Aviso importante. Esta guía es informativa y de carácter general. No sustituye al asesoramiento legal de un profesional ni a una auditoría específica de tu web. La información está actualizada a julio de 2026, pero la normativa puede haber cambiado desde entonces. Si tu empresa maneja datos sensibles o tiene usuarios en varias jurisdicciones, consulta con un abogado especializado en protección de datos.
Por qué esta guía
Si tienes una empresa con una web (y la web recoge datos aunque sea mediante un formulario de contacto, unas cookies de analytics o un botón de «sí, quiero recibir tu newsletter«) estás procesando datos personales.
Eso te convierte en responsable del tratamiento a ojos del GDPR (General Data Protection Regulation o «Reglamento General de Protección de Datos«, la norma europea que regula cómo se recogen, usan y protegen los datos personales).
Y lo que eso implica en multas no es menor:
- Hasta £17,5 millones o el 4 % de tu facturación global anual (lo que sea mayor) bajo el UK GDPR + Data Protection Act 2018.
- Hasta €20 millones o el 4 % de tu facturación global anual bajo el GDPR europeo.
- En la práctica, las sanciones más habituales a pymes van de unos cientos a unos pocos miles de euros, pero una brecha de datos (acceso no autorizado) puede elevarlas mucho.
Si no tienes claro si cumples o no, esta guia te ayudará a entender algunos de los conceptos básicos para ayudarte a evitar problemas comunes. Vamos con ello.
1. Qué exige realmente el GDPR a tu web
GDPR y UK GDPR son la misma norma en dos territorios. La UE la llama «Reglamento (UE) 2016/679» (coloquialmente, GDPR). El Reino Unido, tras el Brexit, la mantuvo en su territorio con pequeños ajustes técnicos y la llamó UK GDPR, sumada a la Data Protection Act 2018 (DPA 2018).
Para efectos prácticos de una pyme con web, las obligaciones son las mismas:
- Solo puedes recoger los datos que realmente necesitas. Si tu formulario pide «fecha de nacimiento» para vender camisetas, lo más probable es que sobre.
- Tienes que decir para qué los usas y pedir consentimiento específico si lo vas a hacer.
- Tienes que poder demostrar que cumples. Eso significa llevar un registro de qué datos guardas, dónde, quién puede acceder y con qué base legal los tratas.
- Si algo va mal, tienes que avisar a la autoridad de control en 72 horas (artículo 33) y, si el riesgo es alto, también a los usuarios.
- Tienes que respetar los derechos de los usuarios: que te pidan ver sus datos, corregirlos, borrarlos o llevarse una copia.
Resumen: Aunque no sepas cómo funciona por dentro, recuerda esto: el responsable del tratamiento en tu web eres tú (o tu empresa). Eso es así tengas la web hecha por una agencia, un primo o por ti mismo con un constructor de webs.
2. Formularios: lo que casi todas las agencias hacen mal
El formulario de contacto es el primer punto donde tu web recoge datos personales. Y casi todos tienen problemas.
Las 5 reglas mínimas que tiene que cumplir un formulario en tu web
| Regla | Por qué | Cómo implementarlo |
|---|---|---|
| Cada campo recoge solo lo necesario | No puedes pedir el grupo sanguíneo si vendes camisetas | Quita el campo; si alguien lo necesita, lo justifica y lo documenta |
| Casilla de consentimiento NO premarcada | Una casilla ya marcada no es consentimiento válido bajo GDPR | Casilla vacía + texto claro al lado |
| Texto que diga exactamente para qué vas a usar los datos | Si no lo dices, no lo puedes usar | «Tu correo electrónico se utilizará para responder a tu consulta» o «Acepto que me envíen información comercial» |
| Enlace a la política de privacidad al lado del formulario o en el pie | El usuario debe poder consultarla antes de enviar | Enlace visible, una sola línea |
| Opción de borrar los datos si el usuario lo pide | Derecho de supresión (art. 17) | Procedimiento claro en tu política de privacidad |
Lo que NO vale como consentimiento
- Una casilla ya marcada.
- «Al enviar el formulario aceptas nuestra política» sin casilla separada.
