¿Qué información debo mostrar en mi formulario de contacto bajo el RGPD?

El Art. 13 del RGPD exige informar antes de la recogida de los datos. En el formulario o muy cerca del botón de envío deben aparecer al menos identidad del responsable, finalidad de la consulta, base jurídica, plazo de conservación, derechos del interesado y enlace a la política de privacidad. La AEPD admite el cumplimiento por capas: una capa breve junto al formulario y la información completa en la política enlazada. Lo que no admite es ningún tipo de ocultación o letra ilegible.

¿Necesito una casilla de aceptación junto al botón de envío?

Solo si la base jurídica es el consentimiento del Art. 6.1.a del RGPD. Para la consulta espontánea por interés legítimo o por medidas precontractuales del Art. 6.1.b, no hace falta casilla. Lo que sí hace falta siempre es informar antes de la recogida. Cuando hay casilla, debe estar SIN premarcar; la sentencia del TJUE en el asunto Planet49 (C-673/17) dejó claro que las casillas premarcadas no son consentimiento válido. Una casilla por finalidad, sin agrupar consentimientos.

¿Puedo enviar la newsletter a quien me ha escrito por el formulario?

No automáticamente. La consulta por formulario se ampara en interés legítimo o ejecución de medidas precontractuales, no en consentimiento. Para enviar newsletter posterior necesitas consentimiento separado en el momento del formulario, mediante casilla específica sin premarcar y con texto que describa la finalidad de marketing. Sin esa casilla expresa, añadir a la newsletter al remitente del formulario es una infracción del Art. 6 del RGPD y del Art. 21 de la LSSI-CE.

¿Cuánto tiempo puedo conservar el mensaje y los datos del formulario?

El plazo debe ser concreto y proporcional a la finalidad. Para una consulta comercial puntual, doce meses desde la última comunicación es un plazo defendible. Si la consulta deriva en presupuesto y contrato, los datos pasan a regirse por los plazos contables y fiscales (seis años por el Art. 30 del Código de Comercio, cuatro años por el Art. 66 de la Ley General Tributaria). Plazos genéricos del tipo 'el tiempo necesario' incumplen el Art. 13.2.a del RGPD.

¿Es obligatorio guardar logs con IP y fecha del envío del formulario?

No es obligatorio por defecto, pero recomendable como prueba ante reclamaciones o intentos de spam. Si guardas logs, declara el tratamiento en el registro de actividades del Art. 30 del RGPD, fija un plazo de conservación corto (30 a 90 días para logs de seguridad) y limita el acceso al personal autorizado. La base jurídica habitual es interés legítimo por seguridad y antifraude, no consentimiento.

RGPD y privacidad

Formulario contacto RGPD España: información obligatoria

Steven | TrustYourWebsite · 14 de mayo de 2026 · Última actualización: mayo de 2026

El formulario de contacto suele ser el primer punto donde una web española recoge datos personales del visitante. Nombre, correo electrónico, mensaje, en muchos casos también teléfono. Activa de pleno las obligaciones de los Arts. 13 y 14 del Reglamento General de Protección de Datos. Esta guía recoge la información mínima que debe aparecer en el formulario o cerca de él, las bases jurídicas correctas según el tipo de consulta y los errores que la AEPD detecta con más frecuencia.

Dirijo TrustYourWebsite como un proyecto en solitario y el formulario de contacto es uno de los elementos donde más veo el mismo patrón roto en los escaneos: información ausente, casilla premarcada, datos excesivos, conservación indefinida. Cuatro arreglos puntuales lo resuelven. Si quieres comprobar tu propio formulario antes de leer el resto, escanea tu web gratis y revisa la lista de problemas.

Qué procesa realmente un formulario de contacto

Aunque parezca menor, un formulario web procesa datos personales en sentido pleno del Art. 4.1 del RGPD. Tres bloques típicos:

Datos identificativos: nombre, opcionalmente apellidos
Datos de contacto: correo electrónico, opcionalmente teléfono
Contenido libre del mensaje, que puede incluir datos personales adicionales que el visitante decida aportar (NIF, dirección, datos profesionales, datos de terceros mencionados)

A esto se suman, por defecto técnico, los datos que el servidor registra al recibir el envío:

Dirección IP de origen
Sello temporal del envío
User agent del navegador
Eventualmente, identificador de sesión o cookie

Todo ese conjunto entra en el ámbito del RGPD desde el primer envío.

Información obligatoria del Art. 13 del RGPD

El Art. 13 del RGPD enumera la información que hay que facilitar al interesado en el momento de recoger los datos. La AEPD admite el cumplimiento por capas: una capa básica directamente en el formulario o junto a él, con enlace a la información completa en la política de privacidad. Esta es la capa básica mínima recomendada por la AEPD:

Bloque	Texto tipo
Responsable	"Responsable: [Razón social], CIF [número]"
Finalidad	"Atender su consulta y, en su caso, remitirle el presupuesto solicitado"
Base jurídica	"Interés legítimo o ejecución de medidas precontractuales"
Destinatarios	"Sus datos no se cederán a terceros salvo obligación legal"
Derechos	"Acceso, rectificación, supresión, oposición, portabilidad, limitación"
Información completa	"Más información en nuestra Política de privacidad"

La política de privacidad enlazada cubre el bloque completo (transferencias internacionales, plazos de conservación, derecho a reclamar ante la AEPD, etc.). Para la plantilla detallada, ya tienes la guía de la política de privacidad modelo.

Base jurídica habitual

Tres bases jurídicas conviven en un formulario de contacto típico de pyme. La que aplique depende del tipo de envío:

Consulta espontánea sin relación previa

Cuando alguien escribe simplemente para preguntar algo (información de un servicio, horarios, ubicación, una duda general), la base habitual es el interés legítimo del Art. 6.1.f del RGPD: responder a la consulta es necesario para la actividad ordinaria de la empresa y el interesado tiene una expectativa razonable de que se le responda.

Si se invoca interés legítimo, hay que tener documentado el juicio de ponderación previo: un párrafo que recoja el interés perseguido, los derechos del interesado y la ponderación entre ambos. La AEPD pide poder ver ese análisis en inspección.

Solicitud de presupuesto o contratación previa

Cuando el formulario sirve para pedir presupuesto, agendar una primera reunión, solicitar una demo o iniciar la fase precontractual, la base es ejecución de medidas precontractuales del Art. 6.1.b del RGPD. El interesado quiere algo concreto que requiere el tratamiento de sus datos como paso previo al contrato.

Consentimiento adicional para finalidades distintas

Si el formulario sirve también para suscribirse a newsletter, registrarse en un programa de fidelización o autorizar comunicaciones comerciales posteriores, esa finalidad adicional requiere consentimiento expreso del Art. 6.1.a. Casilla separada, sin premarcar, con texto específico que describa la finalidad de marketing.

Casillas: no premarcadas y separadas por finalidad

El consentimiento del Art. 4.11 del RGPD se define como manifestación de voluntad libre, específica, informada e inequívoca, mediante una declaración o una clara acción afirmativa. El TJUE confirmó en el asunto Planet49 (C-673/17) que una casilla premarcada no cumple el requisito de acción afirmativa.

Patrón seguro para un formulario de contacto:

Si solo hay una finalidad (responder a la consulta), no hace falta casilla. Basta con informar.
Si hay finalidad adicional de marketing, casilla separada para esa finalidad, sin premarcar, con texto claro.
Si hay cesión a empresa del grupo, casilla aparte, sin premarcar.
Si hay perfilado o decisiones automatizadas, casilla aparte, sin premarcar, con información reforzada.

Nunca agrupar finalidades en una sola casilla del tipo "Acepto la política de privacidad y el envío de comunicaciones comerciales". El usuario no puede dar consentimiento granular y la AEPD lo trata como consentimiento no válido.

Datos mínimos imprescindibles

El principio de minimización de datos del Art. 5.1.c del RGPD obliga a recoger solo lo adecuado, pertinente y limitado a lo necesario para la finalidad. Para un formulario de contacto típico:

Nombre: imprescindible para dirigirse al remitente con respeto.
Correo electrónico: imprescindible para responder por escrito.
Mensaje: imprescindible, contiene la consulta.
Teléfono: opcional. Solo marcar obligatorio cuando la finalidad sea claramente una llamada de seguimiento (urgencias, soporte técnico, reservas inmediatas).
NIF, dirección, empresa: opcional salvo finalidad concreta (facturación, envío, propuesta comercial B2B). En caso de marcar obligatorio, explicar la razón.

Cualquier dato adicional debe estar justificado o ser opcional. Pedir fecha de nacimiento, género, dirección postal completa en un formulario de contacto general es un patrón típico de incumplimiento por exceso.

Conservación: plazos por finalidad

La política de privacidad debe declarar plazos concretos por categoría. Para los datos de un formulario de contacto:

Categoría	Plazo recomendado	Base
Mensajes de consulta no convertidos	12 meses desde la última comunicación	Interés legítimo
Datos de cliente derivados de la consulta	6 años desde la última factura	Obligación contable
Logs del servidor (IP, fecha de envío)	30 a 90 días	Seguridad
Suscripción a newsletter desde el formulario	Hasta la baja	Consentimiento

Programa el borrado o anonimización efectiva. Plazos declarados que no se aplican son una de las cosas que la AEPD detecta en inspección con una sola petición de acceso del interesado.

Errores frecuentes en formularios de contacto

Estos patrones se repiten en las inspecciones publicadas en el registro de la AEPD y en los escaneos técnicos que realizo. Cada uno es una infracción potencial autónoma.

Sin información del Art. 13 visible. El formulario solo tiene los campos y el botón, sin ninguna referencia al responsable, la finalidad o la base jurídica. La política de privacidad puede estar en el pie de la web, pero la información mínima debe estar al alcance del usuario antes del envío.

Casilla premarcada o casilla única que agrupa finalidades. La casilla del tipo "Acepto la política de privacidad y recibir comunicaciones comerciales" agrupa dos consentimientos distintos. La AEPD no la admite. Separar siempre.

Campos obligatorios excesivos. Fecha de nacimiento, género, NIF, dirección completa para una simple consulta. Cada campo obligatorio debe justificarse por una finalidad. La sobre-recogida es infracción del principio de minimización del Art. 5.1.c.

Newsletter automática al remitente del formulario. El correo electrónico recibido por el formulario se da de alta automáticamente en la newsletter sin casilla expresa. Infracción del Art. 6.1.a del RGPD y del Art. 21.2 de la LSSI-CE.

Logs sin política declarada. El servidor o el plugin guardan IP, fecha y user agent en una base de datos accesible para el administrador sin que el tratamiento figure en el registro de actividades ni en la política. Los logs son tratamiento autónomo y deben declararse.

Política de privacidad enlazada que no se corresponde. La política habla de tratamientos que no existen (por ejemplo, base jurídica de consentimiento para una consulta espontánea), o no menciona el tratamiento del formulario. La AEPD verifica la coherencia.

Sin canal de ejercicio de derechos. El usuario que ha enviado el formulario no tiene un canal claro para pedir acceso, supresión u oposición. Un correo electrónico de contacto en la política es suficiente, pero debe existir y debe responderse en el plazo del Art. 12 del RGPD.

Implementación técnica

WordPress con plugin de formularios

Los plugins más extendidos (Contact Form 7, WPForms, Gravity Forms, Fluent Forms) permiten configurar texto informativo bajo el formulario y casillas opcionales. Listas mínima de ajustes:

Añadir un campo de texto fijo con la capa básica de información del Art. 13.
Añadir, si aplica, una casilla de consentimiento de marketing separada, sin premarcar.
Configurar el destino del envío (correo del responsable, sin redirigir a terceros sin contrato).
Limitar los logs internos del plugin a lo necesario y purgar periódicamente.
Desactivar el reenvío automático al usuario si incluye datos del mensaje.

Plataformas SaaS

Wix, Squarespace, Shopify, Webflow ofrecen formularios nativos con configuración limitada. Verifica:

Que el texto bajo el formulario es editable y permite la información del Art. 13.
Que las casillas pueden añadirse sin premarcar.
Que los DPA con la plataforma están aceptados y el alojamiento está identificado (UE, EEUU bajo DPF).
Que la plataforma figura como encargado del tratamiento en la política de privacidad.

Formulario propio en código

Si el formulario está desarrollado a medida, asegúrate de:

Implementar el envío server-side con sanitización contra inyección.
Almacenar los mensajes en una tabla con campos auditables (timestamp, IP, payload).
Definir y aplicar la política de retención efectiva.
Implementar el canal de ejercicio de derechos.

Para auditar técnicamente qué información captura tu formulario y dónde se almacena, sigue la guía de auditoría RGPD paso a paso con DevTools.

Checklist final

Antes de considerar tu formulario en cumplimiento, repasa:

Para una vista cruzada con el resto de obligaciones RGPD de tu web, complementa con la checklist RGPD para pymes españolas.

Cuándo conviene revisión legal

La configuración estándar de un formulario de contacto rara vez requiere asesoramiento externo. Hay casos donde sí conviene:

Formulario para profesionales sanitarios donde el mensaje puede contener datos de salud (Art. 9 RGPD)
Formulario de denuncias internas (canal de whistleblowing), regulado por la Ley 2/2023 de protección del informante
Formulario que recoge datos de menores
Formulario que activa perfilado o decisiones automatizadas
Formulario integrado con un CRM o herramienta de marketing automation con flujos de cesión a terceros

Esto es análisis técnico, no asesoramiento legal. Para canales de denuncias internas, formularios sanitarios o flujos con perfilado automatizado, consulta con un abogado especializado en protección de datos.

Comprueba tu web ahora

Analiza tu web en busca de problemas de RGPD y privacidad y más de 30 comprobaciones adicionales.

Analiza tu web gratis

Guías web

Google Analytics RGPD España: consentimiento (2026)

Cómo usar Google Analytics 4 cumpliendo el RGPD en España: consentimiento previo, configuración mínima, transferencias internacionales tras el DPF UE-EE.UU.

Newsletter doble opt-in RGPD España: guía 2026

Doble opt-in y consentimiento RGPD para newsletter en España. Cómo cumplir el Art. 21 LSSI, el Art. 6.1.a RGPD y guardar prueba ante la AEPD.

Política de privacidad modelo España: plantilla 2026

Crea una política de privacidad RGPD para tu pyme española. Plantilla paso a paso con los Arts. 13 y 14 RGPD, LOPDGDD 3/2018 y guía AEPD.

RGPD tienda online España: guía de cumplimiento 2026

Cumplimiento RGPD para tu tienda online en España: bases jurídicas, datos del cliente, pasarela de pago, transferencias internacionales y AEPD.

Auditoría RGPD de tu sitio web: guía paso a paso con DevTools

Auditoría RGPD de tu sitio web paso a paso con DevTools. Revisa cookies, política de privacidad, aviso legal LSSI, formularios y seguridad sin programar.