Cumplimiento

RGPD para ecommerce en España: guía 2026

RGPD ecommerce España: LSSI, cookies, marketing, dropshipping, pagos y obligaciones. Checklist práctico y sanciones AEPD recientes.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20266 min read

En una frase. Un ecommerce español opera bajo cinco marcos simultáneos (RGPD, LOPDGDD, LSSI, normativa de consumo y normativa fiscal) y la AEPD sanciona principalmente fallos en consentimiento de marketing, banner de cookies, política de privacidad y contratos con encargados.

Puntos clave

  • Marco aplicable: RGPD + LOPDGDD + LSSI-CE + RDL 1/2007 + Reglamento ePrivacy futuro.
  • Bases jurídicas habituales: ejecución contractual (compra), obligación legal (facturación), consentimiento (marketing), interés legítimo (fraude).
  • Plazos de conservación clave: 6 años fiscales, 15 años civiles, 5 años mercantiles.
  • Comunicaciones comerciales: requieren consentimiento previo salvo excepción art. 21.2 LSSI.
  • Sanciones más comunes: cookies (5-100 K EUR), marketing sin consentimiento (5-50 K EUR), información insuficiente (3-30 K EUR).

1. Marcos normativos aplicables

Un ecommerce español está sujeto simultáneamente a:

  • RGPD: principios, bases jurídicas, derechos, seguridad.
  • LOPDGDD: especificidades nacionales y régimen sancionador.
  • LSSI-CE (Ley 34/2002): comunicaciones comerciales, cookies, información obligatoria.
  • RDL 1/2007 (consumidores y usuarios): contratación a distancia, desistimiento.
  • Normativa fiscal (LGT, IVA): conservación de facturas y registros.

Ninguno se sustituye: se acumulan.

2. Información del editor obligatoria (LSSI art. 10)

Visible y accesible en el sitio:

  • Denominación social, NIF, domicilio.
  • Inscripción registral.
  • Datos de colegiación si actividad regulada.
  • Correo electrónico y otros datos de contacto.
  • Códigos de conducta a los que esté adherido.

La omisión es infracción LSSI sancionable hasta 30.000 EUR.

3. Bases jurídicas habituales

Tratamiento Base jurídica RGPD
Procesar pedido Art. 6.1.b ejecución contractual
Emitir factura Art. 6.1.c obligación legal
Atender postventa Art. 6.1.b ejecución contractual
Newsletter clientes Art. 6.1.f interés legítimo (productos similares, art. 21.2 LSSI)
Newsletter no clientes Art. 6.1.a consentimiento
Prevención de fraude Art. 6.1.f interés legítimo
Personalización avanzada Art. 6.1.a consentimiento
Remarketing Art. 6.1.a consentimiento

4. Política de privacidad para ecommerce

Una plantilla de política de privacidad RGPD adaptada a ecommerce debe cubrir:

  • Datos del responsable y DPO si existe.
  • Finalidades específicas: registro, pedido, facturación, marketing, atención al cliente, prevención de fraude, perfilado.
  • Bases jurídicas por finalidad.
  • Destinatarios: pasarela de pago, transportista, plataforma email marketing, hosting, analytics.
  • Transferencias internacionales (Stripe, Mailchimp, Google).
  • Plazos por categoría (cliente activo, cliente inactivo, prospect, candidato).
  • Derechos y canal.
  • Decisiones automatizadas en scoring antifraude.

5. Banner de cookies en ecommerce

El banner de cookies AEPD exige botón rechazar al mismo nivel que aceptar, configuración granular y no carga previa al consentimiento. Ecommerce típicamente usa:

  • Cookies técnicas (carrito, sesión, idioma): sin consentimiento.
  • Analítica propia agregada: sin consentimiento.
  • Google Analytics, Meta Pixel, TikTok Pixel: consentimiento.
  • Hotjar, Clarity, Mouseflow: consentimiento.
  • Remarketing y conversión publicitaria: consentimiento.

6. Email marketing y artículo 21 LSSI

El artículo 21 LSSI prohíbe el envío de comunicaciones comerciales por correo electrónico u otro medio equivalente sin consentimiento previo, con una excepción: clientes existentes pueden recibir comunicaciones sobre productos o servicios similares a los previamente contratados, con opción de oposición fácil en cada envío.

Errores frecuentes sancionados:

  • Casillas pre-marcadas en el checkout: 5.000-25.000 EUR.
  • Newsletter post-compra de productos no similares: 10.000-50.000 EUR.
  • Falta de mecanismo de baja en cada email: 3.000-15.000 EUR.
  • WhatsApp comercial sin consentimiento: 5.000-30.000 EUR.

