La web tiene 4 páginas que pueden costarte caro. ¿Las han revisado alguna vez?

Introducción

Hay cuatro páginas de casi cualquier web corporativa que nadie revisa en serio: el aviso legal, la política de privacidad, la política de cookies y la configuración de consentimiento. Se publican al final del proyecto, se dejan en el footer y rara vez se vuelven a tocar. En muchas empresas ni siquiera las ha revisado quien toma decisiones. Se han copiado de otra web, vienen de una plantilla o se han generado con una herramienta automática sin comprobar si reflejan lo que el sitio hace de verdad.

El problema es que no son relleno. En 2024, la AEPD impuso 281 multas por un importe total de 35.592.200 €. El número de sanciones bajó respecto a 2023, pero el importe total subió un 19%. No hablamos de una amenaza teórica ni de algo reservado a grandes tecnológicas: hablamos de un marco sancionador activo, estable y cada vez más técnico.

La mayoría de las veces el riesgo no nace de una gran infracción exótica. Nace de algo mucho más simple: un formulario que envía datos a terceros sin que la política lo explique, un banner que promete rechazo pero no bloquea nada, una analítica instalada antes de que el usuario consienta o un aviso legal que identifica mal al titular real del sitio.

El problema no es "tener textos legales". El problema es que coincidan con la web real.

Una web puede tener sus páginas legales publicadas y seguir estando mal. De hecho, ese es el caso más habitual. El texto dice que solo se usan cookies técnicas; la implementación carga analítica y scripts de terceros desde la primera visita. El texto dice que no se comparten datos con terceros; el formulario dispara correos, CRM, mapas, fuentes o servicios externos que sí implican tratamiento. El texto dice que el usuario puede rechazar; la capa visual lo sugiere, pero el código no bloquea nada.

Ese desfase entre lo que la web declara y lo que realmente hace es donde aparece el riesgo. Porque la responsabilidad no se mide por la buena intención del proveedor, sino por la realidad técnica del sitio y por la capacidad de la empresa para justificar lo que está haciendo con los datos de sus usuarios.

Aviso legal: no es un trámite, es identificación obligatoria

El aviso legal no está para "dar tranquilidad". Está para identificar correctamente al prestador del servicio. El artículo 10 de la LSSI obliga a que la web permita acceder de forma permanente, fácil, directa y gratuita a información como el nombre o denominación social, domicilio, correo electrónico, datos registrales, NIF y, cuando proceda, información propia de actividades sujetas a autorización o profesiones reguladas.

Esto importa mucho más de lo que parece. En grupos empresariales, marcas comerciales o webs de varias sociedades, una de las fallas más comunes es que el sitio comercializa, capta leads o representa a varias entidades, pero el aviso legal identifica de forma confusa o incompleta a una sola. Y ahí ya no hablamos de estilo ni de redacción: hablamos de trazabilidad jurídica.

Además, la LSSI no juega en pequeño. Las infracciones leves pueden sancionarse con hasta 30.000 €, las graves con entre 30.001 y 150.000 € y las muy graves con entre 150.001 y 600.000 €. La propia ley prevé incluso la prohibición de actuación en España durante un máximo de dos años en supuestos de reiteración de infracciones muy graves.

Política de privacidad: el documento que casi nunca refleja la realidad del tratamiento

La política de privacidad no debería ser un texto genérico sobre "cómo protegemos tus datos". Debería ser una descripción precisa de lo que ocurre en esa web concreta. El artículo 13 del RGPD obliga a informar, entre otras cosas, de la identidad y datos de contacto del responsable, las finalidades del tratamiento, su base jurídica, los destinatarios o categorías de destinatarios, los plazos de conservación y los derechos del interesado.

El problema real es que muchas webs sí tienen ese documento, pero no hablan de lo que de verdad ocurre. No explican qué pasa cuando un usuario rellena un formulario. No mencionan si los datos pasan a un gestor de correo, a un CRM, a una herramienta comercial, a un proveedor de analítica o a servicios de terceros que participan en el tratamiento. Tampoco dejan claro la base jurídica de cada uso ni los plazos reales de conservación.

En la práctica, la política de privacidad se convierte muchas veces en un texto decorativo. Y cuando un texto legal es decorativo, ya no protege a la empresa: la expone.

Cookies: donde más webs fallan, aunque crean que lo tienen resuelto

La parte más delicada de casi cualquier web corporativa es la gestión de cookies y del consentimiento. La LSSI exige informar y obtener consentimiento para el uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales cuando no se trate de cookies exentas. Y la guía de la AEPD es muy clara en puntos que siguen fallando de forma masiva: la mera inactividad no vale como consentimiento, y la opción de rechazar debe ofrecerse en la misma capa, al mismo nivel y con la misma visibilidad que la de aceptar.

Esto no es una cuestión estética. No basta con poner un banner bonito. Si el botón de rechazo está escondido, si obliga a más clics, si manda a otra capa, o si al rechazar se siguen cargando scripts no necesarios, la implementación está mal aunque visualmente parezca "cumplida".

Y aquí ya hay expedientes muy concretos. La Memoria 2024 de la AEPD destaca el procedimiento PS/00524/2023 contra Techpump Solutions, S.L., con una sanción de 90.000 € por deficiencias en la política de cookies de tres páginas web. En el mismo bloque, la Agencia recoge otro caso en el que, aunque el usuario intentaba no consentir o retiraba el consentimiento, las cookies seguían instalándose igualmente.

Eso es lo que muchas empresas no ven: el riesgo no está solo en "tener cookies". El riesgo está en cómo se cargan, cuándo se cargan y si el rechazo funciona de verdad.

No toda analítica está en la misma categoría

Aquí conviene hacer un matiz importante. No toda cookie analítica está automáticamente en el mismo saco. En enero de 2024, la AEPD publicó una guía específica sobre cookies para medición de audiencia. En ella admite que ciertas cookies orientadas exclusivamente a medición de audiencia podrían estar exentas de consentimiento, pero solo bajo condiciones muy concretas: finalidad estrictamente limitada, uso en nombre exclusivo del editor, datos estadísticos anónimos, sin cotejo con otros tratamientos, sin transmisión a terceros y sin seguimiento agregado entre distintos sitios. En cuanto el tratamiento se sale de ahí, vuelve a ser necesario el consentimiento.

Esto es relevante porque muchas webs se escudan en "solo usamos analítica" sin revisar qué hace realmente la herramienta configurada. Y una cosa es una medición estrictamente limitada para administrar el sitio, y otra muy distinta una solución que reutiliza datos, cruza identificadores o participa en ecosistemas más amplios de seguimiento.

El fallo típico: el texto promete una cosa y el código ejecuta otra

Este es el patrón que más se repite:

• La política dice que solo hay cookies técnicas, pero la cabecera o el gestor de etiquetas carga analítica desde la primera visita.
• La política dice que no se ceden datos a terceros, pero el formulario envía la información a servicios externos o la integra con herramientas comerciales no documentadas.
• El banner dice que se puede rechazar, pero el rechazo solo cierra la interfaz mientras los scripts siguen disparándose.
• La empresa cree que el hosting europeo resuelve el problema, pero no ha revisado qué pasa con el CRM, la CDN, las fuentes, los mapas, los vídeos embebidos o los proveedores externos conectados a la web.

Aquí es donde un proyecto web deja de ser solo diseño y desarrollo. Porque el cumplimiento real no se resuelve escribiendo un texto bonito en el footer. Se resuelve revisando el comportamiento efectivo del sitio.

Qué debería pedir una empresa a quien hace su web

Una empresa no debería conformarse con "te hemos puesto el aviso legal y el banner". Debería exigir una revisión técnica seria de la implementación.

Eso implica, como mínimo, identificar qué scripts cargan en primera visita, qué cookies se instalan antes del consentimiento, qué terceros participan en formularios, qué servicios externos reciben datos, qué eventos se disparan desde el gestor de etiquetas, qué contenidos embebidos generan tratamiento y si la capa de consentimiento bloquea de verdad lo que dice bloquear.

Después viene la redacción. Pero primero va el mapa técnico real. Porque si el mapa está mal, los textos también lo estarán.

Lo que está cambiando en Europa: menos dispersión normativa, no menos exigencia

Durante años, el debate europeo sobre cookies y privacidad electrónica ha estado bloqueado alrededor del Reglamento ePrivacy. La Comisión anunció en su programa de trabajo de 2025 la intención de retirarlo y, según el seguimiento legislativo del Parlamento Europeo, la retirada se aprobó en julio de 2025 y se anunció oficialmente en octubre de 2025. Después, el 19 de noviembre de 2025, la Comisión presentó el Digital Omnibus, una propuesta que busca simplificar varias normas digitales y que incluye cambios sobre cookies y RGPD.

Lo importante aquí es una cosa: es una propuesta, no una norma ya aplicable. Pero marca dirección. El texto propone introducir un nuevo artículo 88a en el RGPD para regular el almacenamiento o acceso a datos personales en equipos terminales y mantener el consentimiento como regla general, con ciertos supuestos de licitud sin consentimiento para casos concretos, además de exigir una negativa fácil y comprensible mediante botón único o medio equivalente cuando el tratamiento se base en consentimiento.

Traducido a negocio: aunque el marco cambie, nadie debería interpretar esto como una relajación. Lo razonable es lo contrario: revisar implementaciones antiguas, simplificar lo innecesario y dejar de depender de banners que "parecen correctos" pero no resisten una revisión seria.

Y además viene otra capa: IA

Si una web incorpora chatbots, asistentes, automatizaciones comerciales o sistemas de IA conectados a datos personales, el escenario se complica. El AI Act entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2026, con excepciones: algunas obligaciones ya aplican desde febrero de 2025, las de modelos GPAI desde agosto de 2025 y ciertos sistemas de alto riesgo integrados en productos regulados tienen transición hasta agosto de 2027.

Además, la propia AEPD ha señalado la IA, los espacios de datos y los neurodatos entre sus retos prioritarios. No porque todas las webs vayan a tratar neurodatos mañana, sino porque la dirección regulatoria es clara: más foco en tecnologías emergentes, más supervisión y más atención al impacto real sobre los derechos de las personas.

Conclusión

Las páginas legales de una web no son un apéndice. Son parte de su arquitectura real. Y cuando están mal, no fallan solo a nivel jurídico: también fallan a nivel técnico, reputacional y operativo.

Una web puede captar leads y seguir estando expuesta. Puede verse impecable y, al mismo tiempo, estar cargando herramientas antes de tiempo, documentando mal sus tratamientos o prometiendo opciones de rechazo que no funcionan. Ese es el tipo de problema que más se repite: no la ausencia total de textos, sino la distancia entre lo que los textos dicen y lo que la web ejecuta.

La pregunta correcta no es si tu empresa "tiene política de privacidad" o "tiene banner de cookies". La pregunta correcta es otra: