¿Cuáles son las obligaciones RGPD básicas de una tienda online en España?

Cinco bloques. Información en el momento de recoger los datos por los Arts. 13 y 14 del RGPD. Base jurídica correcta por cada finalidad (contrato para la compra, obligación legal para la facturación, consentimiento separado para marketing posterior). Inventario de encargados del tratamiento con DPA firmado para hosting, pasarela de pago, transportista, email marketing y herramientas de analítica. Plazos de conservación por categoría (6 años para facturas según el Art. 30 del Código de Comercio). Y derechos del interesado con canal de ejercicio operativo. La LSSI-CE 34/2002 añade obligaciones específicas de información identificativa del prestador en el Aviso Legal.

¿Qué base jurídica aplica a los datos del cliente que compra?

Para el tratamiento estrictamente necesario para entregar el producto y emitir la factura, ejecución del contrato según el Art. 6.1.b del RGPD. Para la conservación contable y fiscal posterior, obligación legal según el Art. 6.1.c. Para envío de newsletter, ofertas comerciales y comunicaciones de marketing posteriores a la compra, consentimiento expreso separado según el Art. 6.1.a, recogido con casilla NO premarcada y prueba de obtención conservada. Tres bases jurídicas distintas conviven en cualquier ecommerce.

¿Necesito un DPA con Stripe o Mollie?

Sí. Las pasarelas de pago actúan como encargados del tratamiento por cuenta del comercio cuando procesan los datos del cliente. El Art. 28 del RGPD exige contrato escrito con cláusulas mínimas obligatorias: instrucciones del responsable, confidencialidad, medidas de seguridad, subencargados autorizados, cooperación en derechos del interesado, notificación de brechas, devolución o supresión al final, auditoría. Stripe, Mollie, Adyen y similares publican su DPA estándar accesible desde la cuenta de comerciante. Acepta el DPA y guarda el justificante.

¿Puedo enviar emails de marketing tras la compra sin consentimiento previo?

Solo bajo el Art. 21.2 de la LSSI-CE, la excepción de soft opt-in y siempre con tres condiciones cumulativas. Primero, los datos del destinatario fueron obtenidos en el contexto de una compra previa de productos o servicios similares. Segundo, en el momento de la recogida se ofreció la posibilidad de oponerse de forma sencilla y gratuita. Tercero, en cada comunicación posterior se incluye un mecanismo de baja igual de sencillo. Si la newsletter sale fuera de productos similares o no hubo opción de oposición inicial, hace falta consentimiento expreso por el Art. 6.1.a del RGPD.

¿Qué dice el RGPD sobre los datos de la tarjeta de crédito?

El comercio no debe almacenar el PAN completo, el CVV ni la fecha de caducidad. Esto va más por el estándar PCI DSS que por el RGPD directamente, pero el Art. 32 del RGPD exige medidas técnicas y organizativas adecuadas al riesgo. La práctica habitual es delegar el cobro en la pasarela de pago, que devuelve un token al comercio. Almacenar datos de tarjeta sin cumplir PCI DSS expone simultáneamente a sanción de la AEPD por el Art. 32 y al bloqueo de la pasarela por el contrato de adquirencia.

RGPD y privacidad Comercio electrónico

RGPD tienda online España: guía de cumplimiento 2026

Steven | TrustYourWebsite · 14 de mayo de 2026 · Última actualización: mayo de 2026

Si vendes online a clientes en España, el RGPD no es un capítulo aislado del cumplimiento. Atraviesa toda la operativa: el formulario de alta de cliente, el carrito, la pasarela de pago, el email de confirmación, las comunicaciones de marketing posteriores, la conservación contable, las herramientas de soporte. Una tienda online típica de pyme moviliza más datos personales por jornada que un sitio corporativo en un mes.

Esta guía recoge las obligaciones reales de cumplimiento, ordenadas por la fase del recorrido del cliente. El objetivo es que puedas ir punto por punto de la lista y comprobar tu tienda sin invertir en una consultoría completa antes de tener identificadas las brechas.

Dirijo TrustYourWebsite como un proyecto en solitario y este es el orden en el que yo mismo reviso una tienda online cuando me la mandan para un escaneo previo. Si prefieres una primera radiografía técnica antes de leer el resto, escanea tu tienda gratis y vuelve con la lista en la mano.

Las cuatro normas que conviven

Una tienda online española opera bajo cuatro capas normativas. Cada una aporta sus obligaciones específicas.

Norma	Ámbito en ecommerce	Referencia
RGPD (UE) 2016/679	Tratamiento de datos personales del cliente	eur-lex.europa.eu
LOPDGDD 3/2018	Adaptación española, derechos digitales, sanciones	BOE-A-2018-16673
LSSI-CE 34/2002	Información identificativa, cookies, comunicaciones comerciales	BOE-A-2002-13758
TRLGDCU (RDL 1/2007)	Derecho de consumo, desistimiento de 14 días, información precontractual	BOE-A-2007-20555

Esta guía se centra en la capa RGPD. Para el bloque del Aviso Legal y los datos identificativos que pide la LSSI, ya tienes la guía del Aviso Legal según la LSSI. El derecho de desistimiento del TRLGDCU lo trataré en su propia guía dedicada.

Fase 1: visita y navegación

Cookies y scripts de terceros

Antes de que el visitante haga clic en nada, tu tienda ya está cargando recursos. Google Analytics, Meta Pixel, Hotjar, herramientas de personalización, chat de atención. Cada script de terceros que se ejecuta antes del consentimiento del usuario es una infracción potencial del Art. 22 de la LSSI-CE.

La regla técnica es clara: bloquear todo script no estrictamente necesario hasta que el visitante acepte mediante una acción afirmativa. El rechazo debe ser igual de fácil que la aceptación. Aceptar todo y rechazar todo deben tener el mismo peso visual y el mismo número de clics. Si tienes dudas sobre tu banner actual, la guía sobre cuándo es obligatorio el banner de cookies en España cubre los criterios exactos que la AEPD verifica.

Herramientas de analítica con base de cookies

Google Analytics 4 con configuración por defecto requiere consentimiento previo. Las alternativas sin cookies persistentes como Plausible, Fathom o un Matomo autohospedado con anonimización de IP funcionan habitualmente sin consentimiento, pero conviene verificar la configuración concreta de cada herramienta antes de eximir.

Registro de actividades

Independientemente de la herramienta, el registro de actividades de tratamiento del Art. 30 del RGPD debe listar la analítica como un tratamiento autónomo con finalidad estadística y base jurídica de consentimiento o interés legítimo según el caso.

Fase 2: alta y carrito

Datos mínimos imprescindibles

El Art. 5.1.c del RGPD impone el principio de minimización de datos. Para una compra básica online, los datos imprescindibles son:

Nombre y apellidos
Dirección de envío
Correo electrónico
Teléfono (solo cuando el transportista lo exige para entregas urgentes)

Cualquier dato adicional (fecha de nacimiento, género, NIF salvo factura empresa) debe justificarse por una finalidad concreta o ser opcional con casilla NO premarcada.

Casillas y consentimientos en el formulario

El RGPD Art. 4.11 define el consentimiento como manifestación de voluntad libre, específica, informada e inequívoca, mediante una declaración o una clara acción afirmativa. La sentencia del TJUE en el asunto Planet49 (C-673/17) confirmó que las casillas premarcadas no son consentimiento válido. Esto se aplica al banner de cookies y a las casillas dentro del formulario de compra para marketing posterior, alta en programa de fidelización o cesión de datos a empresas del grupo.

Patrón seguro:

Una casilla por finalidad, todas sin premarcar
Texto claro encima de cada casilla
Botón principal del formulario etiquetado de forma que indique la obligación de pago, en línea con la Directiva 2011/83/UE sobre derechos del consumidor y el TRLGDCU
Enlace a la política de privacidad accesible desde el formulario

Cuenta de cliente vs compra como invitado

Si la tienda permite tanto comprar con cuenta como sin cuenta, la base jurídica difiere. La compra como invitado se ampara en el contrato. La creación de cuenta, si añade funcionalidades de historial, listas de deseos, recomendaciones personalizadas, exige una base jurídica adicional para esos tratamientos extra.

Fase 3: pasarela de pago

Encargado del tratamiento

Stripe, Mollie, Adyen, Redsys, Bizum y similares actúan como encargados del tratamiento por cuenta del comercio. El Art. 28 del RGPD exige contrato escrito con cláusulas mínimas. Las pasarelas serias publican un DPA estándar accesible desde el panel de comerciante. Acepta, descarga y archiva el justificante con fecha.

Transferencias internacionales

Aquí está una de las trampas más frecuentes. Stripe es estadounidense. Adyen es neerlandesa pero con operaciones globales. PayPal es estadounidense. Cualquier transferencia fuera del Espacio Económico Europeo requiere garantía del Capítulo V del RGPD:

Decisión de adecuación de la Comisión Europea. Para Estados Unidos, el EU-US Data Privacy Framework vigente desde julio de 2023 cubre a las empresas estadounidenses adheridas al framework.
Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución 2021/914 de la Comisión.
Reglas Corporativas Vinculantes para grupos multinacionales que las hayan aprobado.

Cita en la política de privacidad la garantía concreta que usa cada proveedor. Stripe declara su adhesión al DPF, Adyen suele apoyarse en CCT más BCR. La información figura en el DPA del proveedor, no la inventes.

Datos de tarjeta y PCI DSS

El comercio no debe almacenar el PAN completo, el CVV ni la fecha de caducidad. El Art. 32 del RGPD impone medidas técnicas y organizativas adecuadas al riesgo; PCI DSS añade el marco específico de la industria de tarjetas. La práctica segura es delegar todo el flujo de cobro en la pasarela y recibir solo un token o referencia. Si tu plataforma necesita almacenar algo más, contrata auditoría PCI específica antes de plantearlo.

Fase 4: confirmación y postventa

Email transaccional vs marketing

El email de confirmación de pedido y los avisos del estado del envío son comunicaciones operativas necesarias para la ejecución del contrato. No requieren consentimiento. Las comunicaciones comerciales posteriores sí.

Soft opt-in del Art. 21.2 LSSI

La excepción del Art. 21.2 de la LSSI-CE permite enviar comunicaciones comerciales por correo electrónico sin consentimiento expreso previo cuando se cumplen tres condiciones cumulativas:

La dirección se obtuvo en el contexto de una venta previa de productos o servicios similares.
En el momento de la recogida se ofreció la posibilidad de oponerse de forma sencilla y gratuita, y el cliente no se opuso.
En cada envío posterior se ofrece la baja con un mecanismo igual de sencillo y gratuito.

Si la newsletter incluye productos no similares a los comprados, o si en el alta no había opción visible de oposición, el soft opt-in no cubre y necesitas consentimiento expreso del Art. 6.1.a del RGPD. Bajo el régimen general, la práctica segura es siempre el doble opt-in con prueba de obtención.

Programa de fidelización

Los puntos, el historial de compra, las recomendaciones personalizadas y los descuentos por segmento exigen consentimiento separado del consentimiento de compra. Casilla aparte, sin premarcar, con texto específico que describa la finalidad.

Encargados del tratamiento: el inventario completo

Cada tienda online se apoya en una cadena de proveedores. Lista mínima a documentar en el registro de actividades del Art. 30 RGPD:

Hosting del frontend y del backend
Plataforma de ecommerce si es SaaS (Shopify, Wix, Squarespace)
CDN (Cloudflare, BunnyCDN)
Pasarela de pago (Stripe, Mollie, Adyen, Redsys)
Transportista (Correos Express, SEUR, MRW, DHL)
Email transaccional (Resend, Postmark, Brevo transactional)
Email marketing (Mailchimp, Brevo, MailerLite)
CRM si lo hay (HubSpot, Pipedrive)
Atención al cliente (Zendesk, Intercom, Crisp)
Analítica (Google Analytics, Plausible, Matomo)
Antifraude (Stripe Radar, Sift)
Gestoría para contabilidad y obligaciones fiscales

Cada uno necesita DPA firmado o aceptado, su garantía de transferencia internacional si aplica y aparece en la lista de destinatarios de la política de privacidad.

Conservación: plazos por categoría

Mezclar plazos lleva a infracciones por exceso de retención. Estos son los plazos típicos para una tienda online española:

Categoría	Plazo	Base
Datos de pedido y facturación	6 años	Art. 30 Código de Comercio
Datos fiscales	4 años	Art. 66 Ley General Tributaria
Cuenta de cliente activa	Mientras esté activa	Contrato
Cuenta inactiva (sin compras)	3 años desde último login	Interés legítimo, después borrado o anonimización
Suscripción a newsletter	Hasta la baja	Consentimiento
Mensajes de soporte	12 meses desde el cierre	Interés legítimo
Logs del servidor	30 días	Seguridad
Antifraude	6 meses	Interés legítimo

Programa el borrado o la anonimización efectiva. Plazos declarados que no se aplican en la realidad son una de las cosas que la AEPD detecta más rápido cuando inspecciona.

Errores frecuentes que detecta la AEPD en tiendas online

Estos patrones aparecen recurrentemente en las resoluciones publicadas por la AEPD contra ecommerce. Conocer la lista te ahorra la mayoría del riesgo sancionador.

Carga de scripts de marketing antes del consentimiento. Meta Pixel, Google Ads, TikTok Pixel, Pinterest Tag se inicializan en el <head> antes de que el banner reciba ninguna acción del usuario. Solución técnica: tag manager con bloqueo por defecto y disparo condicionado al evento de consentimiento.

Casillas premarcadas para marketing posterior. Sentencia Planet49 ya citada, jurisprudencia consolidada. Cualquier casilla premarcada en el flujo de compra para newsletter, cesión a terceros o programa de fidelización es nula.

Pasarela de pago sin DPA aceptado. El comerciante asume que el DPA está implícito en el contrato comercial. No lo está hasta que se acepta expresamente desde el panel de comerciante. La AEPD lo pide en inspección.

Transferencias internacionales no declaradas. Stripe en US, Klaviyo en US, Mailchimp en US, Cloudflare con presencia global. La política de privacidad menciona "podemos transferir datos fuera de la UE" sin nombrar destinatarios ni garantías. Insuficiente.

Soft opt-in mal aplicado. Newsletter de ofertas variadas a clientes que compraron un producto concreto, sin opción de oposición visible en la página del checkout. Falla la condición primera o segunda del Art. 21.2 LSSI.

Plazos de conservación genéricos. "Conservamos los datos durante el tiempo necesario". Sin plazos por categoría, la política incumple el Art. 13.2.a del RGPD.

Política de privacidad copiada de otra tienda. Lista de proveedores que no se corresponde con los que la tienda usa en realidad. Detectable con un escaneo técnico de la web en segundos.

Checklist de cumplimiento RGPD para tu tienda

Antes de considerar tu tienda en cumplimiento, repasa esta lista:

Para una visión cruzada con el RGPD general fuera del ámbito ecommerce, complementa con la checklist RGPD para pymes españolas.

Cuándo conviene asesoramiento externo

La plantilla y la checklist cubren la situación de la mayoría de ecommerce de pymes españolas. Hay supuestos donde conviene revisión legal específica:

Venta de categorías especiales del Art. 9 RGPD (salud, productos farmacéuticos, suplementos médicos, productos eróticos cuando se vinculan a perfiles de cliente)
Venta a menores (productos para menores con cuenta del menor, plataformas con perfiles infantiles)
Plataforma marketplace donde varios vendedores procesan datos de los compradores
Perfilado automatizado o decisiones automatizadas (scoring antifraude que excluye automáticamente al cliente, precios dinámicos individuales)
Internacional intensivo con clientes fuera del EEE como mercado principal
Brecha de seguridad notificada o requerimiento ya recibido de la AEPD

Esto es análisis técnico, no asesoramiento legal. Para casos con categorías especiales, ventas a menores, plataformas marketplace o reclamaciones activas de la AEPD, consulta con un abogado especializado en derecho digital.

Comprueba tu web ahora

Analiza tu web en busca de problemas de RGPD y privacidad y más de 30 comprobaciones adicionales.

Analiza tu web gratis

Guías web

Formulario contacto RGPD España: información obligatoria

Cómo cumplir el RGPD en tu formulario de contacto en España: información del Art. 13, base jurídica, casilla NO premarcada y conservación de logs.

Google Analytics RGPD España: consentimiento (2026)

Cómo usar Google Analytics 4 cumpliendo el RGPD en España: consentimiento previo, configuración mínima, transferencias internacionales tras el DPF UE-EE.UU.

Newsletter doble opt-in RGPD España: guía 2026

Doble opt-in y consentimiento RGPD para newsletter en España. Cómo cumplir el Art. 21 LSSI, el Art. 6.1.a RGPD y guardar prueba ante la AEPD.

Política de privacidad modelo España: plantilla 2026

Crea una política de privacidad RGPD para tu pyme española. Plantilla paso a paso con los Arts. 13 y 14 RGPD, LOPDGDD 3/2018 y guía AEPD.

Auditoría RGPD de tu sitio web: guía paso a paso con DevTools

Auditoría RGPD de tu sitio web paso a paso con DevTools. Revisa cookies, política de privacidad, aviso legal LSSI, formularios y seguridad sin programar.