Saltar al contenido principal
Aviso Legal, RGPD y Cookies: Lo Obligatorio en tu Web (2026)
Volver al Blog
RGPDCookiesAviso LegalNormativa Web

Aviso Legal, RGPD y Cookies: Lo Obligatorio en tu Web (2026)

Duegency
11 min lectura

Cuatro textos y un banner de cookies bien montado. Eso es, en resumen, lo que la ley pide a la mayoría de webs de pymes y autónomos en España. No hace falta un bufete entero, pero tampoco vale copiar el aviso legal de otra web y cambiar el nombre (lo vemos cada semana en auditorías, con el NIF de otra empresa incluido).

En esta guía repasamos qué textos son obligatorios, cómo tiene que funcionar el banner de cookies según la AEPD y qué multas están cayendo de verdad a negocios pequeños. Una aclaración antes de empezar: somos una agencia de diseño web, no un despacho de abogados. Esto es una guía práctica, no asesoramiento legal. Si tu caso tiene miga (datos de salud, menores, perfilado), consulta con un profesional.

Los 4 textos legales que tu web necesita

Texto ¿Obligatorio? Qué ley lo exige
Aviso legal Sí, para casi cualquier web con actividad económica LSSI
Política de privacidad Sí, si recoges cualquier dato personal (un formulario basta) RGPD y LOPDGDD
Política de cookies Sí, si usas cookies no técnicas (Analytics, píxeles, YouTube…) LSSI y RGPD
Condiciones de venta Solo si vendes online Ley de consumidores

Es tu identificación ante quien visita la web. La LSSI obliga a mostrar, de forma accesible desde cualquier página (el típico enlace en el pie), estos datos:

  • Nombre o razón social y NIF.
  • Domicilio o dirección de contacto.
  • Email y, si lo tienes, teléfono.
  • Datos de inscripción en el Registro Mercantil, si eres sociedad.
  • Si tu actividad necesita autorización o colegiación (clínicas, abogados…), el dato correspondiente.

Aplica también a autónomos y a webs que “solo” son un escaparate: si la web sirve a una actividad económica, aunque no vendas online, la LSSI te afecta.

2. Política de privacidad

Si tienes un formulario de contacto, ya tratas datos personales y el RGPD te obliga a explicar quién los recoge, para qué, cuánto tiempo los guardas, si los cedes a alguien y cómo puede la persona ejercer sus derechos (acceso, rectificación, supresión…).

Y ojo al detalle que más multas genera: el propio formulario debe llevar una capa informativa breve justo al lado del botón de enviar, con un enlace a la política completa. Un formulario “desnudo”, sin esa información y sin casilla de aceptación, es de lo primero que mira la AEPD cuando alguien denuncia.

3. Política de cookies

Explica qué cookies usa tu web, de quién son, para qué sirven y cuánto duran. Va de la mano del banner, que vemos en detalle más abajo. Si tu web solo usa cookies técnicas (las imprescindibles para que funcione), no necesitas banner, pero es raro: con solo instalar Analytics o incrustar un vídeo de YouTube ya estás fuera de ese supuesto.

4. Condiciones de venta

Solo si tienes tienda online o cobras por la web. Deben recoger precios con impuestos, gastos de envío, plazos de entrega, el derecho de desistimiento de 14 días y cómo reclamar. Sin esto, cualquier disputa con un cliente la tienes perdida de antemano.

¿Tu web cumple? Nosotros la entregamos cumpliendo

Todas nuestras webs salen con textos legales, banner de cookies conforme a la AEPD y consentimiento bien configurado desde el primer día.

Ver Servicio de Diseño Web

¿Cómo tiene que ser el banner de cookies según la AEPD?

Aquí es donde más webs fallan, incluso las que tienen los textos impecables. La Guía de cookies de la AEPD (actualizada en 2023 y exigible desde enero de 2024) marca reglas claras:

  • Rechazar tiene que ser tan fácil como aceptar. Si tu banner tiene un botón grande de “Aceptar” y el rechazo está escondido tras “Configurar” y tres clics, no cumple. Botón de aceptar y botón de rechazar, al mismo nivel.
  • Nada de cookies antes del consentimiento. El error técnico más común: la web carga Google Analytics, el píxel de Meta o el chat en cuanto entras, y el banner es puro teatro. Las herramientas de medición y publicidad solo pueden dispararse después de que el usuario acepte.
  • Seguir navegando no es consentir. Eso valía hace años; hoy hace falta una acción clara.
  • El usuario debe poder retirar su consentimiento igual de fácil, con un enlace o icono permanente tipo “gestionar cookies” en el pie.
  • Los muros de cookies (“acepta o no entras”) solo se admiten si ofreces una alternativa razonable, y para una pyme normal no compensa meterse ahí.

¿Cómo saber si tu web hace trampas sin querer? Abre una ventana de incógnito, entra en tu web, no toques el banner y mira las cookies en las herramientas del navegador (aplicación > cookies). Si antes de aceptar ya ves cookies _ga o similares, tienes un problema. Es una de las comprobaciones que hacemos en nuestro servicio de mantenimiento web, porque una actualización de plugin puede romper la configuración sin que nadie se entere.

¿Me pueden multar de verdad? Lo que hace la AEPD con las pymes

Sí, y no es teórico. El RGPD permite multas de hasta 20 millones de euros o el 4% de la facturación, pero esos titulares son para grandes empresas. Lo que le llega a una pyme es más modesto y aun así duele:

  • Por infracciones de cookies (LSSI), las sanciones leves llegan hasta 30.000€. En la práctica, la AEPD viene imponiendo multas de entre 3.000€ y 10.000€ a negocios pequeños por no tener banner o por cargar cookies antes del consentimiento.
  • Por infracciones del RGPD, los expedientes típicos contra pymes (formulario sin capa informativa, falta de política de privacidad, enviar publicidad sin consentimiento) se mueven en rangos de unos pocos miles de euros, con apercibimientos en los casos más leves.

El detalle que mucha gente ignora: la mayoría de expedientes no nacen de inspecciones de oficio, sino de denuncias. Un cliente enfadado, un excompetidor o un extrabajador rellenan el formulario de la AEPD en diez minutos y es gratis. La agencia entra en tu web, comprueba lo denunciado y, si falta el banner o la política, el expediente sale solo porque la prueba está a la vista.

Para el tamaño de multa que manejan estos casos, poner la web en regla cuesta bastante menos que la sanción más barata.

Circula el mito de que Google Analytics está prohibido en Europa. No es el caso en España: la AEPD no lo ha vetado. Lo que sí es obligatorio es no cargarlo hasta que el usuario acepte las cookies de analítica.

Ahí entra el Consent Mode de Google, obligatorio en su versión 2 desde marzo de 2024 para quien use funciones publicitarias de Google en Europa. Funciona como un semáforo: tu banner le comunica a Google si hay consentimiento o no, y las etiquetas se comportan en consecuencia. En su modo avanzado, Google recibe señales anónimas sin cookies aunque el usuario rechace, lo que le permite estimar conversiones perdidas.

Para una pyme, nuestra recomendación práctica es la configuración básica: Analytics no se carga hasta que hay consentimiento, punto. Es la opción más defendible ante la AEPD y la más sencilla de auditar. Perderás visibilidad sobre parte del tráfico, cierto. También es verdad que unos datos parciales y legales valen más que unos completos que te pueden costar una multa. Y recuerda que gran parte de lo que importa para el posicionamiento en buscadores se mide fuera de Analytics, con Search Console, que no usa cookies en tu web.

  1. Aviso legal con nombre o razón social, NIF y dirección, enlazado desde el pie.
  2. Datos registrales si eres sociedad, y colegiación si tu actividad la exige.
  3. Política de privacidad completa y actualizada.
  4. Capa informativa breve y casilla de aceptación en cada formulario.
  5. Política de cookies con el listado real de cookies de tu web (no una genérica).
  6. Banner con botones de aceptar y rechazar al mismo nivel.
  7. Ninguna cookie de analítica o publicidad antes del consentimiento.
  8. Enlace permanente para cambiar o retirar el consentimiento.
  9. Condiciones de venta con desistimiento de 14 días, si vendes online.
  10. Revisión tras cada plugin o herramienta nueva que instales.

Si has marcado los diez, enhorabuena: estás por delante de la mayoría de webs de tu competencia. Si te fallan varios, no lo dejes para el trimestre que viene; como decíamos arriba, una denuncia se pone en diez minutos.

Preguntas frecuentes

¿Qué textos legales necesita mi web?

Como mínimo tres: aviso legal (con NIF, nombre y dirección, exigido por la LSSI), política de privacidad (si tienes cualquier formulario) y política de cookies (si usas Analytics, píxeles o vídeos incrustados). Si vendes online, añade las condiciones de venta.

¿Me pueden multar por no tener banner de cookies?

Sí. Las infracciones leves de la LSSI llegan hasta 30.000€ y la AEPD viene sancionando a negocios pequeños con multas de entre 3.000€ y 10.000€ por no tener banner o por cargar cookies antes del consentimiento. La mayoría de expedientes empiezan con una denuncia, que cualquiera puede presentar gratis.

Sí. La LSSI aplica a cualquier web vinculada a una actividad económica, aunque sea un simple escaparate sin tienda. Si la web promociona tu negocio, necesitas aviso legal con tus datos identificativos.

Sí, la AEPD no lo ha prohibido. La condición es no cargarlo hasta que el usuario acepte las cookies de analítica, normalmente mediante una plataforma de consentimiento conectada con el Consent Mode v2 de Google, obligatorio desde marzo de 2024 para las funciones publicitarias.

Servicios que te pueden interesar

Otros artículos que te pueden interesar

¿Hablamos?