Protección de Datos

Sanciones AEPD a ecommerce y retail: casos

Sanciones AEPD a ecommerce y retail: cookies sin consentimiento, brechas de contraseñas, suplantación en altas y reseñas. Casos, patrón LSSI+RGPD y lecciones.

En una frase. Las tiendas online y el retail concentran un tipo de sanción muy característico ante la AEPD: la combinación de una infracción de la LSSI (cookies o comunicaciones comerciales) con una del RGPD (falta de información, brecha de seguridad o tratamiento sin base), de modo que un solo expediente suele acumular dos regímenes y elevar el importe.

Puntos clave

  • El patrón dominante es la doble sanción LSSI + RGPD en un mismo procedimiento.
  • Las cookies sin consentimiento válido son la primera causa de expediente contra webs de comercio.
  • Las brechas de contraseñas y los accesos no autorizados a cuentas de cliente activan los arts. 32-34 RGPD.
  • La suplantación en altas (dar de alta a un tercero sin verificar identidad) genera reclamaciones frecuentes.
  • Las reseñas y valoraciones con datos de terceros son un foco emergente.

1. Por qué el ecommerce acumula dos regímenes

Una web de comercio electrónico está sujeta a la vez al RGPD y a la Ley de Servicios de la Sociedad de la Información (LSSI-CE). Cuando la AEPD investiga una tienda online, es habitual que un mismo hecho vulnere ambas normas: un banner de cookies que no permite rechazar infringe el art. 22.2 LSSI y, si además instala rastreadores sin base, el art. 6 RGPD. El resultado es un expediente con dos infracciones y un importe superior al que correspondería a cada una por separado. El detalle del régimen de cookies está en la guía de la bandera de cookies conforme a la AEPD y el marco general en la LSSI-CE.

2. Los cuatro focos de sanción del comercio

Cookies y rastreo sin consentimiento

Es la causa más frecuente. Desde la actualización de la Guía de cookies de la AEPD de 2023, la primera capa del banner debe permitir rechazar todas las cookies con la misma facilidad que aceptarlas. Un banner sin botón de rechazo, con casillas premarcadas o que instala rastreadores antes de la elección del usuario es sancionable. La corrección es técnica y barata; ignorarla es lo caro.

Brechas de seguridad y contraseñas

El robo de credenciales, el acceso no autorizado a cuentas de cliente o el almacenamiento de contraseñas sin cifrar activan los arts. 32, 33 y 34 RGPD. La AEPD valora tanto la ausencia de medidas técnicas como la gestión de la brecha: notificar tarde o no comunicar a los afectados agrava la sanción.

Suplantación en altas y verificación de identidad

Dar de alta a una persona en una plataforma usando sus datos sin verificar que es ella —o no impedir que un tercero lo haga— genera reclamaciones constantes. El deber de exactitud (art. 5.1.d) y de seguridad obliga a implantar mecanismos de verificación proporcionados en el alta.

Reseñas y datos de terceros

Publicar reseñas que identifican a empleados o a otros clientes, o gestionar valoraciones sin base ni información, es un foco emergente. La tienda es responsable del tratamiento asociado a su sistema de reseñas.

3. Tabla de riesgo por supuesto

Supuesto Norma infringida Medida correctora
Banner sin botón de rechazo Art. 22.2 LSSI + art. 6 RGPD Rediseño del CMP
Contraseñas sin cifrar Art. 32 RGPD Cifrado y política de seguridad
Brecha no notificada Art. 33-34 RGPD Procedimiento de brechas
Alta sin verificar identidad Art. 5.1.d y 32 RGPD Verificación en el registro
Marketing sin consentimiento Art. 21 LSSI + art. 6 RGPD Doble opt-in y prueba de consentimiento

El marketing sin consentimiento merece atención propia: está desarrollado en las sanciones AEPD en marketing y publicidad, y el régimen general de importes en la guía de sanciones del RGPD.

