Tu tienda online sin la multa de las cookies.
Las cookies son el foco nº1 de sanciones de la AEPD al comercio online: Iberia 30.000 €, SEAT 16.000 €, Techpump 90.000 €. Y detrás vienen el perfilado y el retargeting, las transferencias internacionales de tu pasarela y tu hosting, y las brechas de datos de clientes que el volumen multiplica. ÆGIS razona sobre el banner conforme (rechazar tan fácil como aceptar), qué proveedor saca datos del EEE y con qué garantía, y cómo responder una brecha en 72 horas — con la documentación citada y defendible.
Cookies: el foco nº1 de sanciones de la AEPD al comercio online · de 3.000 € a 90.000 €
Iberia 30.000 € · SEAT 16.000 € · Techpump 90.000 € · Bizum 80.000 € (brecha 20.000 usuarios)
La AEPD impuso a Iberia una multa de 30.000 € por incumplir la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico en sus cookies. La Audiencia Nacional confirmó la sanción el 17 de junio de 2024. Una de las grandes confirmaciones judiciales de la doctrina de cookies sobre comercio.
La AEPD sancionó a SEAT con 16.000 € (reducida a 12.000 € por reducciones) el 18 de septiembre de 2024 por dos infracciones de cookies: implantarlas a través de la web sin consentimiento del usuario, y hacer IMPOSIBLE borrarlas después de haberlas aceptado. La retirada del consentimiento debe ser tan fácil como darlo.
La AEPD impuso 90.000 € a Techpump Solutions S.L. mediante la Resolución PS/00524/2023 por infracciones reiteradas en la implementación de cookies en TRES de sus sitios web. La reiteración y el número de webs afectadas agravan la sanción: es de las multas de cookies más altas a una empresa del entorno digital.
La AEPD sancionó a Bizum con 80.000 € por una brecha de seguridad que permitió acceder a información personal de más de 20.000 usuarios. El volumen de afectados es un factor agravante directo. Para una tienda online, el tamaño de la base de datos de clientes convierte cualquier fallo de seguridad en un incidente potencialmente masivo.
La AEPD sancionó a una tienda online por no incluir el checkbox de aceptación en su formulario de registro. La aceptación de la política de privacidad debe ser un acto afirmativo claro (casilla no premarcada), y la suscripción a marketing debe ser separada y opcional, sin condicionar la compra. Es una de las infracciones de consentimiento más frecuentes en e-commerce.
Los 6 problemas reales, ya resueltos.
Google Analytics y el píxel de Meta se activan al entrar
Mi tienda carga Google Analytics y el píxel de Meta nada más entra el usuario, antes de que toque el banner de cookies. ¿Es un problema?
Art. 22.2 LSSI-CE · Guía AEPD cookies enero 2024
ÆGIS te explica que la analítica comercial y los píxeles de terceros no son cookies técnicas y exigen consentimiento PREVIO: hay que bloquear esos scripts hasta la aceptación y poner 'Rechazar' al mismo nivel que 'Aceptar'. Es justo lo que la AEPD sancionó a Techpump (90.000 €) y SEAT (16.000 €). Te genera el banner conforme y la política de cookies.
Mi pasarela de pago y mi hosting están en EE.UU.
Uso una pasarela de pago, hosting y email marketing con proveedores americanos. ¿Tengo que hacer algo con eso?
Cap. V RGPD (Art. 44-49) · transferencias internacionales
ÆGIS mapea qué proveedores sacan datos del EEE y razona la garantía de cada uno: si están adheridos al Data Privacy Framework UE-EE.UU. hay cobertura de adecuación; si no, Cláusulas Contractuales Tipo + análisis de impacto de la transferencia. Te documenta las transferencias en el RAT y en la política de privacidad.
Hackean la base de datos de 15.000 clientes
Han entrado en mi tienda y han accedido a los datos y pedidos de 15.000 clientes. ¿Qué tengo que hacer y en cuánto tiempo?