- Un consentimiento genérico que dice «Acepto los términos» cubriendo cosas distintas (recibir newsletter + cesión a terceros).
- Pedir el consentimiento para poder prestar el servicio que el usuario ya te está pidiendo (por ejemplo: «Si quieres que te contestemos, necesitamos que aceptes que te mandemos newsletters»).
3. Cookies y banner de cookies
Una cookie es un pequeño archivo de texto que una web guarda en el navegador del visitante. Sirve para identificar al usuario, recordar sus preferencias, hacer analítica o mostrar publicidad. Toda cookie que no sea estrictamente necesaria para que la web funcione requiere consentimiento previo.
Qué dice la ley
En la UE, la Directiva ePrivacy (una norma europea complementaria al GDPR que regula específicamente las comunicaciones electrónicas) obliga a pedir consentimiento antes de instalar cualquier cookie que no sea estrictamente necesaria. En Reino Unido, la norma equivalente es el PECR (Privacy and Electronic Communications Regulations), supervisada por el ICO (Information Commissioner’s Office u Oficina del Comisionado de Información, la autoridad británica de protección de datos).
Tu banner de cookies tiene que cumplir 4 condiciones
- El botón «rechazar todas» tiene que estar igual de visible que «aceptar todas«. No vale un «rechazar» en gris clarito al fondo.
- El usuario tiene que poder rechazar y seguir navegando igual. Si rechazas cookies y la web se rompe, el consentimiento está viciado.
- Listar qué cookies se usan, qué hace cada una y quién las pone (Google Analytics, Facebook Pixel, Hotjar, etc.).
- Permitir cambiar de opinión más tarde. Un enlace «Configurar cookies» en el pie de página es suficiente.
Tu banner actual, ¿cumple?
Si tu agencia lo montó en 2016 y nadie lo ha tocado desde entonces, lo más probable es que no cumpla en 2026. Las normas se han endurecido y los fallos en botones de rechazo se han vuelto el motivo más habitual de sanción a webs pequeñas.
4. Datos personales: qué recoges y qué debes decir
Datos personales son cualquier información que permita identificar a una persona: nombre, correo, teléfono, dirección IP, número de pedido combinado con nombre, cookie persistente, etc.
Lo que tu web probablemente recoge sin que te des cuenta
- Comentarios en el blog (nombre + correo + IP).
- Newsletter (correo + IP).
- Formularios de contacto (lo que el usuario escribe).
- Analytics (dirección IP, dispositivo, navegación).
- Copias de seguridad que se quedan en tu hosting.
Cada uno de esos orígenes de datos necesita estar inventariado y documentado en tu política de privacidad.
Qué incluir en tu política de privacidad
Tu política debe identificar claramente:
- Quién eres (responsable del tratamiento) con NIF/CIF y domicilio.
- Qué datos recoges y por qué.
- Qué base legal te legitima: consentimiento, ejecución de un contrato, obligación legal o interés legítimo.
- Dónde se guardan los datos (país y proveedor).
- Durante cuánto tiempo.
- Con quién se comparten (proveedores, encargados del tratamiento).
- Qué derechos tiene el usuario y cómo ejercerlos.
- Quién es tu autoridad de control (AEPD si operas en España; ICO si operas en Reino Unido).
Sobre tu hosting (el servidor donde vive tu página)
Dato clave: si tu web está alojada en servidores dentro del EEE (Espacio Económico Europeo, la UE más Islandia, Liechtenstein y Noruega), los datos personales disfrutan de un marco jurídico ya armonizado. Si están fuera del EEE (incluyendo Reino Unido tras el Brexit), necesitas garantías adicionales: o bien una decisión de adecuación (un acuerdo que reconoce que ese país protege datos al mismo nivel que la UE, como ocurre con Reino Unido), o bien cláusulas contractuales tipo firmadas con el proveedor. Comprueba dónde alojas tu web: es uno de los primeros datos que la autoridad te va a pedir si te audita.
5. IA en tu web: chatbots y asistentes
Cada vez más webs (incluida la tuya, casi seguro) tienen un chatbot con IA en una esquina. Algunos son simples, otros son «agentes» que pueden enviar emails, consultar catálogos o incluso hacer pedidos. Suena bien: atienden a tus clientes 24/7 sin bajas, sin vacaciones y sin pedir aumento. El problema es que, desde el punto de vista del GDPR, incorporan tres riesgos que la mayoría de webs no han evaluado.
Por qué a ti, como titular de la web, te toca esto
Aunque no sepas cómo funciona por dentro, recuerda lo que dijimos antes: el responsable del tratamiento en tu web eres tú (o tu empresa). Eso no cambia porque detrás haya una IA. Si el chatbot falla (porque se inventa algo, porque guarda un dato que no debe o porque la conversación acaba en un país donde no debería), la responsabilidad que llega a la AEPD o al ICO lleva tu nombre.
Tres riesgos concretos que tienes que conocer
- Datos personales que salen de tu web. Cuando alguien le escribe al chatbot, lo que escribe (nombre, correo, teléfono, preguntas sobre su salud, sus finanzas, etc.) viaja fuera de tu servidor hasta los servidores del proveedor de IA (OpenAI, Google, Anthropic, Mistral, DeepSeek…). No es un detalle técnico: son datos personales que salen de tu control.
- El chatbot puede inventarse cosas. Un modelo de IA no razona: busca patrones en cantidades enormes de texto y devuelve la respuesta que parece más probable. Eso significa que puede inventarse información con total convicción: «sí, mañana hay música en vivo«, «el envío a Canarias es gratis«, «abrimos hasta las 23:00″. Si el visitante se lo cree y reserva algo que no existe, la queja no le llega a la IA: te llega a ti.
- La IA no se hace responsable. Los proveedores de IA (OpenAI, Google, etc.) incluyen en sus términos cláusulas que les eximen de cualquier responsabilidad sobre lo que sus modelos digan o hagan. Quien vendió el servicio de chatbot a tu web también suele lavarse las manos. La cadena acaba en ti.
Beneficios de hacer las cosas bien
- Tienes el control. Tú decides qué datos salen y cuáles no.
- Cumples la ley. Multas evitadas de hasta £17,5 M / €20 M.
- Generas confianza. Los clientes que ven que respetas sus datos se quedan.
- Duermes bien. Si te auditan, el rastro está documentado.
Qué deberías preguntar antes de instalar (o de dejar) el chatbot de tu web
Si ya tienes un chatbot, o estás pensando en instalar uno, haz estas preguntas a quien te lo implantó (tu agencia, tu proveedor, o el desarrollador freelance). Una respuesta de «no sé» o «eso no es asunto mio» ya te dice algo:
- ¿Quién es el proveedor de IA que está detrás? ¿Dónde procesa los datos (en qué país)?
- ¿Las conversaciones se usan para entrenar al modelo? ¿Puedo pedir que no se usen las mías?
- ¿Tienes un contrato de encargo de tratamiento (artículo 28 GDPR) firmado con ese proveedor? Pídelo por escrito.
- Cuando un visitante habla con el chatbot, ¿Se le avisa claramente de que está hablando con una IA y de qué se hace con lo que escriba?
- ¿Quién revisa las conversaciones?
Si tu proveedor no te responde a estas preguntas, no es que sean incómodas: son el mínimo que cualquier responsable del tratamiento debería poder responder. Si no lo hace, tienes dos opciones claras: pedirle que se ponga al día y te lo deje documentado, o cambiar de proveedor. La opción 3 «total, funciona y ya está» es la que acaba normalmente en sanción.
6. Cuando algo va mal: brechas y la regla de las 72 horas
Una brecha de datos personales es cualquier incidente que cause la destrucción, pérdida, alteración o acceso no autorizado a datos personales. En términos sencillos: alguien entró donde no debía, o tus datos se filtraron porque un proveedor fue hackeado.
Qué dice el GDPR si pasa algo
El artículo 33 del GDPR (en el mismo texto para EU y UK GDPR) establece que, si la brecha supone un riesgo para los derechos de las personas, debes notificarla a la autoridad de control en un plazo máximo de 72 horas desde que te enteraste. Si la notificación se retrasa, debe ir acompañada de los motivos del retraso.