4. Derechos no atendidos: la denuncia más común

Más allá de las cookies y las brechas, buena parte de las reclamaciones contra tiendas online nace de derechos no atendidos: un cliente pide la supresión de su cuenta y no obtiene respuesta, solicita acceso a sus datos y el comercio lo ignora, o se opone al marketing y sigue recibiendo correos. El plazo del RGPD es de un mes desde la solicitud (prorrogable a tres en casos complejos), y su incumplimiento constituye una infracción autónoma que la AEPD sanciona con frecuencia porque es fácil de acreditar: basta la solicitud del afectado y la ausencia de respuesta.

El comercio debe disponer de un canal claro para ejercer derechos, verificar la identidad del solicitante de forma proporcionada y responder dentro de plazo, aunque sea para denegar de forma motivada. Un flujo desordenado, en el que las solicitudes se pierden entre departamentos, es la vía más rápida a un expediente. La automatización de este flujo y la trazabilidad de cada solicitud reducen drásticamente el riesgo, y es uno de los puntos donde una herramienta de gestión aporta más valor que una hoja de cálculo.

5. Lecciones accionables

La lectura de las resoluciones del sector deja varias conclusiones prácticas de aplicación inmediata. Primera: el banner de cookies es el punto más barato de corregir y el más caro de ignorar, porque expone la web a inspección de oficio sin necesidad de denuncia. Segunda: la gestión de una brecha pesa tanto como la brecha misma; tener un procedimiento escrito reduce el importe. Tercera: la mayoría de reclamaciones nacen de derechos no atendidos y de altas mal verificadas, no de ataques sofisticados. Y cuarta: el importe final depende tanto del incumplimiento como de la reacción; un comercio que corrige de inmediato, atiende al afectado y coopera con la Agencia obtiene resoluciones mucho más benignas que quien ignora los requerimientos.

Una tienda que quiera anticiparse debe empezar por la guía de RGPD para el ecommerce en España y mantener actualizado su registro de tratamientos y su documentación de seguridad. Plataformas europeas como Legiscope ayudan a centralizar esa documentación y las evidencias de consentimiento, aunque el rediseño técnico del banner corresponde siempre al equipo web. Las resoluciones originales pueden consultarse en la sede de la AEPD.

FAQ

¿Por qué las multas a tiendas online suelen ser por dos normas a la vez?

Porque el ecommerce está sujeto simultáneamente al RGPD y a la LSSI-CE. Un banner de cookies deficiente o un email comercial sin consentimiento infringe la LSSI, y si además falta base o información para el tratamiento, infringe el RGPD. La AEPD tramita ambas en un mismo expediente, lo que eleva el importe.

¿Es sancionable un banner de cookies sin botón de rechazo?

Sí. Desde la Guía de cookies de la AEPD de 2023, la primera capa debe permitir rechazar todas las cookies con la misma facilidad que aceptarlas. Un banner sin esa opción, con casillas premarcadas o que instala rastreadores antes de la elección infringe el art. 22.2 LSSI y puede investigarse de oficio.

¿Qué pasa si roban las contraseñas de mis clientes?

Se activa el régimen de brechas de los arts. 32-34 RGPD. Debe evaluarse el riesgo, notificar a la AEPD en 72 horas si procede y comunicar a los afectados cuando el riesgo sea alto. La ausencia de cifrado y una gestión tardía de la brecha agravan la sanción.

¿Soy responsable de las reseñas que publican los clientes?

De los datos personales asociados a tu sistema de reseñas, sí. Debes informar del tratamiento, disponer de base jurídica y atender los derechos de quienes aparezcan identificados, incluidos empleados mencionados en valoraciones.


Contexto histórico y comparación anual en el tracker de sanciones AEPD 2026.

Referencias oficiales: AEPD, Reglamento General de Protección de Datos (EUR-Lex), LOPDGDD (BOE).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →