En una frase. Una web española necesita tres documentos distintos y no un texto único: la política de privacidad (RGPD, art. 13), el aviso legal (LSSI-CE) y la política de cookies; abajo tienes un modelo de política de privacidad web listo para adaptar, con lo que exige cada norma.
Puntos clave
- La web combina dos marcos: el RGPD (datos personales) y la LSSI-CE (identificación del prestador y comunicaciones comerciales).
- Tres documentos separados: política de privacidad, aviso legal y política de cookies. Fundirlos es una observación recurrente de la AEPD.
- El aviso legal (art. 10 LSSI-CE) exige identificar al titular del sitio: denominación, NIF, domicilio y contacto.
- El consentimiento de cookies debe recabarse antes de instalar las no necesarias, con opción de rechazar igual de accesible.
- La política debe estar enlazada desde cada formulario que recabe datos.
1. Por qué una web española necesita tres documentos
En España, la información legal de un sitio web se reparte entre dos normas. El RGPD regula el tratamiento de datos personales y obliga a informar según el art. 13. La Ley de Servicios de la Sociedad de la Información (LSSI-CE) obliga al prestador a identificarse (aviso legal) y regula las comunicaciones comerciales electrónicas y las cookies. De ahí que un sitio conforme tenga tres documentos diferenciados:
| Documento | Norma | Función |
|---|---|---|
| Política de privacidad | RGPD art. 13 | Informar del tratamiento de datos personales |
| Aviso legal | LSSI-CE art. 10 | Identificar al titular del sitio |
| Política de cookies | LSSI-CE art. 22.2 + RGPD | Informar y recabar consentimiento de cookies |
Fundir los tres en un único texto es uno de los errores que la AEPD señala con más frecuencia. Este modelo se centra en la política de privacidad web y remite a la plantilla de política de privacidad RGPD para el detalle de los doce bloques del art. 13.
2. Qué exige el art. 13 en una web
Cuando los datos se recogen del propio usuario (formulario de contacto, alta, compra, newsletter), aplica el art. 13 RGPD. La política debe informar de: identidad y contacto del responsable y del DPO si lo hay, finalidades, base jurídica de cada finalidad, destinatarios y encargados, transferencias internacionales, plazos de conservación, derechos del interesado, retirada del consentimiento, reclamación ante la AEPD, carácter obligatorio de los datos y existencia de decisiones automatizadas. El desarrollo de cada bloque está en la plantilla de política de privacidad.
3. Plantilla de política de privacidad web
Adapta los campos entre corchetes. Este modelo es un punto de partida; revísalo con criterio jurídico y ajústalo a los tratamientos reales de tu sitio.
POLÍTICA DE PRIVACIDAD
1. Responsable del tratamiento. [Denominación], NIF [·], domicilio en [·], correo [·]. [Datos de contacto del DPO, si procede.]
2. Finalidades y bases jurídicas.
- Atender consultas del formulario de contacto — base: consentimiento o medidas precontractuales.
- Gestionar el registro y la cuenta de usuario — base: ejecución del contrato.
- Tramitar pedidos y facturación — base: ejecución del contrato y obligación legal.
- Enviar comunicaciones comerciales — base: consentimiento.
- Analítica y mejora del sitio — base: consentimiento (cookies) o interés legítimo, según el caso.
3. Plazos de conservación. Los datos se conservan durante la relación y, después, el plazo de prescripción de las acciones (hasta [·] años) o hasta la retirada del consentimiento en el caso del marketing.
4. Destinatarios. [Categorías de destinatarios y encargados: proveedor de hosting, pasarela de pago, plataforma de email, etc.]
5. Transferencias internacionales. [Indicar país y garantía del art. 46, si las hay.]
6. Derechos. Puedes ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad, y retirar el consentimiento, dirigiéndote a [·]. Tienes derecho a reclamar ante la Agencia Española de Protección de Datos (aepd.es).
7. Decisiones automatizadas. [Indicar si existen y su lógica, o declarar que no las hay.]
8. Actualización. Última actualización: [fecha]. Esta política puede modificarse; se informará de los cambios sustanciales.
4. El aviso legal (LSSI-CE)
Distinto de la política de privacidad. El art. 10 LSSI-CE obliga al prestador de servicios de la sociedad de la información a mostrar, de forma permanente y accesible: denominación o nombre, NIF, domicilio, correo electrónico y otros datos de contacto, y, en su caso, datos de inscripción registral y de autorizaciones o colegiación profesional. Es un documento de identificación del titular, no de tratamiento de datos.
5. La política de cookies y el consentimiento
La instalación de cookies no técnicas (analítica, publicidad, redes) exige consentimiento previo, informado y tan fácil de rechazar como de aceptar. El banner debe permitir aceptar, rechazar y configurar en el mismo nivel, sin casillas premarcadas ni «muros de cookies» abusivos. La AEPD ha detallado el estándar en su guía de cookies; nuestro análisis del banner de cookies conforme a la AEPD resume los requisitos. La política de cookies detalla tipos, finalidades, duración y terceros.
6. Comunicaciones comerciales electrónicas
Enviar email o SMS comerciales exige, con carácter general, consentimiento previo (art. 21 LSSI-CE), con la excepción de productos o servicios propios similares a una contratación previa del propio cliente. Toda comunicación debe identificarse como publicidad, indicar al remitente y ofrecer una baja sencilla y gratuita. El marco de comunicaciones y su enforcement están en sanciones AEPD en marketing y publicidad.
7. Formularios: enlace e información en capas
Cada formulario que recabe datos (contacto, registro, newsletter, compra) debe enlazar la política de privacidad y, preferentemente, mostrar una información básica en capas: una primera capa breve junto al formulario y un enlace a la política completa. Omitir el enlace desde el formulario es un fallo frecuente y sancionable. Para el consentimiento del marketing, casillas separadas y no premarcadas: ver consentimiento RGPD: ejemplos.
8. Errores frecuentes que sanciona la AEPD
- Fundir política de privacidad, aviso legal y cookies en un solo texto.
- Copiar una plantilla sin adaptar al responsable y a los tratamientos reales.
- Omitir el plazo de conservación o sustituirlo por «el tiempo necesario».
- Enumerar las bases del art. 6 en bloque en vez de asociar una a cada finalidad.
- Banner de cookies que instala antes de consentir o que dificulta el rechazo.
- No enlazar la política desde los formularios de captación.
La AEPD ha sancionado incluso por presentar la política solo en inglés a usuarios españoles; la documentación debe estar en español. Estos patrones se repiten en las resoluciones recogidas en el tracker de sanciones AEPD 2025.
9. Integración con el resto del cumplimiento
La política de privacidad es la cara visible de un sistema que incluye registro de actividades, contratos del art. 28 con hosting, pasarela y email, y procedimiento de brechas. Para tiendas online, que suman cookies, pagos y perfiles, el conjunto se detalla en la guía RGPD para ecommerce en España. Mantener los tres documentos y el registro sincronizados es el trabajo que una plataforma como Legiscope automatiza; para comparar herramientas, ver software de cumplimiento RGPD.
10. Menores de edad y consentimiento en la web
La captación de datos de menores en una web dirigida a España tiene una regla propia: el art. 7 de la LOPDGDD fija en 14 años la edad a partir de la cual el menor puede consentir por sí mismo el tratamiento de sus datos; por debajo, se requiere el consentimiento de los titulares de la patria potestad o tutela. Es una especificidad española relevante, porque el RGPD deja a cada Estado fijar ese umbral entre los 13 y los 16 años. Una web que se dirige a menores (juegos, educación, contenidos infantiles) debe verificar de forma razonable la edad, redactar la información en un lenguaje claro y adaptado, y articular el consentimiento parental cuando proceda. Omitir este control en servicios dirigidos a menores es un foco de riesgo creciente en la actividad supervisora de la AEPD, especialmente en aplicaciones y plataformas con perfilado publicitario.
Preguntas frecuentes
¿Puedo tener un único documento con la política de privacidad, el aviso legal y las cookies?
No es recomendable y la AEPD lo señala como error. Cada uno responde a una norma y una función distinta: política de privacidad (RGPD), aviso legal (identificación LSSI-CE) y política de cookies (consentimiento). Deben ser documentos diferenciados y accesibles.
¿Qué datos debe incluir el aviso legal de mi web?
Los del art. 10 LSSI-CE: denominación o nombre, NIF, domicilio, correo electrónico y contacto, y los datos registrales o de colegiación profesional cuando procedan. Es la identificación del titular del sitio.
¿Necesito consentimiento para las cookies de analítica?
Sí, si no son estrictamente necesarias. Deben instalarse solo tras el consentimiento, con un banner que permita rechazar con la misma facilidad con la que se acepta, sin casillas premarcadas.
¿Cada cuánto debo actualizar la política de privacidad?
No hay plazo legal, pero el estándar es revisión anual y revisión inmediata ante cualquier cambio de finalidad, de encargado relevante o de transferencia internacional. La fecha de última actualización debe ser visible.
¿Cuánto cuesta tener la política de privacidad, el aviso legal y las cookies en regla?
Desde cero, un despacho suele redactar los tres documentos por unos cientos de euros para una web sencilla, más el banner de cookies (soluciones de gestión del consentimiento desde unos 60 euros al mes). Lo caro no es redactarlos, sino mantenerlos alineados con los tratamientos reales: por eso conviene apoyarse en una plataforma que sincronice política, registro y contratos en lugar de encargar textos que quedan obsoletos en meses.
Conclusión
Una web española conforme no se resuelve con un texto genérico descargado: necesita tres documentos separados —política de privacidad (RGPD), aviso legal (LSSI-CE) y política de cookies— adaptados al responsable real y a sus tratamientos, con un banner de cookies que respete el consentimiento y enlaces desde cada formulario. La plantilla anterior cubre la política de privacidad; el resto exige coordinar RGPD y LSSI-CE. Un sitio que separa bien los documentos, informa por finalidad y gestiona correctamente las cookies elimina de golpe los errores que la AEPD sanciona con más frecuencia.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial