Cumplimiento del GDPR en PrestaShop — Lo que realmente necesitan los propietarios

Aviso legal: Esta guía proporciona información general sobre el cumplimiento del RGPD para propietarios de tiendas PrestaShop. No constituye asesoramiento jurídico. La legislación sobre protección de datos varía según la jurisdicción y está sujeta a interpretación por parte de los reguladores y tribunales. Consulte a un profesional jurídico cualificado para obtener asesoramiento específico sobre su situación, su país y su modelo de negocio.

Lo que el RGPD realmente exige (en lenguaje sencillo)

El Reglamento General de Protección de Datos suena aterrador. El documento tiene 88 páginas, está lleno de jerga legal, y las multas alcanzan los 20 millones de euros. No es de extrañar que los propietarios de tiendas entren en pánico.

Pero la realidad es la siguiente — la mayor parte de lo que exige el RGPD consiste simplemente en tratar los datos de los clientes con un respeto básico. Si usted ya es un propietario de tienda responsable que no abusa de la información de sus clientes, probablemente cumple en un 70% sin proponérselo. Esta guía cubre el 30% restante — los pasos prácticos que necesita seguir para que su tienda PrestaShop cumpla con la normativa.

La idea central

El RGPD se resume en un principio: las personas son dueñas de sus datos personales, no usted. Usted los toma prestados para gestiónar su negocio, y necesita manejarlos de forma responsable. Esto significa:

Informe a las personas sobre lo que recopila y por qué — sin rastreo oculto, sin recolección secreta de datos
Recopile solo lo que realmente necesita — si no necesita la fecha de nacimiento de alguien para venderle zapatos, no la solicite
Obtenga un consentimiento adecuado — “Usamos cookies, haga clic en Aceptar” ya no es suficiente
Permita que las personas vean, corrijan y eliminen sus datos — si alguien quiere retirarse, permítalo
Mantenga los datos seguros — si los recopila, protéjalos
No conserve los datos más tiempo del necesario — almacenar datos de carritos abandonados de 2018 no es necesario

¿Se aplica el RGPD a usted?

Sí. Casi con toda seguridad, sí.

El RGPD se aplica si:

Su empresa está establecida en la UE o el EEE
Vende productos o servicios a personas en la UE (incluso si su empresa está en EE.UU., Brasil, India o cualquier otro lugar)
Monitoriza el comportamiento de personas en la UE (analíticas, rastreo, elaboración de perfiles)

Si acepta euros, ofrece envíos a países de la UE o su sitio web está disponible en un idioma de la UE — el RGPD se aplica a usted. El reglamento trata de proteger los datos de los residentes de la UE, independientemente de dónde se encuentre la empresa que procesa esos datos.

No pierda el tiempo intentando averiguar si el RGPD se aplica a usted. Si gestióna una tienda en línea accesible desde Europa, simplemente cúmplalo. El coste del cumplimiento es muy inferior al coste del incumplimiento — y la mayoría de los requisitos son buenas prácticas empresariales de todos modos.

¿Qué se considera dato personal?

Un dato personal es cualquier información que pueda identificar a una persona, directa o indirectamente. En el contexto de una tienda PrestaShop, esto incluye:

Lo obvio: nombre, dirección de correo electrónico, número de teléfono, dirección postal, fecha de nacimiento
Datos de pedidos: qué compraron, cuándo, cuánto pagaron, método de pago utilizado
Datos de cuenta: contraseñas (incluso las cifradas con hash), fecha de creación de la cuenta, historial de inicio de sesión
Datos técnicos: direcciónes IP, huellas digitales del navegador, información del dispositivo
Datos de comportamiento: páginas visitadas, productos consultados, contenido del carrito, consultas de búsqueda
Datos de cookies: identificadores de sesión, cookies de rastreo, cookies de preferencias

La palabra clave es “identifica”. Una dirección IP por sí sola podría no identificar a alguien, pero combinada con una marca de tiempo y los registros del servidor, puede hacerlo. Esa combinación la convierte en dato personal según el RGPD.

Las seis bases legales para el tratamiento de datos

No puede recopilar datos simplemente porque le apetece. Necesita una justificación legal — una de estas seis:

Consentimiento: La persona aceptó explícitamente (suscripción al boletín, correos de marketing)
Contrato: Necesita los datos para cumplir un pedido (dirección de envío para entregar productos)
Obligación legal: La ley le obliga a conservarlos (facturas para fines fiscales)
Intereses vitales: Raramente se aplica al comercio electrónico
Interés público: No se aplica al comercio electrónico
Interés legítimo: Tiene una razón empresarial genuina que no prevalece sobre los derechos de la persona (prevención del fraude, analíticas básicas)

Para la mayoría de las tiendas PrestaShop, utilizará tres de estas bases: contrato (procesamiento de pedidos), consentimiento (marketing y cookies) y obligación legal (conservación de facturas).

Lo que su tienda PrestaShop recopila (y dónde se almacena)

Antes de poder ser transparente sobre la recolección de datos, necesita saber exactamente qué recopila su tienda. Las tiendas PrestaShop acumulan más datos de lo que la mayoría de los propietarios imaginan.

Cuentas de clientes

La tabla ps_customer almacena todo sobre los clientes registrados:

Nombre, apellidos, dirección de correo electrónico
Contraseña (cifrada con bcrypt o el método heredado md5+cookie_key)
Fecha de nacimiento (si la solicita — considere si realmente la necesita)
Género / tratamiento social
Indicadores de boletín y aceptación
Fecha de creación de la cuenta, fecha del último inicio de sesión
Dirección IP en el momento del registro
Nombre de empresa asociado y números SIRET/APE (campos B2B)

Pedidos y direcciónes

Cada pedido genera registros en múltiples tablas:

ps_orders — detalles del pedido, totales, método de pago, estado actual
ps_order_detail — productos individuales de cada pedido
ps_order_payment — referencias de transacciones de pago
ps_order_history — cambios de estado con marcas de tiempo
ps_address — direcciónes de entrega y facturación (vinculadas al cliente)
ps_order_carrier — método de envío y números de seguimiento
ps_message — mensajes de atención al cliente asociados a pedidos

Tenga en cuenta que ps_address puede contener direcciónes postales completas, números de teléfono e incluso un número de identificación nacional (campo DNI) dependiendo del país.

Datos de visitantes y conexiónes

Incluso los visitantes que nunca crean una cuenta dejan rastro:

ps_guest — identificación del navegador/sistema operativo de cada visitante
ps_connections — cada visita registrada con dirección IP y marca de tiempo
ps_connections_source — HTTP referer (de dónde provienen)
ps_connections_page — cada página que visitaron durante la sesión
ps_page y ps_page_viewed — estadísticas de páginas vistas

Estas tablas crecen rápidamente. Una tienda moderadamente activa puede acumular millones de filas en ps_connections en un año. Estos son datos personales (direcciónes IP + comportamiento de navegación), y la mayoría de las tiendas los conservan indefinidamente sin darse cuenta.

Datos del carrito

PrestaShop crea un registro de carrito (ps_cart) en el momento en que un visitante añade algo a su carrito — incluso si nunca completa la compra. Esto incluye:

Productos seleccionados (con combinaciones/atributos)
ID de cliente o ID de visitante asociado
Referencias de direcciónes de entrega y facturación
Selección de transportista
Marcas de tiempo de creación y última actualización del carrito

Los carritos abandonados son datos personales si están vinculados a una cuenta de cliente o contienen información suficiente para identificar a alguien. La mayoría de las tiendas nunca los limpian.

Suscripciones al boletín

El módulo de boletín predeterminado almacena las direcciónes de correo electrónico en ps_emailsubscription (o ps_newsletter en versiones anteriores). Esto incluye el correo electrónico, la fecha de suscripción y, a veces, la dirección IP. Si utiliza un servicio de email marketing de terceros, los datos también se almacenan allí.

Cookies

PrestaShop establece varias cookies por defecto:

Cookie de sesión de PrestaShop — identifica la sesión del usuario (esencial para el funcionamiento de la tienda)
Cookie del carrito — recuerda el contenido del carrito
Cookie de empleado/administrador — autenticación del back-office

Estas son cookies funcionales. La preocupación del RGPD se centra principalmente en las cookies no esenciales añadidas por módulos de terceros — Google Analytics, Facebook Pixel, etiquetas de remarketing, widgets de chat y herramientas de rastreo similares.

Registros del servidor

Su servidor web (Apache o Nginx) registra cada solicitud por defecto. Estos registros contienen direcciónes IP, marcas de tiempo, URLs solicitadas, agentes de usuario y referers HTTP. Se almacenan como archivos de texto plano en el servidor y son datos personales según el RGPD.

La mayoría de los proveedores de hosting conservan estos registros durante 30–90 días. Conozca qué hace su configuración de hosting — y configure la rotación de registros si gestióna su propio servidor.

Datos específicos de módulos

Los módulos de terceros a menudo crean sus propias tablas en la base de datos. Ejemplos comunes:

Módulos de reseñas/valoraciones: nombre del cliente, correo electrónico, contenido de la reseña, dirección IP
Módulos de lista de deseos: productos guardados, vínculos con clientes
Módulos de chat en vivo: transcripciones completas de chat, nombres de clientes, correos electrónicos
Módulos de analíticas: comportamiento de navegación detallado, seguimiento de conversiones
Módulos de fidelización/recompensas: saldos de puntos, historial de transacciones
Módulos de recuperación de carritos abandonados: direcciónes de correo electrónico, contenido del carrito, historial de recordatorios

Audite cada módulo que tenga instalado. Verifique qué tablas de base de datos crean (busque tablas con el prefijo del módulo en phpMyAdmin). No puede ser transparente sobre la recolección de datos si no sabe lo que sus módulos recopilan.

Consentimiento de cookies: cómo hacerlo correctamente

El consentimiento de cookies es donde la mayoría de las tiendas PrestaShop fallan en el cumplimiento del RGPD. El estándar es más exigente de lo que la mayoría de la gente cree.

Lo que la ley realmente exige

La Directiva ePrivacy (que funciona junto al RGPD) requiere que:

Las cookies esenciales (sesión, carrito, seguridad) pueden establecerse sin consentimiento — son necesarias para que el sitio funcione
Las cookies no esenciales (analíticas, marketing, redes sociales, personalización) requieren consentimiento explícito, informado y de aceptación activa antes de establecerse
El consentimiento debe ser otorgado libremente — no puede condicionarlo al uso del sitio
El consentimiento debe ser específico — los usuarios deben poder aceptar las analíticas pero rechazar las cookies de marketing
El consentimiento debe ser informado — los usuarios necesitan saber qué cookies establece usted y por qué
Debe ser tan fácil retirar el consentimiento como lo fue darlo

Lo que no constituye un consentimiento válido

Estos enfoques comunes no cumplen con el RGPD:

“Al continuar navegando, acepta las cookies” — el consentimiento implícito no es consentimiento
Un banner con solo un botón “Aceptar” — no se ofrece una opción real
Casillas de consentimiento premarcadas — el consentimiento debe ser de aceptación activa, no de exclusión voluntaria
Muro de cookies (aceptar todo o marcharse) — es discutido, pero la mayoría de los reguladores lo consideran no conforme
Un banner de cookies que se muestra pero carga los scripts de rastreo de todos modos — el banner debe bloquear efectivamente las cookies no esenciales hasta que se otorgue el consentimiento

Cookies predeterminadas de PrestaShop

De fábrica, PrestaShop establece estas cookies:

PrestaShop-[hash] — cookie de sesión principal (esencial)
PHPSESSID — ID de sesión PHP (esencial)
PrestaShop_admin — sesión del back-office (esencial, solo administradores)

Todas estas son cookies estrictamente necesarias. Una instalación de PrestaShop sin módulos de terceros no necesita un banner de consentimiento de cookies para estas. Los problemas comienzan cuando añade Google Analytics, Facebook Pixel, Hotjar, herramientas de chat en vivo o cualquier módulo de marketing que instale cookies de rastreo.

Cómo implementar un consentimiento de cookies adecuado

Una implementación de consentimiento de cookies conforme necesita:

Bloquear todas las cookies no esenciales por defecto — Google Analytics, Facebook Pixel y scripts similares no deben cargarse hasta que se otorgue el consentimiento
Mostrar un banner de consentimiento claro en la primera visita con opciones para aceptar, rechazar o personalizar
Ofrecer un control granular — como mínimo, categorías separadas: Necesarias, Analíticas, Marketing, Preferencias
Recordar la elección — no pregunte de nuevo en cada carga de página (almacene el consentimiento en una cookie — sí, la ironía)
Permitir la retirada — proporcione una forma de cambiar las preferencias de cookies posteriormente (normalmente un enlace en el pie de página)
Mantener un registro — registre cuándo se otorgó el consentimiento y para qué categorías

La implementación técnica normalmente funciona así:

<!-- Instead of loading Google Analytics directly: -->
<script src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script>

<!-- Load it conditionally based on consent: -->
<script type="text/plain" data-cookieconsent="statistics">
  // This script only executes after the user consents to statistics cookies
  (function(){ /* GA code here */ })();
</script>

El atributo type="text/plain" evita que el navegador ejecute el script. Su herramienta de gestión de consentimiento lo reemplaza por type="text/javascript" después de otorgar el consentimiento.

El problema de Google Analytics

Google Analytics es el mayor dolor de cabeza en materia de consentimiento de cookies para los propietarios de tiendas. He aquí por qué:

GA establece múltiples cookies (_ga, _gid, _gat) que se clasifican como cookies de analíticas/estadísticas
Estas requieren consentimiento explícito según el RGPD
Si la mayoría de los visitantes rechazan las cookies de analíticas (y muchos lo hacen), sus datos analíticos se vuelven poco fiables
Google Analytics 4 aún transfiere datos a los servidores de Google en EE.UU., lo que plantea preocupaciones adicionales sobre transferencias de datos en el marco del EU-US Data Privacy Framework

Opciones a considerar:

Mantener GA con consentimiento adecuado: Acepte que perderá datos de los visitantes que rechacen. Sus analíticas seguirán siendo útiles para tendencias, solo menos completas.
Utilizar analíticas del lado del servidor: Herramientas como Matomo (autoalojado) o Plausible pueden configurarse para funcionar sin cookies, lo que podría permitir su uso bajo “interés legítimo” sin consentimiento. Consulte a su asesor legal sobre este enfoque.
Utilizar el Modo de Consentimiento de Google: GA4 admite el modo de consentimiento, que envía pings sin cookies cuando se deniega el consentimiento y utiliza datos modelados para llenar los vacíos. Es un compromiso.

El módulo oficial de RGPD de PrestaShop

PrestaShop proporciona un módulo oficial de RGPD (psgdpr) que gestióna parte de la funcionalidad de consentimiento de cookies. Este módulo:

Muestra un banner de consentimiento de cookies
Permite a los clientes solicitar la exportación y eliminación de datos desde su cuenta
Le permite configurar qué módulos son relevantes para el RGPD
Proporciona un registro de consentimientos

Sin embargo, el módulo oficial tiene limitaciones. Es posible que no bloquee todas las cookies antes del consentimiento (dependiendo de su tema y otros módulos), y la personalización del banner es básica. Muchas tiendas lo complementan con una plataforma de consentimiento de cookies más robusta o lo reemplazan por completo con una Plataforma de Gestión de Consentimiento (CMP) dedicada como Cookiebot, Complianz o CookieYes.

Sea cual sea la solución de consentimiento que utilice, pruébela. Abra su tienda en una ventana de navegación privada, abra DevTools (F12 > Application > Cookies) y compruebe qué cookies se establecen antes de interactuar con el banner de consentimiento. Si ve cookies de Google Analytics o Facebook allí, su implementación está fallando — el consentimiento se está omitiendo.

Su página de política de privacidad

Toda tienda necesita una política de privacidad. No es opcional, y una declaración vaga de dos párrafos no cumple los requisitos. Su política de privacidad debe ser específica de su tienda y cubrir exactamente lo que hace con los datos de los clientes.

Lo que debe incluir

Según los artículos 13 y 14 del RGPD, su política de privacidad debe incluir:

Su identidad y datos de contacto — nombre de la empresa, dirección, correo electrónico
Datos de contacto del Delegado de Protección de Datos (si tiene uno — la mayoría de las tiendas pequeñas no necesitan uno)
Qué datos personales recopila — sea específico (nombres, correos electrónicos, direcciónes, direcciónes IP, datos de cookies)
Por qué los recopila — el propósito de cada tipo de dato
La base legal de cada tipo de tratamiento (consentimiento, contrato, interés legítimo, obligación legal)
Con quién comparte los datos — procesadores de pago, transportistas, servicios de correo electrónico, proveedores de analíticas
Transferencias internacionales de datos — si los datos salen de la UE (Google, Stripe, servicios con sede en EE.UU.)
Cuánto tiempo conserva los datos — períodos de retención para cada tipo de dato
Derechos de los clientes — acceso, rectificación, supresión, portabilidad, oposición, limitación
Cómo ejercer esos derechos — datos de contacto, procedimiento
Derecho a reclamar ante una autoridad de control
Si la fácilitación de datos es obligatoria (por ejemplo, necesita una dirección para enviar un pedido)
Toma de decisiones automatizada — si utiliza alguna (la mayoría de las tiendas no)
Información sobre cookies — o un enlace a una política de cookies separada

Plantilla de estructura para la política de privacidad

A continuación se presenta una estructura práctica para la política de privacidad de una tienda PrestaShop. Deberá completar los detalles específicos de su tienda:

1. Who We Are
   - Company name, registration number, address
   - Contact email for privacy matters

2. What Data We Collect
   - Account registration data (name, email, password)
   - Order data (shipping address, billing address, order contents)
   - Payment data (note: we don't store card numbers � our payment processor does)
   - Communication data (contact form messages, order messages)
   - Technical data (IP address, browser type, cookies)
   - Newsletter subscription (email address)

3. Why We Collect It (Purposes and Legal Basis)
   - To process your orders (contract)
   - To create and manage your account (contract)
   - To send order confirmations and shipping updates (contract)
   - To send marketing emails (consent � you can unsubscribe at any time)
   - To improve our website (legitimate interest / consent for analytics cookies)
   - To comply with tax and accounting laws (legal obligation)
   - To prevent fraud (legitimate interest)

4. Who We Share Your Data With
   - Payment processor: [Name] � processes card payments
   - Shipping carrier: [Name] � receives delivery address and phone number
   - Email service: [Name] � sends transactional and marketing emails
   - Analytics: [Name] � website usage statistics
   - Hosting provider: [Name] � stores all website data

5. International Transfers
   - [List any services that transfer data outside the EU/EEA]
   - Safeguards in place (EU-US Data Privacy Framework, Standard Contractual Clauses)

6. How Long We Keep Your Data
   - Account data: until you delete your account
   - Order data: [X] years (legal requirement for invoices)
   - Abandoned cart data: [X] months
   - Analytics data: [X] months
   - Server logs: [X] days

7. Your Rights
   - Access, rectification, erasure, portability, objection, restriction
   - How to exercise them (email, account settings, GDPR module)
   - Right to complain to [your country's supervisory authority]

8. Cookies
   - [Summary or link to cookie policy]

9. Changes to This Policy
   - Last updated: [date]

10. Contact Us
    - Email for privacy inquiries

Dónde enlazar su política de privacidad

Su política de privacidad debe ser fácilmente accesible. Enlácela desde:

Pie de página del sitio web — en todas las páginas
Formulario de registro — con una casilla de verificación (“He leído y acepto la política de privacidad”)
Página de pago — especialmente si el pago como invitado está habilitado y está recopilando datos de usuarios no registrados
Formulario de contacto — antes de que envíen información personal
Suscripción al boletín — junto al formulario de suscripción
Banner de consentimiento de cookies — enlace a la política completa desde el banner

En PrestaShop, puede crear la política de privacidad como una página CMS (Back Office > Diseño > Páginas) y configurar el enlace en el pie de página a través del módulo “Link Widget” o la configuración del pie de página de su tema.

Derechos sobre los datos del cliente

El RGPD otorga a sus clientes derechos específicos sobre sus datos personales. Usted debe ser capaz de atender estas solicitudes en un plazo de 30 días.

Derecho de acceso (exportación de datos)

Cualquier cliente puede preguntar: “¿Qué datos tiene sobre mí?” Usted debe proporcionar una respuesta completa que incluya todos los datos en todos los sistemas — no solo la información de su página de cuenta, sino el historial de pedidos, direcciónes, registros de consentimiento, estado de suscripción al boletín y cualquier dato almacenado por módulos de terceros.

El módulo oficial de RGPD de PrestaShop añade una sección “RGPD” a la página de cuenta del cliente donde pueden solicitar una exportación de datos. Esto genera un PDF o CSV con sus datos de la base de datos de PrestaShop.

Si lo gestióna manualmente, necesitará consultar múltiples tablas:

-- Get all data for a specific customer
SELECT * FROM ps_customer WHERE id_customer = {ID};
SELECT * FROM ps_address WHERE id_customer = {ID};
SELECT * FROM ps_orders WHERE id_customer = {ID};
SELECT * FROM ps_cart WHERE id_customer = {ID};
SELECT * FROM ps_message WHERE id_customer = {ID};
SELECT * FROM ps_customer_message WHERE id_customer = {ID};

-- Don't forget module-specific tables
SELECT * FROM ps_emailsubscription WHERE email = '{EMAIL}';
-- Check any other module tables that store customer data

Derecho de supresión (derecho al olvido)

Los clientes pueden solicitar que elimine todos sus datos personales. Sin embargo, este derecho no es absoluto — puede negarse si:

Necesita conservar los datos por razones legales (facturas, registros fiscales — normalmente de 5 a 10 años dependiendo de su país)
Existe un litigio en curso
Los datos son necesarios para un propósito legítimo que prevalece sobre la solicitud

En la práctica, para una tienda PrestaShop, esto normalmente significa:

Eliminar: cuenta del cliente, direcciónes no vinculadas a pedidos, carritos abandonados, suscripción al boletín, registros de visitantes, lista de deseos, reseñas
Anonimizar: datos de pedidos (reemplazar los datos personales con “Cliente eliminado” o similar — conserve el pedido para la contabilidad pero elimine la información identificativa)
Conservar: facturas (requisito legal) — pero puede anonimizar la copia del cliente y conservar solo el registro financiero

El módulo RGPD puede automatizar la eliminación de cuentas de clientes y la anonimización de datos. Si lo gestióna manualmente, este es el enfoque:

-- Anonymize customer record (don't DELETE � linked orders would break)
UPDATE ps_customer SET
  firstname = 'Deleted',
  lastname = 'Customer',
  email = CONCAT('deleted_', id_customer, '@anonymous.invalid'),
  passwd = '',
  birthday = '0000-00-00',
  phone = '',
  optin = 0,
  newsletter = 0,
  deleted = 1,
  active = 0
WHERE id_customer = {ID};

-- Anonymize addresses not linked to delivered orders
UPDATE ps_address SET
  firstname = 'Deleted',
  lastname = 'Customer',
  address1 = 'Deleted',
  address2 = '',
  postcode = '00000',
  city = 'Deleted',
  phone = '',
  phone_mobile = '',
  other = '',
  company = '',
  vat_number = '',
  dni = '',
  deleted = 1
WHERE id_customer = {ID}
AND id_address NOT IN (
  SELECT id_address_delivery FROM ps_orders WHERE id_customer = {ID}
  UNION
  SELECT id_address_invoice FROM ps_orders WHERE id_customer = {ID}
);

-- Delete abandoned carts (not converted to orders)
DELETE FROM ps_cart_product
WHERE id_cart IN (
  SELECT id_cart FROM ps_cart
  WHERE id_customer = {ID}
  AND id_cart NOT IN (SELECT id_cart FROM ps_orders)
);
DELETE FROM ps_cart
WHERE id_customer = {ID}
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Remove newsletter subscription
DELETE FROM ps_emailsubscription WHERE email = '{ORIGINAL_EMAIL}';

Advertencia: Realice siempre una copia de seguridad antes de ejecutar consultas de eliminación. Anonimice en lugar de eliminar siempre que los datos estén vinculados a pedidos o facturas. Pruebe primero en un entorno de staging. Y recuerde — las consultas anteriores son ejemplos; su configuración específica puede tener tablas adicionales de módulos que también necesiten limpieza.

Derecho a la portabilidad

Los clientes pueden solicitar sus datos en un formato legible por máquina (JSON, CSV, XML). Esto es para que puedan transferir sus datos a otro servicio. La función de exportación del módulo RGPD normalmente cubre esto, generando un CSV o PDF.

Si lo gestióna manualmente, proporcione los datos en un formato estructurado — JSON o CSV — cubriendo los mismos puntos de datos que la respuesta del “derecho de acceso”.

Derecho de rectificación

Los clientes pueden pedirle que corrija datos inexactos. En la mayoría de los casos, los clientes de PrestaShop pueden hacerlo ellos mismos a través de su página de cuenta (actualizar nombre, correo electrónico, dirección). Pero si le piden que lo haga usted, debe cumplir en un plazo de 30 días.

Este suele ser el derecho más fácil de cumplir — simplemente actualice el registro en el back office.

Gestión de solicitudes de datos en la práctica

Establezca un proceso para gestiónar las solicitudes del RGPD:

Verifique la identidad — antes de enviar los datos de alguien o eliminar una cuenta, asegúrese de que realmente es esa persona. Pídale que envíe la solicitud desde la dirección de correo electrónico asociada a su cuenta.
Registre la solicitud — anote cuándo la recibió y qué se solicitó
Responda en un plazo de 30 días — este es el plazo legal. Si una solicitud es compleja, puede ampliar otros 60 días, pero debe notificar al solicitante dentro de los primeros 30 días.
Cumpla la solicitud — exporte, elimine, corrija o explique por qué no puede (con justificación legal)
Confirme la finalización — notifique al cliente que la solicitud ha sido atendida

Mantenga un registro de todas las solicitudes de los interesados y sus respuestas. Esto demuestra responsabilidad si algún regulador lo solicita.

Gestión del consentimiento

El consentimiento según el RGPD debe ser libre, específico, informado e inequívoco. Esto es lo que significa en la práctica para su tienda PrestaShop.

Formulario de registro

Cuando los clientes crean una cuenta, usted necesita:

Una casilla de verificación (desmarcada por defecto) que enlace a su política de privacidad: “He leído y acepto la Política de Privacidad”
Esta casilla no debe estar premarcada — el cliente debe marcarla activamente
No puede combinar esto con el consentimiento de marketing — son cosas distintas

En PrestaShop 1.7+ y 8.x, puede configurar esto a través de los ajustes del módulo RGPD o editando la plantilla de registro de clientes. El módulo normalmente añade casillas de consentimiento al formulario de registro, al proceso de pago y al formulario de contacto.

Consentimiento para el boletín

La suscripción al boletín requiere su propio consentimiento separado. El cliente debe:

Aceptar activamente (casilla desmarcada o formulario de suscripción separado)
Saber a qué se suscribe (“Reciba nuestras ofertas semanales y novedades de productos”)
Poder darse de baja fácilmente (enlace de cancelación de suscripción en cada correo)

El módulo de boletín de PrestaShop incluye una casilla de aceptación. Asegúrese de que no esté premarcada — verifique la plantilla del bloque de boletín de su tema.

Consentimiento de marketing

Si comparte datos de clientes con terceros con fines de marketing (por ejemplo, pasar listas de correos electrónicos a Facebook para Públicos Personalizados), necesita un consentimiento explícito para ese propósito específico. “Acepto la política de privacidad” no lo cubre — necesita una casilla separada como: “Acepto recibir publicidad personalizada basada en mi comportamiento de compra”

La mayoría de las tiendas PrestaShop no necesitan esto a menos que realicen integraciónes de marketing avanzadas.

Conservación de registros de consentimiento

Debe poder demostrar que se otorgó el consentimiento. Esto significa registrar:

Quién dio el consentimiento (ID de cliente o correo electrónico)
Cuándo se otorgó el consentimiento (marca de tiempo)
A qué consintieron (política de privacidad, boletín, marketing)
Cómo se otorgó el consentimiento (casilla del formulario de registro, ventana emergente del boletín, etc.)
Qué versión de la política de privacidad estaba vigente en ese momento

El módulo oficial de RGPD mantiene un registro de consentimientos. Si lo gestióna manualmente, cree una tabla de base de datos para rastrear los eventos de consentimiento:

CREATE TABLE ps_gdpr_consent_log (
  id_consent_log INT AUTO_INCREMENT PRIMARY KEY,
  id_customer INT DEFAULT NULL,
  customer_email VARCHAR(255) NOT NULL,
  consent_type VARCHAR(50) NOT NULL,  -- 'privacy_policy', 'newsletter', 'marketing'
  consent_given TINYINT(1) NOT NULL,  -- 1 = given, 0 = withdrawn
  ip_address VARCHAR(45) DEFAULT NULL,
  date_add DATETIME NOT NULL,
  request_details TEXT DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Retención de datos: ¿cuánto tiempo puede conservarlos?

El RGPD no especifica períodos de retención exactos — dice que los datos deben conservarse “no más tiempo del necesario”. Usted necesita definir su propia política de retención y cumplirla.

Períodos de retención recomendados

Cuentas de clientes activas: Consérvelas mientras la cuenta esté activa. Considere las cuentas como inactivas después de 24–36 meses sin inicio de sesión ni compra.
Cuentas de clientes inactivas: Envíe un correo de reactivación y luego anonimice si no hay respuesta en 30 días.
Datos de pedidos: Consérvelos durante el tiempo legalmente requerido para fines fiscales/contables. En la mayoría de los países de la UE, esto es de 5 a 10 años. Anonimice los datos personales pero conserve los registros financieros.
Datos de facturas: Deben conservarse durante el período legalmente establecido (normalmente de 7 a 10 años en la mayoría de los países de la UE).
Datos de carritos abandonados: Elimine después de 6 a 12 meses como máximo. No hay justificación para conservar carritos abandonados más tiempo.
Datos de visitantes/invitados: Los datos de ps_guest y ps_connections deben limpiarse regularmente — 6 meses como máximo para la mayoría de las tiendas.
Suscriptores del boletín: Consérvelos hasta que se den de baja. Confirme periódicamente a los suscriptores inactivos.
Registros del servidor: De 30 a 90 días es lo estándar. Rote y elimine los registros más antiguos.
Registros de consentimiento de cookies: Consérvelos al menos durante la duración del consentimiento (normalmente 12 meses).

Limpieza de datos antiguos: consultas SQL

A continuación se presentan consultas de limpieza seguras para datos comunes de PrestaShop. Realice siempre una copia de seguridad primero y pruebe en un entorno de staging.

-- Delete guest records older than 6 months
DELETE FROM ps_guest
WHERE id_guest NOT IN (SELECT id_guest FROM ps_cart WHERE id_cart IN (SELECT id_cart FROM ps_orders))
AND id_guest IN (
  SELECT g.id_guest FROM ps_guest g
  INNER JOIN ps_connections c ON c.id_guest = g.id_guest
  GROUP BY g.id_guest
  HAVING MAX(c.date_add) < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

-- Delete old connection records (keeps stats but removes IP-linked data)
DELETE FROM ps_connections_source
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections_page
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections
WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH);

-- Delete abandoned carts older than 12 months (not converted to orders)
DELETE cp FROM ps_cart_product cp
INNER JOIN ps_cart c ON cp.id_cart = c.id_cart
WHERE c.date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND c.id_cart NOT IN (SELECT id_cart FROM ps_orders);

DELETE FROM ps_cart
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Clean old page view statistics (anonymous aggregate data � lower priority)
DELETE FROM ps_page_viewed
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH);

Considere automatizar estas limpiezas con una tarea cron. Ejécutelas mensualmente durante las horas de menor actividad. Envuelva siempre las consultas destructivas en una transacción o al menos verifique el número de filas con un SELECT antes de ejecutar el DELETE. Y nunca omita la copia de seguridad.

Automatización de la retención de datos

Cree un script PHP o una tarea cron que ejecute estas consultas de limpieza según una programación:

# Example crontab entry � runs at 3 AM on the 1st of each month
0 3 1 * * /usr/bin/php /path/to/your/store/scripts/gdpr-cleanup.php >> /var/log/gdpr-cleanup.log 2>&1

El script debe registrar qué se eliminó y cuándo — esto forma parte de su documentación de responsabilidad del RGPD.

Servicios de terceros y encargados del tratamiento

Su tienda PrestaShop no funciona de forma aislada. Comparte datos de clientes con diversos servicios de terceros. Según el RGPD, estos se denominan “encargados del tratamiento” — procesan datos en su nombre.

Encargados del tratamiento habituales para tiendas PrestaShop

Pasarelas de pago (Stripe, PayPal, Adyen, Mollie) — reciben nombre del cliente, correo electrónico, dirección de facturación, datos de la tarjeta
Transportistas (DHL, UPS, DPD, transportistas locales) — reciben nombre del destinatario, dirección, número de teléfono, a veces correo electrónico
Servicios de email marketing (Mailchimp, Brevo/SendinBlue, Klaviyo) — reciben direcciónes de correo electrónico, nombres, historial de compras
Analíticas (Google Analytics, Matomo) — reciben direcciónes IP, comportamiento de navegación, información del dispositivo
Proveedor de hosting — almacena todos sus datos (base de datos, archivos, registros)
Servicios de CDN / seguridad (Cloudflare, Sucuri) — ven todo el tráfico, incluidas las direcciónes IP
Herramientas de atención al cliente (Zendesk, Freshdesk) — pueden almacenar comunicaciones y datos de clientes
Píxeles de redes sociales (Facebook, TikTok, Pinterest) — reciben comportamiento de navegación y datos de conversión
Software ERP / contabilidad — recibe datos de pedidos y clientes para la gestión empresarial

Acuerdos de tratamiento de datos (DPA)

El RGPD exige que tenga un Acuerdo de Tratamiento de Datos con cada encargado que maneje datos personales en su nombre. El DPA debe especificar:

Qué datos se tratan
El propósito y la duración del tratamiento
Las obligaciones del encargado en materia de seguridad de datos
Qué ocurre con los datos cuando finaliza el acuerdo
La obligación del encargado de notificarle las violaciones de datos

La buena noticia: la mayoría de los grandes proveedores de servicios ya disponen de DPA estándar:

Stripe: Integrado en sus Términos de Servicio
PayPal: Disponible en su documentación legal
Google: Enmienda de Tratamiento de Datos disponible en la administración de Google Analytics
Mailchimp: DPA estándar disponible en su sitio web
Brevo/SendinBlue: DPA incluido en sus términos o disponible bajo solicitud
Cloudflare: DPA disponible en su documentación de confianza

Descargue y firme (o acepte en línea) el DPA de cada servicio que utilice. Conserve copias. Un regulador podría solicitar verlos.

Transferencias internacionales de datos

Si alguno de sus encargados tiene su sede fuera de la UE (y muchos la tienen — Stripe, Google, Mailchimp tienen sede en EE.UU.), necesita un mecanismo legal para la transferencia de datos. Actualmente, las principales opciones son:

EU-US Data Privacy Framework — Las empresas estadounidenses certificadas bajo este marco pueden recibir datos personales de la UE. Compruebe si sus encargados están en la lista en dataprivacyframework.gov.
Cláusulas Contractuales Tipo (CCT) — Términos contractuales aprobados por la Comisión Europea para transferencias internacionales. La mayoría de los grandes proveedores las incluyen en sus DPA.
Decisiones de adecuación — Algunos países fuera de la UE han sido considerados con un nivel adecuado de protección de datos (Reino Unido, Canadá, Japón, Corea del Sur y otros).

Enumere todas las transferencias internacionales de datos en su política de privacidad. Especifique el país y el mecanismo legal que protege la transferencia.

Procedimiento ante violaciones de datos

Una violación de datos es cualquier incidente de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales. Para una tienda PrestaShop, esto podría ser:

Su tienda es hackeada y los datos de clientes son robados
Una copia de seguridad de la base de datos queda accesible públicamente
Los datos de pedidos de un cliente se envían por error a la persona equivocada
Una vulnerabilidad en un módulo expone información de clientes
Un empleado accede a datos de clientes sin autorización
Un ransomware cifra su base de datos y pierde el acceso a los registros de clientes

La regla de las 72 horas

Si experimenta una violación de datos que probablemente suponga un riesgo para los derechos y libertades de las personas, debe:

Notificar a su autoridad de control en un plazo de 72 horas desde que tenga conocimiento de la violación
Notificar a las personas afectadas sin dilación indebida si la violación probablemente supone un alto riesgo para sus derechos

“72 horas desde que tenga conocimiento” significa desde el momento en que determinó razonablemente que se produjo una violación — no desde el momento en que ocurrió. Pero se espera que disponga de mecanismos de monitorización para detectar violaciones con prontitud.

Qué incluir en una notificación de violación

Su notificación a la autoridad de control debe incluir:

La naturaleza de la violación (qué ocurrió)
Las categorías y el número aproximado de personas afectadas
Las categorías y el número aproximado de registros de datos personales afectados
Los datos de contacto de su DPO o punto de contacto principal
Las consecuencias probables de la violación
Las medidas adoptadas o propuestas para abordar la violación

La notificación a las personas afectadas debe describir la violación en un lenguaje claro e incluir la misma información, además de consejos sobre cómo pueden protegerse (cambiar contraseñas, estar atentos al phishing, etc.).

Plan de respuesta ante violaciones

No espere a que ocurra una violación para decidir qué hacer. Prepárese con antelación:

Identifique su autoridad de control — es la autoridad de protección de datos del país de la UE donde está establecida su empresa (por ejemplo, CNIL en Francia, ICO en el Reino Unido, UODO en Polonia, BfDI en Alemania)
Conozca el proceso de notificación — la mayoría de las autoridades disponen de un formulario en línea. Guárdelo en favoritos.
Prepare una plantilla para la notificación de violaciones (para la autoridad y para los clientes)
Documente todo — incluso las violaciones que decida que no necesitan ser notificadas. La documentación de su proceso de toma de decisiones es en sí misma un requisito del RGPD.
Tenga un plan de respuesta técnica — quién investiga, quién repara, quién comunica

No todo incidente de seguridad es una violación notificable. Si su firewall bloquea un ataque y ningún dato se ve comprometido, eso es un incidente, no una violación. Pero regístrelo de todos modos — demuestra que dispone de mecanismos de monitorización.

Errores comunes de RGPD en tiendas PrestaShop

Tras revisar cientos de tiendas PrestaShop en materia de cumplimiento del RGPD, estos son los errores que vemos con mayor frecuencia:

1. Casillas de consentimiento premarcadas

La casilla del boletín en el registro o durante el pago está premarcada. Esto es una clara violación del RGPD. El consentimiento debe ser de aceptación activa. Busque en las plantillas de su tema cualquier casilla que tenga checked o checked="checked" como atributo predeterminado en los formularios relacionados con el consentimiento.

2. Sin posibilidad de eliminar cuentas

Muchas tiendas PrestaShop no tienen un mecanismo para que los clientes eliminen sus cuentas. El front-office predeterminado de PrestaShop no ofrece la eliminación de cuentas. Necesita el módulo RGPD o una solución personalizada para proporcionar esta funcionalidad.

3. Conservar datos indefinidamente

Sin política de retención de datos. Registros de visitantes de 2015 aún en la base de datos. Registros de conexiónes de hace años. Carritos abandonados de clientes que olvidaron que su tienda existía hace tres años. Establezca períodos de retención y hágalos cumplir.

4. Seguridad de datos inadecuada

El RGPD exige “medidas técnicas y organizativas apropiadas” para proteger los datos. Fallos comunes:

Sin certificado SSL — todas las tiendas deberían usar HTTPS. No hay excusa en 2026.
Contraseñas débiles de administrador — aplique contraseñas seguras para todas las cuentas del back-office
Versión de PrestaShop desactualizada — los parches de seguridad importan. Ejecutar PrestaShop 1.6 con vulnerabilidades conocidas es un riesgo.
Módulos sin actualizar — los módulos con vulnerabilidades de seguridad conocidas son un vector de ataque común
Sin copias de seguridad de la base de datos — o copias almacenadas en ubicaciones de acceso público
Hosting compartido con aislamiento deficiente — si otro sitio en el mismo servidor se ve comprometido, sus datos podrían estar en riesgo
FTP en lugar de SFTP — FTP transmite las credenciales en texto plano

5. Google Analytics sin consentimiento

La violación más común que vemos. El código de seguimiento de Google Analytics se carga en cada página para cada visitante, independientemente del consentimiento de cookies. Esto envía datos personales (dirección IP, comportamiento de navegación) a Google antes de que el visitante tenga oportunidad de dar su consentimiento.

6. Banner de cookies que realmente no funciona

Se muestra un banner de cookies, pero las cookies no esenciales se cargan antes de dar el consentimiento. El banner es cosmético — no controla realmente el comportamiento de las cookies. Compruébelo usted mismo: abra DevTools, verifique qué cookies y solicitudes de red se realizan antes de interactuar con el banner.

7. Sin política de privacidad (o una genérica)

O no hay política de privacidad en absoluto, o es una plantilla genérica copiada de internet que no refleja lo que la tienda realmente hace. Su política de privacidad debe ser específica de su tienda, sus prácticas de datos y sus servicios de terceros.

8. No conservar registros de consentimiento

Los clientes marcaron la casilla de consentimiento, pero no hay registro de cuándo, a qué consintieron ni qué versión de la política de privacidad estaba vigente. Si un regulador pregunta “demuestre que este cliente consintió a recibir correos de marketing”, necesita poder mostrar el comprobante.

9. Ignorar los datos de los módulos

Los propietarios de tiendas auditan sus datos principales de PrestaShop pero olvidan los datos recopilados por módulos de terceros. Módulos de reseñas, listas de deseos, carritos abandonados, herramientas de chat — todos recopilan datos personales que están sujetos al RGPD.

10. Sin acuerdos de tratamiento de datos

Usar Stripe, Google Analytics, Mailchimp y una docena de servicios más sin tener DPA vigentes. Estos suelen estar disponibles gratuitamente del proveedor de servicios — solo necesita firmarlos.

Lista de verificación de cumplimiento del RGPD para tiendas PrestaShop

Utilice esta lista de verificación para evaluar el cumplimiento del RGPD en su tienda. Revise cada punto y marque si está completado, en progreso o necesita atención.

Base legal

Política de privacidad creada y publicada en la tienda
La política de privacidad cubre toda la información requerida (consulte la sección anterior)
La política de privacidad está enlazada desde el pie de página, el formulario de registro, el proceso de pago y el formulario de contacto
Política de cookies creada (página separada o sección dentro de la política de privacidad)
Términos y condiciones actualizados con referencia a la política de privacidad
Acuerdos de Tratamiento de Datos firmados con todos los encargados de terceros
Registro de Actividades de Tratamiento (RAT) creado — un documento que enumera todas las actividades de tratamiento de datos
Delegado de Protección de Datos designado (si es necesario — generalmente para tratamientos a gran escala)

Consentimiento

El formulario de registro tiene una casilla de consentimiento de política de privacidad desmarcada
La suscripción al boletín requiere aceptación activa (sin casillas premarcadas)
El consentimiento de marketing está separado del consentimiento de la política de privacidad
Banner de consentimiento de cookies implementado y funcional
El banner de cookies bloquea las cookies no esenciales hasta que se otorgue el consentimiento
El banner de cookies ofrece opciones granulares (aceptar todo, rechazar todo, personalizar)
Las preferencias de cookies pueden modificarse después de la elección inicial (por ejemplo, enlace en el pie de página)
Los registros de consentimiento se guardan con marca de tiempo, usuario y tipo de consentimiento

Derechos de los clientes

Los clientes pueden acceder/exportar sus datos personales
Los clientes pueden solicitar la eliminación de su cuenta
Los clientes pueden corregir sus datos personales
Los clientes pueden descargar sus datos en formato legible por máquina
Existe un proceso para gestiónar las solicitudes de los interesados en un plazo de 30 días
Proceso de verificación de identidad para solicitudes de datos
Módulo RGPD instalado y configurado (o funcionalidad equivalente)

Gestión de datos

Períodos de retención de datos definidos para todas las categorías de datos
Limpieza automatizada de datos antiguos de visitantes/conexiónes
Limpieza automatizada de carritos abandonados que superan el período de retención
Rotación de registros del servidor configurada
Las cuentas de clientes inactivas se identifican y gestiónan
Todas las ubicaciones de almacenamiento de datos están documentadas (base de datos, sistema de archivos, servicios de terceros)

Seguridad

Certificado SSL/TLS instalado (HTTPS forzado)
Versión de PrestaShop actualizada con parches de seguridad
Todos los módulos actualizados
Contraseñas seguras aplicadas para cuentas de administrador
Directorio de administración renombrado del predeterminado
Copias de seguridad regulares configuradas y probadas
Copias de seguridad almacenadas de forma segura (no en un directorio web público)
SFTP o SSH utilizado en lugar de FTP
Permisos de archivo correctamente configurados (sin directorios 777)
Acceso a la base de datos restringido (sin acceso root remoto)

Preparación ante violaciones

Autoridad de control identificada
Proceso de notificación de violaciones documentado
Plantilla de notificación de violaciones preparada
Persona de contacto para incidentes de violación designada
Monitorización de seguridad activa (revisión de registros, detección de intrusiones)

Servicios de terceros

Todos los servicios de terceros que tratan datos de clientes están listados
DPA vigente con cada encargado
Transferencias internacionales de datos documentadas con base legal
Servicios de terceros listados en la política de privacidad
Los scripts de analíticas solo se cargan después del consentimiento de cookies
Los píxeles de marketing solo se cargan después del consentimiento de cookies

Consideraciones finales

El cumplimiento del RGPD no es un proyecto puntual — es una práctica continua. Su política de privacidad necesita actualizarse cuando añade nuevos módulos o servicios. La limpieza de datos debe ejecutarse regularmente. Sus mecanismos de consentimiento necesitan probarse después de cada actualización de tema o módulo.

La buena noticia es que la mayor parte del trabajo pesado se hace una sola vez. Configurar el consentimiento de cookies adecuado, redactar su política de privacidad, firmar los DPA y configurar la retención de datos — son tareas que se realizan una vez con mantenimiento ocasional.

Y aquí hay algo que la mayoría de las guías del RGPD no le dirán: la perfección no es el estándar. Los reguladores buscan un esfuerzo genuino y un enfoque razonable hacia la protección de datos. Una tienda que tiene una buena política de privacidad, un consentimiento de cookies adecuado, reglas de retención de datos y un proceso para gestiónar las solicitudes de los clientes está en una posición sólida — incluso si cada pequeño detalle no es perfecto.

Lo que los reguladores sancionan es la negligencia: tiendas que no hacen nada, ignoran las solicitudes de los clientes, recopilan datos que no necesitan y los dejan desprotegidos indefinidamente. No sea esa tienda.

Comience con la lista de verificación anterior, trabaje en ella durante las próximas semanas y revísela trimestralmente. Eso es el cumplimiento del RGPD en la práctica — sin pánico, sin perfección, solo buenas prácticas constantes con los datos de los clientes.

Recuerde: esta guía trata sobre los principios generales de cumplimiento del RGPD para tiendas PrestaShop. La legislación sobre protección de datos es compleja y evoluciona constantemente. Para obtener asesoramiento legal vinculante específico para su negocio, su jurisdicción y sus actividades de tratamiento de datos, consulte a un abogado o consultor cualificado en protección de datos. La inversión en asesoramiento legal profesional es pequeña en comparación con las posibles consecuencias de equivocarse.

Cookie	Provider	Purpose	Duration
PrestaShop-*	PrestaShop	Gestión de sesión y funcionalidad del carrito	Session
PHPSESSID	PHP	Identificador de sesión PHP	Session
mprcr_consent	MPR Cookies Revolution	Almacena las preferencias de consentimiento de cookies	365 day(s)
mprcr_version	MPR Cookies Revolution	Rastrea la version de la configuración del consentimiento	365 day(s)

Cookie	Provider	Purpose	Duration
_ga	Google Analytics	Distingue usuarios únicos asignando un número generado aleatoriamente	2 year(s)
_ga_*	Google Analytics	Utilizado para mantener el estado de la sesión entre solicitudes de página	2 year(s)
_gid	Google Analytics	Distingue usuarios únicos durante 24 horas	24 hour(s)
_gat	Google Analytics	Limita la tasa de solicitudes de analítica	1 minute(s)

Cookie	Provider	Purpose	Duration
_gcl_au	Google AdSense	Mide la eficiencia de las campañas almacenando datos de conversión	3 month(s)
_fbp	Facebook	Entrega productos publicitarios como pujas en tiempo real	3 month(s)
_fbc	Facebook	Almacena la información del último clic de anuncios de Facebook	2 year(s)
IDE	Google DoubleClick	Publicidad dirigida, mide el rendimiento de anuncios en diferentes sitios web	1 year(s)
_uetsid	Microsoft Bing	Mide el rendimiento de las campañas para Microsoft Bing	1 day(s)
_uetvid	Microsoft Bing	Rastrea el comportamiento de visitantes en múltiples visitas para Bing Ads	13 month(s)

RGPD para tiendas PrestaShop: Lo que realmente necesitas