnicos. En 2025, la CNIL (autoridad francesa de proteccion de datos) pronuncio 83 sanciones por un total de 486,8 millones de euros, de las cuales 21 por incumplimientos relacionados con cookies (fuente: CNIL, balance 2025). Mas del 60 % de estas sanciones se dirigian a pymes.
Esta checklist RGPD para sitio web detalla los 15 puntos concretos que debe verificar. Cada uno de estos puntos es controlado automaticamente por Complio, la herramienta de auditoría RGPD de sitio web desarrollada por DPLIANCE.
Banner de cookies y consentimiento (puntos 1 a 5)
Las cookies son la primera causa de sancion de la CNIL (autoridad francesa de proteccion de datos) en 2025. La CNIL (autoridad francesa de proteccion de datos) publico directrices y una recomendacion consolidada que fijan las reglas del juego (fuente: CNIL, directrices cookies). Aqui estan los cinco puntos a verificar.
1. Presencia de un banner de consentimiento (CMP)
Obligacion: todo sitio que deposite cookies no esenciales debe recoger el consentimiento previo del usuario a traves de un banner de consentimiento, tambien llamado CMP (Consent Management Platform).
Lo que la CNIL verifica: la presencia efectiva de un banner en la primera carga de la pagina, antes de cualquier navegacion.
Lo que Complio hace: el LLM multimodal Pixtral analiza visualmente cada pagina rastreada para detectar la presencia de un banner de consentimiento, exactamente como lo haría un controlador de la CNIL (autoridad francesa de proteccion de datos) al visitar su sitio.
2. Boton “Rechazar” tan visible como “Aceptar”
Obligacion: la CNIL (autoridad francesa de proteccion de datos) exige que el usuario pueda rechazar las cookies tan facilmente como las acepta. Un boton “Rechazar” en texto gris claro cuando “Aceptar” esta en verde vivo constituye un incumplimiento.
Lo que Complio hace: el analisis visual por Pixtral evalua la conformidad del banner, incluyendo la visibilidad relativa de los botones de aceptacion y rechazo.
3. Ninguna cookie no esencial antes del consentimiento
Obligacion: ninguna cookie con finalidad no esencial (analitica, publicitaria, marketing, red social) debe depositarse antes de que el usuario haya dado su consentimiento explicito.
Lo que Complio hace: Complio registra las cookies depositadas inmediatamente al cargar la pagina, antes de cualquier interaccion con la CMP. Las cookies no esenciales detectadas en esta etapa se señalan como no conformes.
4. Toma en cuenta efectiva del rechazo
Obligacion: cuando el usuario hace clic en “Rechazar” o cierra el banner sin interactuar, ninguna cookie no esencial debe depositarse. El rechazo debe respetarse tecnicamente, no solo mostrarse.
Lo que Complio hace: Complio mide las cookies despues de la carga inicial (sin consentimiento) y despues de la aceptacion, lo que permite detectar las cookies depositadas sin consentimiento.
5. Informacion clara sobre las finalidades
Obligacion: el banner debe presentar de manera clara las finalidades de las cookies: medicion de audiencia, publicidad dirigida, personalizacion, compartir en redes sociales. El usuario debe poder dar su consentimiento por finalidad.
Lo que Complio hace: el analisis de la CMP por la IA evalua la presencia de informacion sobre las finalidades en el banner de consentimiento.
Scripts de terceros y transferencias de datos (puntos 6 a 8)
Cada script de terceros cargado en su sitio es una transferencia potencial de datos hacia un servidor remoto, a veces situado fuera de la Union Europea.
6. Inventario de scripts de terceros
Obligacion: el responsable del tratamiento debe conocer y documentar todos los subcontratistas que tratan datos personales por su cuenta (articulo 28 del RGPD). Cada script de terceros cargado en su sitio (Google Analytics, Facebook Pixel, Hotjar, Intercom, Google Fonts, etc.) constituye potencialmente dicho tratamiento.
Lo que Complio hace: Complio identifica cada script de terceros cargado en las paginas rastreadas, con su dominio fuente y su editor cuando es identificable.
7. Sin transferencia de datos fuera de la UE sin base juridica
Obligacion: toda transferencia de datos personales hacia un pais tercero debe estar enmarcada por una base juridica apropiada: decision de adecuacion, clausulas contractuales tipo, o consentimiento explicito (articulos 44 a 49 del RGPD).
Lo que Complio hace: para cada script de terceros detectado, Complio señala los dominios cuyos servidores estan situados fuera de la Union Europea, permitiendo identificar las transferencias a enmarcar juridicamente.
8. Clasificacion de las cookies detectadas
Obligacion: cada cookie debe documentarse: nombre, editor, finalidad, duracion de conservacion. Esta informacion debe figurar en la politica de cookies y ser accesible desde el banner de consentimiento.
Lo que Complio hace: las cookies detectadas se clasifican automaticamente gracias a la Open Cookie Database: nombre, editor, finalidad (esencial, analitica, marketing, funcional), duracion de conservacion.
Formularios y recopilacion de datos (puntos 9 y 10)
Cada formulario es un punto de recopilacion de datos personales sujeto a las obligaciones del RGPD.
9. Mencion de informacion en cada formulario
Obligacion: el articulo 13 del RGPD impone informar a la persona en el momento de la recopilacion de sus datos. Para cada formulario (contacto, newsletter, presupuesto, inscripcion, comentario), una mencion debe indicar: la identidad del responsable del tratamiento, la finalidad, la base juridica, los destinatarios, la duracion de conservacion y los derechos de la persona.
Lo que Complio hace: Complio detecta los formularios en cada pagina rastreada, identifica los campos de datos personales recopilados (nombre, email, telefono, direccion, mensaje) y verifica la presencia de una mencion de informacion o un enlace hacia la politica de privacidad.
10. Minimizacion de los datos recopilados
Obligacion: el articulo 5 del RGPD impone el principio de minimizacion: recopilar solo los datos estrictamente necesarios para la finalidad declarada.
Lo que Complio hace: al listar los campos de datos personales de cada formulario, el informe permite identificar visualmente los campos potencialmente excesivos con respecto a la finalidad del formulario.
Paginas legales obligatorias (puntos 11 a 13)
Tres paginas son obligatorias en todo sitio web profesional. Su ausencia es un incumplimiento directo y facilmente verificable.
11. Aviso legal
Obligacion: el articulo 6 de la ley LCEN impone a todo editor de sitio profesional mostrar avisos legales que identifiquen: nombre o denominacion social, direccion de la sede, numero de telefono o email, numero de registro (RCS, SIRET), nombre del alojador y sus coordenadas, nombre del director de publicacion.
Sancion en caso de ausencia: hasta 75 000 euros para un empresario individual, 375 000 euros para una sociedad.
Lo que Complio hace: Complio verifica la presencia de una pagina de aviso legal accesible desde el sitio, tipicamente a traves de un enlace en el footer.
12. Politica de privacidad
Obligacion: los articulos 13 y 14 del RGPD imponen proporcionar a las personas afectadas una informacion completa sobre el tratamiento de sus datos. Esta informacion toma generalmente la forma de una politica de privacidad que debe contener 9 menciones obligatorias.
Lo que Complio hace: Complio detecta la presencia de una pagina de politica de privacidad accesible desde la navegacion o el footer del sitio.
13. Politica de cookies
Obligacion: como complemento del banner de consentimiento, una pagina que detalle las cookies utilizadas, sus finalidades, su duracion de conservacion y los medios de rechazo o de retirada del consentimiento debe ser accesible.
Lo que Complio hace: Complio verifica la presencia de una pagina o seccion dedicada a las cookies, distinta de la politica de privacidad general.
Seguridad tecnica (puntos 14 y 15)
El articulo 32 del RGPD impone al responsable del tratamiento implementar medidas tecnicas y organizacionales apropiadas para garantizar la seguridad de los datos.
14. HTTPS en todas las paginas
Obligacion: la CNIL (autoridad francesa de proteccion de datos) recomienda hacer obligatorio el protocolo TLS (version 1.2 o 1.3) en todas las paginas del sitio. Un formulario transmitido en HTTP claro expone los datos personales en transito.
Lo que Complio hace: Complio verifica que las paginas rastreadas se sirven en HTTPS y señala todo contenido mixto o redireccion no segura.
15. Headers de seguridad HTTP
Obligacion: la CNIL (autoridad francesa de proteccion de datos) recomienda implementar los encabezados de seguridad HTTP para proteger a los usuarios y sus datos:
- Strict-Transport-Security (HSTS): fuerza la conexion HTTPS
- X-Content-Type-Options: impide la interpretacion incorrecta de los tipos MIME
- X-Frame-Options o Content-Security-Policy frame-ancestors: protege contra el clickjacking
- Atributos cookies HttpOnly, Secure, SameSite: protege las cookies de sesion
Lo que Complio hace: el informe analiza los headers HTTP devueltos por el servidor y señala los encabezados de seguridad faltantes, con recomendaciones para implementarlos.