Y a los usuarios, ¿cuándo?
Cuando el riesgo sea alto, también hay que avisar a los usuarios sin demora indebida (artículo 34). Ejemplos típicos: filtración de contraseñas, acceso no autorizado a datos bancarios, robo de historiales clínicos.
Qué hacer en las primeras 72 horas
- Hora 0–4: contener la brecha. Aislar sistemas afectados, cortar accesos, preservar evidencia.
- Hora 4–12: evaluar el alcance. Qué datos, cuántos usuarios, qué tipo de riesgo.
- Hora 12–24: notificar a la autoridad de control. Si no tienes claro, notifica igualmente; las autoridades prefieren una notificación informada a «luego te cuento».
- Hora 24–48: preparar la notificación a usuarios si el riesgo es alto.
- Hora 48–72: monitorizar, asegurar la remediación, documentar todo el proceso para auditoría posterior.
Si contrataste un proveedor
Si tu web está gestionada por una agencia o un proveedor, asegúrate de que tu contrato especifica quién se encarga de esto. Por defecto del GDPR, la responsabilidad de notificar es tuya, no de ellos.
7. Los derechos del usuario que debes respetar
El GDPR concede a cualquier persona una serie de derechos sobre los datos personales que tiene tu empresa. Como responsable del tratamiento, debes poder responder a esas peticiones en un plazo razonable (la AEPD suele considerar «un mes» como referencia). Estos son los seis principales:
- Acceso. El usuario puede preguntarte qué datos tienes sobre él y para qué los usas. Tienes que responderle en menos de un mes.
- Rectificación. Si los datos son incorrectos o están incompletos, el usuario puede pedirte que los corrijas.
- Supresión (también llamado «derecho al olvido»). En ciertos casos, el usuario puede pedirte que borres sus datos. Por ejemplo, si retiras el consentimiento o si los datos ya no son necesarios para el fin.
- Limitación. El usuario puede pedirte que sigas teniendo los datos pero que no los uses mientras se resuelve una disputa.
- Portabilidad. Si los datos los proporcionó el usuario y se tratan de forma automatizada, tienes que dárselos en un formato estructurado y de uso común (por ejemplo, CSV).
- Oposición. El usuario puede oponerse a tratamientos basados en «interés legítimo«. Tienes que dejar de tratar sus datos salvo que demuestres motivos legítimos imperiosos.
El derecho más olvidado y el que más problemas causa es la oposición a marketing directo. Si alguien te escribe diciendo «dejen de enviarme emails«, tienes que dejar de enviárselos. Aunque se haya inscrito a tu newsletter dos años atrás. No contestar a esta petición, o seguir enviando emails después, es una de las sanciones más comunes de la AEPD a pequeñas empresas.
8. Checklist — 12 preguntas para hacerle a tu proveedor web
Estas son las preguntas mínimas que tu proveedor web debería poder responderte con un «sí» documentado. Si falla en alguna, hay un problema real que conviene abordar antes de que se convierta en algo peor.
- ¿Tu web muestra un banner de cookies que permite aceptar y rechazar al mismo nivel visual?
- ¿El botón «rechazar todas» está igual de visible que «aceptar todas»?
- ¿Los formularios incluyen una casilla de consentimiento específica, NO premarcada?
- ¿Hay un enlace directo a la política de privacidad en cada formulario y en el pie de página?
- ¿La política de privacidad está actualizada a fecha de este año e identifica correctamente al responsable del tratamiento?
- ¿Se hace un escaneo periódico de cookies para que la lista del banner esté al día?
- ¿Tienes identificados los proveedores de tratamiento de datos (hosting, email marketing, analytics, CRM «la herramienta que usas para gestionar clientes y ventas») y firmados acuerdos de encargo de tratamiento (artículo 28 GDPR)?
- ¿Sabes exactamente dónde se almacenan los datos (país y proveedor) y si hay transferencias internacionales fuera del EEE (Espacio Económico Europeo) o el Reino Unido?
- ¿Tienes un procedimiento documentado para responder a una solicitud de derechos de un usuario en menos de un mes?
- ¿Tienes un procedimiento documentado para notificar una brecha de datos en menos de 72 horas?
- ¿Tu web guarda logs de acceso y sabes durante cuánto tiempo?
- ¿Tienes designado un DPO (Data Protection Officer, la persona designada formalmente para temas de protección de datos) o una persona de contacto para temas de protección de datos?
9. Errores típicos que acaban en multa
Estos son los patrones que la AEPD, el ICO y otras autoridades europeas sancionan con más frecuencia:
- Banner de cookies con «rechazar» escondido. Es el error más sancionado. Si el botón de rechazar no está al mismo nivel visual, se considera consentimiento forzado.
- Formularios con casilla premarcada. No vale como consentimiento.
- Política de privacidad genérica copiada de internet sin adaptarla. Si dice «somos una pyme con 200 empleados» y tú tienes tres, ya te has delatado.
- Cesión de datos sin base legal. Por ejemplo, mandar emails comerciales a personas que se dieron de baja.
- No notificar una brecha de datos. Las multas por no notificar (no por la brecha en sí) son desproporcionadamente altas.
- Chatbots / IA sin contrato de encargo con el proveedor. Las conversaciones son datos personales y salen del EEE con mucha frecuencia.
Caso real
5.000 euros de multa para un despacho de abogados por publicar en su ‘web’ una foto de un trabajador sin su consentimiento . La empresa fue denunciada por el propio trabajador, porque dice que el despacho publicaba «el nombre y apellidos y fotografías de sus trabajadores sin el consentimiento, incluida la suya«.
Es, probablemente, la típica sección de «nuestro equipo» que muchas empresas crean al hacer la web y que acaba desactualizada, incluso, con fotos de exempleados. Sorprende en esta noticia que se trataba de un despacho de abogados, que supuestamente deberían ser mas conocedores de la ley. ¿Qué podría estar incupliendo la web de tu empresa sin saberlo?
10. Qué hacer si te hicieron la web y se olvidaron de ti
Si tu web la hizo o la lleva una agencia que desapareció, que pasó a otra más grande, o que simplemente dejó de responderte, y nadie ha mirado el cumplimiento GDPR en años, esto es lo que hacer por orden:
- Inventario de qué hay. Qué datos personales se recogen, dónde, cómo, durante cuánto tiempo. No se puede arreglar lo que no se sabe.
- Auditoría de cookies y formularios. Pide a un técnico que mire el banner de cookies y los formularios con la checklist de esta guía.
- Política de privacidad reescrita. Adaptada a tu realidad, firmada por ti, con fecha de versión.
- Encargos de tratamiento formalizados. Contratos firmados con hosting, email marketing, analytics, CRM.
- Procedimiento de brechas y derechos. Documentado por escrito, aunque sea una página. La AEPD valora mucho que exista y se haya ensayado.
- Formarte tú. El responsable del tratamiento eres tú. No necesitas ser abogado, sí necesitas saber qué firmar y qué preguntar.
Cómo te ayudamos en Liberty Dreams LTD
En Liberty Dreams LTD hacemos lo nuestro desde 2020: hosting fiable con servidores en Reino Unido y soporte técnico continuado para que tu web esté online, rápida y segura sin que tengas que estar encima. Si tu página la hizo una agencia que desapareció, o la lleva un primo que ya no tiene tiempo, somos el sitio al que vienes cuando quieres a alguien de confianza mirando por ella.
¿Qué encuentras al llegar?
- Una infraestructura estable: servidores GNU/Linux (un sistema operativo de código abierto que es el estándar en servidores web profesionales) en Reino Unido, LiteSpeed (un servidor web optimizado para servir páginas rápido) para servir tu web rápido, SSL Let’s Encrypt (certificado que pone el «candadito» en el navegador y cifra la conexión) automático para que el navegador la marque como segura.
- Correo corporativo que funciona: SpamExperts (filtro antispam profesional) para filtrar spam, autorespondedores, los buzones que necesites bajo tu propio dominio.
- Copias de seguridad a un clic: JetBackup 5 integrado en cPanel (el panel de control estándar del hosting), para que restaures una versión anterior cuando algo se rompe sin perder horas.
- Seguridad por defecto: Immunify360 con WAF (Web Application Firewall, un firewall de aplicaciones web que filtra tráfico sospechoso) y monitorización en tiempo real.
- Stack moderno: PHP (lenguaje de programación en el que está escrita la mayoría de webs) configurable, soporte para Ruby y Python (otros lenguajes de programación habituales), DNS (Domain Name System, el sistema que traduce tu dominio a la dirección real del servidor) y CronJobs (tareas programadas que se ejecutan solas, como «cada noche haz una copia de seguridad») editables desde el panel.
Dos formas de trabajar con nosotros
Hosting Simple, solo infraestructura, tú decides. Para cuando quieres (o sabes) gestionar tu web por tu cuenta y solo necesitas un hosting que responda. Te lo damos con migración gratuita desde tu proveedor actual, y a partir de ahí tú decides. Si sabes lo que haces, este es tu plan: pagas por la máquina, no por extras que no vas a usar.
Hosting Asistido, infraestructura + soporte técnico continuado. Para cuando quieres que te ayudemos con tu web. Todo lo del Hosting Simple, más soporte técnico en horario laboral, ayuda con actualizaciones, arreglos, pequeños cambios y problemas de configuración (plugins, pequeños añadidos que extienden lo que hace tu web, como un formulario de contacto o un sistema de caché, correo, DNS, SSL). No es «desarrollo ilimitado»: es alguien con experiencia echando un ojo a las cosas cuando hace falta, sin que tengas que preguntar en foros.
¿Hablamos? Planes y contratación: libertydreams.co.uk/es/servicios-de-hosting · También puedes escribirnos tus dudas a: tickets@libertydreams.co.uk
Preguntas que nos hacen antes de contratar
Las cuatro preguntas que más nos repite la gente antes de elegir hosting. Si la tuya no está aquí, escríbenos a tickets@libertydreams.co.uk y te contestamos lo antes posible.
¿Por qué Reino Unido y no un servidor en España?
Que nuestros servidores estén en Reino Unido no es un problema para ti, ya que es un país con adecuación a la Unión Europea. La decisión de adecuación (acuerdo internacional que reconoce que un país protege datos personales con el mismo nivel que la UE) permite que tu web pueda estar alojada con nosotros y aún así cumplas con GDPR europea.
¿Puedo migrar mi web desde otra empresa sin perder nada?
Sí. La migración entra en todos los planes y la hacemos nosotros: web, correos, bases de datos, DNS. Tú no tienes que tocar nada. Si hubiera algo no migrable, te lo decimos antes de empezar. Siempre transparente, sin sorpresas.
¿Hay costes ocultos?
No, los precios están en nuestra web y somos totalmente transparentes, dándote toda la información que necesites de antemano. No tendrás sorpresas desagradables.
Fuentes y referencias
- GDPR (UE) 2016/679 — EUR-Lex, texto consolidado.
- UK GDPR y Data Protection Act 2018 — legislación nacional del Reino Unido.
- Directiva 2002/58/CE (ePrivacy) — EUR-Lex, modificada por la Directiva 2009/136/CE.
- Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR) — legislación UK sobre cookies.
Autoridades de control
- ICO (Information Commissioner’s Office, Reino Unido) — ico.org.uk
- AEPD (Agencia Española de Protección de Datos, España) — aepd.es
- EDPB (European Data Protection Board, UE) — edpb.europa.eu
- Un artículo interesante: Externalizar no es delegar la responsabilidad: riesgos invisibles en delegar el desarrollo web moderno
- Otro artículo que te puede aportar: ¿Deberías Ofrecer Chatbots con IA a Tus Clientes? Riesgos, Realidades y el Mito del Agente de IA
- Vídeo: «Si tu web tiene esto, estás en peligro de que te multen«
Sobre esta guía
Esta guía es informativa y de carácter general. No sustituye al asesoramiento legal de un profesional. Consulta con un abogado especializado en protección de datos para tu caso concreto.