Art. 33-34 RGPD (notificación de brechas)
ÆGIS evalúa el riesgo: con ese volumen, hay que notificar a la AEPD en 72 horas y, si el riesgo es alto, comunicar a los 15.000 clientes en lenguaje claro. Te recuerda que el cifrado y no almacenar tarjetas (pasarela PCI-DSS) reducen el riesgo y el alcance, y registra la brecha (Art. 33.5). Te genera la documentación de notificación.
Casilla única que acepta todo en el registro
En el alta de mi tienda tengo una sola casilla, marcada por defecto, que acepta a la vez las condiciones, la privacidad y la newsletter. Me ahorra pasos. ¿Es válido?
Art. 6-7 RGPD (consentimiento) + Art. 21 LSSI
ÆGIS te explica que no: la aceptación de la privacidad debe ser un acto afirmativo claro (casilla NO premarcada) y la newsletter debe ser separada y opcional, sin condicionar la compra. La AEPD sancionó a una tienda por no incluir el checkbox de aceptación. Te separa las bases jurídicas y genera los textos con doble opt-in.
Retargeting: perseguir al usuario con el producto que miró
Hago retargeting (anuncios del producto que el usuario vio) y recomiendo según su navegación. ¿Necesito algo para eso?
Art. 22 RGPD (perfilado) + consentimiento de cookies de terceros
ÆGIS razona que es perfilado: el retargeting con píxeles de terceros se basa en el consentimiento del banner (si no acepta, no se hace); las recomendaciones propias pueden ampararse en interés legítimo con oposición clara. Hay que informar de la lógica del perfilado en la política de privacidad. Te documenta la base jurídica.
Un cliente pide que borres todos sus datos
Un comprador me pide que borre todos sus datos. Pero le he emitido facturas. ¿Tengo que borrarlo todo?
Art. 17 RGPD (supresión) + obligaciones fiscales/mercantiles
ÆGIS te explica que el derecho de supresión no es absoluto: debes conservar lo que la ley obliga (facturas, contabilidad: 4-6 años) y suprimir el resto, bloqueando lo conservado e informando al cliente del motivo. Respondes en un mes. Te guía la respuesta y separa lo suprimible de lo que hay que conservar.
8 plantillas listas para usar.
Generadas a partir del caso real de cada cliente. Documentos editables, con su base legal.
Banner y política de cookies conforme AEPD 2024
Banner con aceptar/rechazar/configurar al mismo nivel, sin patrones engañosos, que bloquea las cookies no técnicas hasta el consentimiento, más la política de cookies detallada.
Política de privacidad de tienda online
Política de privacidad completa con las transferencias internacionales informadas, la lógica del perfilado y los derechos del comprador.
Mapa de transferencias internacionales
Inventario de proveedores fuera del EEE (pasarela, hosting, analítica, marketing) con la garantía aplicada a cada uno (DPF, SCC + TIA).
Formulario de registro con consentimiento válido
Casillas separadas y no premarcadas para política de privacidad y newsletter, con doble opt-in para marketing, sin condicionar la compra.
Protocolo de brecha de datos de clientes
Procedimiento de respuesta a brechas de la base de datos de compradores: evaluación de riesgo, notificación a la AEPD en 72h y comunicación a afectados.
RAT de la tienda online
Registro de actividades de tratamiento del e-commerce: pedidos, cookies, marketing, perfilado, transferencias internacionales, atención al cliente y empleados.
Cláusula informativa de perfilado y retargeting
Información de la lógica del perfilado y la publicidad personalizada con el derecho de oposición claro, conforme Art. 13 y 22 RGPD.
Modelo de respuesta a derechos del comprador
Plantilla para atender acceso y supresión del comprador, separando lo suprimible de lo que debe conservarse por obligación legal (facturación).
Cientos de miles de tiendas online en España · tratamiento intensivo y de alto volumen: cookies, perfilado, pasarelas de pago, marketing y grandes bases de datos de compradores.
Una de las muchas carteras que tu asesoría puede atender con AIM ÆGIS.
Ofrece esto a tus clientes de e-commerce.
Te enseñamos en 30 minutos cómo AIM ÆGIS razona sobre este sector y cómo quedaría bajo tu marca. Sin compromiso.
Solicita una demo