Resumen de la checklist
| N.o | Punto de control | Obligacion | Complio |
|---|---|---|---|
| 1 | Banner de consentimiento (CMP) presente | Directrices CNIL | Analisis visual Pixtral |
| 2 | Boton “Rechazar” tan visible como “Aceptar” | Recomendacion CNIL | Analisis visual Pixtral |
| 3 | Ninguna cookie no esencial antes del consentimiento | Directiva e-Privacy / CNIL | Escaneo cookies antes de interaccion |
| 4 | Toma en cuenta efectiva del rechazo | Directrices CNIL | Comparacion cookies antes/despues |
| 5 | Informacion clara sobre las finalidades | Recomendacion CNIL | Analisis CMP por IA |
| 6 | Inventario de scripts de terceros | Articulo 28 RGPD | Deteccion automatica |
| 7 | Transferencias fuera de la UE enmarcadas | Articulos 44-49 RGPD | Señalamiento de dominios fuera de la UE |
| 8 | Cookies clasificadas y documentadas | Transparencia RGPD | Open Cookie Database |
| 9 | Mencion de informacion en los formularios | Articulo 13 RGPD | Deteccion formularios + menciones |
| 10 | Minimizacion de datos recopilados | Articulo 5 RGPD | Inventario de campos |
| 11 | Aviso legal presente | Ley LCEN, articulo 6 | Deteccion pagina aviso legal |
| 12 | Politica de privacidad completa | Articulos 13-14 RGPD | Deteccion pagina privacidad |
| 13 | Politica de cookies accesible | Directrices CNIL | Deteccion pagina cookies |
| 14 | HTTPS en todas las paginas | Articulo 32 RGPD / CNIL | Verificacion protocolo |
| 15 | Headers de seguridad HTTP | Articulo 32 RGPD / CNIL | Analisis headers servidor |
Verificar estos 15 puntos manualmente lleva horas
Para cada punto de esta checklist, la verificacion manual implica: abrir las herramientas de desarrollo del navegador, navegar pagina por pagina, examinar las cookies depositadas en diferentes momentos, leer el codigo fuente para identificar los scripts, verificar los headers HTTP, leer las paginas legales.
Para un sitio de 10 paginas, cuente media jornada de trabajo para un profesional experimentado. Para un gabinete, se factura entre 500 y 1 500 euros minimo, integrado en una prestacion mas amplia de 3 000 a 7 000 euros.
Complio verifica estos 15 puntos en 10 minutos por 89 euros
Complio rastrea hasta 15 paginas de su sitio con un navegador headless Playwright, analiza cada pagina con la IA Mistral, y produce un informe PDF estructurado con una puntuacion de conformidad sobre 100 y recomendaciones concretas.
- 89 euros sin impuestos (106,80 euros con impuestos)
- 10 minutos de procesamiento
- Ninguna cuenta que crear: pago por Mollie, informe por email
- Puntuacion 0-100 calculada sobre la relacion items conformes / items aplicables
FAQ: checklist RGPD sitio web
Esta checklist es exhaustiva?
Esta checklist cubre los 15 puntos tecnicos y juridicos esenciales que una auditoría RGPD de sitio web debe verificar. No cubre la conformidad organizacional de la empresa (registro de tratamientos, contratos de subcontratistas, procedimientos de gestion de derechos, AIPD). Para una conformidad RGPD completa, un acompañamiento por un DPO o un gabinete especializado sigue siendo necesario como complemento.
Mi sitio no tiene cookies. Estoy igualmente afectado?
Si. Incluso sin cookies, su sitio esta sujeto a las obligaciones RGPD desde que recopila datos personales a traves de un formulario. Los avisos legales son obligatorios para todo sitio profesional (ley LCEN). La politica de privacidad es requerida desde que se tratan datos personales. Los headers de seguridad siguen siendo recomendaciones de la CNIL (autoridad francesa de proteccion de datos) en virtud del articulo 32.
Cuantos puntos hay que validar para ser conforme?
No existe un umbral oficial. Cada punto corresponde a una obligacion legal o una recomendacion de la CNIL (autoridad francesa de proteccion de datos). Un incumplimiento en un solo punto puede bastar para desencadenar una sancion.
Con que frecuencia rehacer esta verificacion?
Despues de cada modificacion significativa del sitio. En rutina, una auditoría trimestral es un ritmo razonable. A 89 euros por auditoría con Complio, el coste anual (356 euros) es inferior a la tarifa horaria de un consultor RGPD.
Pase de la checklist a la accion
Tiene la lista. Puede pasar media jornada verificando cada punto manualmente. O puede dejar que Complio lo haga en 10 minutos por 89 euros, con un informe PDF estructurado y una puntuacion de conformidad.
Mas vale saberlo antes que la CNIL.