Cumplimiento y Legal

RGPD para tiendas online: lo que debes hacer (y lo que puedes omitir)

David Miller Publicado: 15/06/2026 Creado: 28/02/2026 Actualizado: 28/05/2026 Cumplimiento y Legal

El RGPD está en vigor desde mayo de 2018, pero muchos propietarios de tiendas todavía lo tratan como un aterrador campo minado legal o como algo que pueden ignorar porque son „demasiado pequeños para importar". Ambas actitudes son erróneas. El RGPD es serio, pero para una tienda PrestaShop típica, los requisitos prácticos son manejables. Separemos lo que debes hacer de lo que puedes razonablemente postergar.

Lo que el RGPD realmente exige

En esencia, el RGPD dice: informa a las personas sobre qué datos recopilas sobre ellas, por qué los recopilas, mantenlos seguros y dales control sobre su información. Ese es el principio. Los requisitos específicos para tiendas online:

1. Política de privacidad (Obligatoria)

Necesitas una política de privacidad que explique en un lenguaje claro y sencillo:

Qué datos personales recopilas (nombres, correos electrónicos, direcciones, información de pago, datos de navegación)
Por qué recopilas cada tipo de dato (procesamiento de pedidos, marketing, análisis)
Cuánto tiempo los conservas
Con quién los compartes (procesadores de pago, empresas de transporte, proveedores de análisis)
Cómo los clientes pueden acceder a sus datos, modificarlos o eliminarlos
Tus datos de contacto para consultas sobre protección de datos

No necesita estar escrita por un abogado, aunque es útil que uno la revise. Debe ser comprensible para una persona normal — no escondida detrás de jerga legal.

2. Consentimiento de cookies (Obligatorio)

Si tu tienda usa cookies más allá de las estrictamente necesarias para que funcione, necesitas consentimiento antes de establecer esas cookies. Esto significa:

Cookies estrictamente necesarias (sesión, carrito, inicio de sesión) — no se necesita consentimiento
Cookies de análisis (Google Analytics, Matomo) — se requiere consentimiento
Cookies de marketing (Facebook Pixel, Google Ads, retargeting) — se requiere consentimiento
Cookies de preferencia (idioma, moneda) — discutible, pero generalmente tratadas como necesarias

Tu banner de cookies debe ofrecer una elección real — un botón „Aceptar" destacado y una opción „Rechazar" o „Gestionar preferencias" igualmente destacada. Los patrones oscuros (ocultar la opción de rechazo, usar un lenguaje confuso, marcar casillas previamente) son explícitamente no conformes.

3. Consentimiento para marketing (Obligatorio)

No puedes añadir clientes automáticamente a tu lista de correos de marketing. La suscripción al boletín debe ser una acción deliberada y afirmativa — una casilla sin marcar que el cliente marca activamente, o un formulario de suscripción separado. Las casillas de „suscribirse al boletín" premarcadas durante el proceso de pago no son conformes.

Puedes enviar correos electrónicos a los clientes sobre sus pedidos (correos transaccionales) sin consentimiento adicional. También puedes enviar correos a clientes existentes sobre productos similares bajo el „interés legítimo" en la mayoría de los países de la UE — pero debes ofrecer una opción de cancelación de suscripción fácil.

4. Derechos de acceso y eliminación de datos (Obligatorios)

Los clientes tienen derecho a:

Acceso: Solicitar una copia de todos los datos que tienes sobre ellos
Rectificación: Pedirte que corrijas datos inexactos
Supresión: Pedirte que elimines sus datos (el „derecho al olvido")
Portabilidad: Solicitar sus datos en un formato legible por máquina

PrestaShop 1.7+ incluye un módulo RGPD que gestiona las solicitudes básicas de exportación y eliminación de datos desde el área de cuenta del cliente. Asegúrate de que esté instalado y configurado.

5. Seguridad de datos (Obligatoria)

Debes implementar „medidas técnicas y organizativas apropiadas" para proteger los datos personales. Para una tienda online, esto significa:

Cifrado SSL/TLS en todo tu sitio (HTTPS en todas partes)
Contraseñas fuertes y acceso de administrador limitado
Actualizaciones regulares de software (núcleo de PrestaShop, módulos, software del servidor)
Procesamiento seguro de pagos (cumplimiento PCI DSS — generalmente gestionado por tu pasarela de pago)
Copias de seguridad de la base de datos almacenadas de forma segura

No necesitas una infraestructura de seguridad de nivel empresarial. Necesitas medidas razonables apropiadas para los datos que manejas. Para la mayoría de las tiendas, las prácticas básicas de seguridad de la tienda cumplen este requisito.

Lo que probablemente puedes omitir

Delegado de Protección de Datos (DPO)

Un DPO solo es necesario si procesas datos personales a gran escala como actividad principal o procesas categorías especiales de datos (salud, creencias religiosas, etc.). Una tienda online típica que vende productos de consumo no necesita un DPO. Deberías tener a alguien responsable de la protección de datos, pero no necesita ser un rol formal de DPO.

Evaluación de Impacto relativa a la Protección de Datos (EIPD)

Las EIPD son necesarias para procesamientos que probablemente resulten en alto riesgo para las personas — perfilado a gran escala, vigilancia sistemática de áreas públicas o procesamiento de datos sensibles. Una tienda de comercio electrónico estándar que procesa pedidos y envía correos de marketing generalmente no necesita una EIPD.

Existe un malentendido de que necesitas consentimiento individual para cada cookie. En la práctica, agrupar cookies por propósito (necesarias, análisis, marketing) y obtener consentimiento por categoría es aceptado por la mayoría de las autoridades de protección de datos. No necesitas una casilla para cada cookie individual.

Eliminar todos los datos inmediatamente al solicitarlo

El derecho de supresión tiene excepciones. Puedes conservar datos necesarios para:

Completar un pedido abierto
Obligaciones legales (registros fiscales — típicamente 7-10 años dependiendo del país)
Establecer o defender reclamaciones legales

Cuando un cliente solicita la eliminación, eliminas sus datos de marketing e información personal de la cuenta, pero puedes conservar datos de pedidos anonimizados para fines contables y fiscales.

Malentendidos comunes

„El RGPD solo se aplica a empresas de la UE"

Incorrecto. El RGPD se aplica a cualquier empresa que procese datos de residentes de la UE, independientemente de dónde esté ubicada la empresa. Si vendes a clientes de la UE desde una tienda con sede en EE.UU., el RGPD se aplica a esas transacciones.

„Las tiendas pequeñas están exentas"

No hay exención por tamaño. Algunas obligaciones (como el registro de actividades de tratamiento) pueden simplificarse para organizaciones pequeñas, pero los principios fundamentales — consentimiento, transparencia, seguridad, derechos de los interesados — se aplican a todos.

„Necesitamos consentimiento de cookies antes de cargar cualquier página"

Las cookies estrictamente necesarias (gestión de sesión, funcionalidad del carrito, tokens de seguridad) no requieren consentimiento. Tu tienda puede cargarse y funcionar antes de que el usuario haga una elección sobre cookies. Lo que no puedes hacer es cargar scripts de análisis o marketing antes de obtener el consentimiento.

„Las direcciones IP no son datos personales"

El TJUE (Tribunal de Justicia de la Unión Europea) dictaminó que las direcciones IP son datos personales. Esto significa que registrar direcciones IP, incluso para análisis, es procesamiento de datos personales bajo el RGPD.

Lista de verificación práctica de cumplimiento

Escribe o actualiza tu política de privacidad. Hazla accesible desde todas las páginas (enlace en el pie de página).
Implementa un banner de consentimiento de cookies adecuado con opciones reales de aceptar/rechazar.
Asegúrate de que la suscripción al boletín sea opt-in (no premarcada).
Instala y configura el módulo RGPD de PrestaShop para la exportación y eliminación de datos.
Verifica que tu tienda use HTTPS en todas partes.
Revisa qué terceros reciben datos de clientes (análisis, pago, envío) y enuméralos en tu política de privacidad.
Establece períodos de retención de datos — no conserves datos indefinidamente sin una razón.
Crea un proceso sencillo para gestionar solicitudes de acceso y eliminación de datos.
Revisa tus términos y condiciones para asegurarte de que hagan referencia a tu política de privacidad.

Esta lista de verificación cubre el 90% de lo que una tienda de comercio electrónico típica de pequeño a mediano tamaño necesita para el cumplimiento del RGPD. Si procesas datos inusuales, vendes productos con restricción de edad u operas en sectores altamente regulados (salud, finanzas), es posible que necesites medidas adicionales — y ahí es donde la asesoría legal vale la inversión.

El RGPD no va a desaparecer, y la aplicación está aumentando. Pero el cumplimiento para la mayoría de las tiendas online no es la carga abrumadora que a menudo se presenta. Maneja los datos personales de manera responsable, sé transparente con tus clientes y dales control sobre su información. Eso es tanto una buena práctica comercial como cumplimiento del RGPD.

Etiquetas: PrestaShop RGPD SEO

David Miller

Más de una década de experiencia práctica con PrestaShop. David desarrolla módulos de comercio electrónico de alto rendimiento centrados en SEO, optimización del checkout y gestión de tiendas. Apasionado por el código limpio y los resultados medibles.

Cookie	Proveedor	Finalidad	Duración
PrestaShop-*	PrestaShop	Gestión de sesión y funcionalidad del carrito	Sesión
PHPSESSID	PHP	Identificador de sesión PHP	Sesión
mprcr_consent	MPR Cookies Revolution	Almacena las preferencias de consentimiento de cookies	365 día(s)
mprcr_version	MPR Cookies Revolution	Rastrea la version de la configuración del consentimiento	365 día(s)

Cookie	Proveedor	Finalidad	Duración
TawkConnectionTime	Tawk.to	Rastrea el tiempo de conexión de la sesión de chat	Sesión
__tawkuuid	Tawk.to	Identifica a los visitantes recurrentes del chat	6 mes(es)

Cookie	Proveedor	Finalidad	Duración
_ga	Google Analytics	Distingue usuarios únicos asignando un número generado aleatoriamente	2 año(s)
_ga_*	Google Analytics	Utilizado para mantener el estado de la sesión entre solicitudes de página	2 año(s)
_gid	Google Analytics	Distingue usuarios únicos durante 24 horas	24 hora(s)