7. Pasarelas de pago y PCI DSS

Los datos de tarjeta están sujetos a PCI DSS (estándar contractual de las marcas) además del RGPD. Recomendaciones:

  • No almacenar PAN completo nunca.
  • Usar pasarela hospedada (Stripe, Redsys, Adyen) para reducir alcance PCI.
  • Firmar contrato de encargado del tratamiento con la pasarela.
  • Documentar la base jurídica del 3DSecure (obligación legal y prevención de fraude).

8. Conservación de datos

Categoría Plazo
Datos fiscales (facturas) 6 años (LGT)
Datos contractuales 5 años (Cm) hasta 15 años (Cc)
Datos de candidatos no contratados 2 años máximo
Datos de marketing Hasta retirada de consentimiento
Logs de seguridad 12 meses (referencia AEPD)
Carrito abandonado 30-90 días
Cookies de seguimiento 13 meses máximo (AEPD)

Documentar plazos en la política y respetar el principio de limitación de conservación RGPD.

9. Dropshipping y proveedores fuera de UE

Si el proveedor recibe datos del comprador (nombre, dirección) para envío, es encargado del tratamiento. Para proveedores fuera del EEE:

  • Verificar si país cuenta con decisión de adecuación.
  • En caso contrario, suscribir Cláusulas Contractuales Tipo (CCT) actualizadas.
  • Realizar Transfer Impact Assessment.
  • Informar al comprador en la política de privacidad.

Dropshipping desde China sin garantías es uno de los puntos rojos de la AEPD en sus inspecciones a marketplaces.

10. Derechos de los interesados en ecommerce

Procedimiento operativo:

  • Canal único: correo electrónico designado.
  • Plazo: 1 mes ampliable a 3.
  • Verificación de identidad proporcionada (no exigir DNI por defecto).
  • Respuesta gratuita salvo solicitudes manifiestamente infundadas.
  • Coordinación con encargados para extender la solicitud (transportista, email marketing).

El derecho de supresión tras una compra debe respetar el plazo fiscal/mercantil de conservación: se elimina lo no necesario pero se conserva lo legalmente exigido.

11. Brechas de seguridad en ecommerce

Las brechas más frecuentes en ecommerce: inyección SQL en formularios, Magecart en checkout, exposición de bases de datos por configuración insegura, phishing a empleados con acceso al backoffice, robo de cookies de sesión.

Obligación de notificar a la AEPD en 72 horas si supone riesgo para los interesados (art. 33 RGPD). Cuando el riesgo es alto, comunicación a los afectados sin dilación indebida (art. 34). Consulte el procedimiento de brecha de seguridad RGPD.

12. Checklist ecommerce conforme

  • Información LSSI completa.
  • Política de privacidad detallada y accesible.
  • Banner de cookies con rechazo en primera capa.
  • Aviso legal y condiciones de venta.
  • Política de devoluciones (RDL 1/2007).
  • Casillas de consentimiento no pre-marcadas.
  • Mecanismo de baja en cada email.
  • Contratos firmados con pasarela de pago, hosting, email, transportista.
  • Registro de actividades del responsable.
  • Procedimiento de derechos.
  • Protocolo de brecha de seguridad.
  • DPO designado si aplica (perfilado a gran escala).

Para una visión más amplia consulte el checklist RGPD genérico.

FAQ

¿Puedo enviar newsletter a quien me compró sin pedirle consentimiento previo?

Sí, sobre productos o servicios similares a los comprados y con opción de baja en cada envío (art. 21.2 LSSI). Para productos no similares se requiere consentimiento.

¿Necesita un ecommerce un DPO obligatoriamente?

No de forma automática. Solo cuando hay observación habitual y sistemática a gran escala (perfilado profundo, recomendación avanzada) o cuando se traten categorías especiales.

¿Cuánto tiempo debo conservar los datos del cliente?

Datos fiscales 6 años. Datos contractuales hasta 15 años según el plazo de prescripción aplicable. Datos de marketing hasta retirada de consentimiento.

¿El proveedor de hosting es encargado del tratamiento?

Sí. Cualquier proveedor que almacene o procese datos personales por cuenta del ecommerce es encargado y debe firmar el contrato del artículo 28 RGPD.

¿Una tienda online en Shopify cumple automáticamente el RGPD?

No. Shopify ofrece herramientas pero la configuración, política de privacidad, banner de cookies y consentimientos son responsabilidad del comerciante. Las sanciones AEPD a tiendas Shopify son frecuentes.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →