Auditoría RGPD web: checklist práctica para pymes
Checklist para revisar privacidad, formularios, cookies, analítica, email y proveedores de una web sin prometer cumplimiento automático.
Actualizado el
Auditoría RGPD web: checklist práctica para pymes
Una web puede tratar datos personales de muchas formas: formulario de contacto, newsletter, cookies, analítica, chat, CRM, píxeles publicitarios o herramientas de reservas.
Esta guía es una checklist práctica. No sustituye asesoramiento legal ni garantiza cumplimiento por sí sola. Sirve para detectar puntos que una pyme debe revisar antes de publicar, automatizar o escalar captación digital.
Resumen
Esto no sustituye una revisión legal, fiscal, de seguridad o profesional del caso concreto: depende del tipo de empresa, datos tratados, obligaciones aplicables y procesos internos.
Una auditoría RGPD web debe revisar qué datos recoge la web, para qué, con qué base jurídica, quién los recibe, cuánto tiempo se conservan y cómo se informa al usuario. Cookies, formularios, analítica y proveedores suelen ser los puntos con más fricción.
1. Mapa de tratamientos de la web
Para trabajar con prudencia, conviene contrastar los requisitos y límites con fuentes oficiales como AEPD - deber de información y AEPD - consentimiento RGPD, además de AEPD - guía de cookies.
| Elemento | Datos posibles | Riesgo |
|---|---|---|
| Formulario contacto | nombre, email, teléfono, mensaje | alto si falta información |
| Newsletter | email, preferencias | medio |
| Analytics | identificadores, eventos, consentimientos | medio/alto |
| Chatbot | conversación, email, contexto | alto si usa IA |
| CRM | historial comercial | medio/alto |
La AEPD recuerda en Facilita RGPD que obtener documentos de ayuda no implica apoyo a la revisión de cumplimiento (AEPD Facilita RGPD). Esa prudencia aplica a cualquier checklist.
2. Información y política de privacidad
Cuando se recogen datos directamente, el artículo 13 del RGPD exige informar sobre responsable, finalidades, base jurídica, destinatarios, conservación, derechos y otros puntos relevantes (GDPR Article 13). La política no debería ser un texto genérico copiado: debe reflejar lo que la web hace realmente.
| Punto | Revisar |
|---|---|
| Responsable | nombre legal y contacto |
| Finalidades | contacto, newsletter, contratación, analítica |
| Base jurídica | consentimiento, contrato, interés legítimo u otra |
| Destinatarios | proveedores o herramientas conectadas |
| Conservación | plazo o criterio |
| Derechos | acceso, rectificación, supresión y otros |
3. Formularios
Cada formulario debe informar en el punto de recogida. Revisa enlace cercano a privacidad, texto informativo breve, casillas no premarcadas cuando uses consentimiento, finalidad específica, campos mínimos y conexión con CRM o email marketing. La AEPD publica modelos de cláusulas informativas y formularios de derechos (AEPD modelos y formularios).
4. Cookies y consentimiento
La AEPD actualizó su guía de cookies para incorporar el criterio de que aceptar y rechazar deben presentarse en lugar y formato destacados, al mismo nivel y sin hacer más difícil rechazar que aceptar (AEPD guía cookies 2023). No asumas que la web cumple porque instalaste un plugin: comprueba qué scripts cargan realmente.
5. Analítica, marketing y proveedores
Google Analytics permite marcar key events para medir acciones importantes del negocio (Google Analytics key events). Si esos eventos dependen de cookies o identificadores, revisa consentimiento y configuración. También revisa hosting, formularios, CRM, email marketing, chatbot, agenda y pasarela de pago. Si un proveedor trata datos por cuenta de la empresa, puede requerir contrato de encargado.
Plan de corrección
| Prioridad | Acción |
|---|---|
| Alta | formulario sin información o consentimiento confuso |
| Alta | cookies no necesarias cargando antes de aceptar |
| Alta | política de privacidad genérica |
| Media | proveedores sin revisar |
| Media | eventos de analítica sin mapa |
| Media | newsletter sin prueba de alta |
Una auditoría útil termina con responsables y fechas, no solo con una lista de fallos.
Registro y evidencias
Una auditoría RGPD web no debería quedarse en “parece correcto”. Conviene guardar evidencias: capturas del banner, textos legales, listado de cookies, fecha de revisión, herramientas conectadas, proveedores y decisiones tomadas.
| Evidencia | Por qué importa |
|---|---|
| Captura del formulario | demuestra qué vio el usuario |
| Política vigente | muestra información disponible |
| Registro de cookies | identifica scripts y finalidades |
| Proveedores | ayuda a revisar encargados |
| Fecha de revisión | evita textos olvidados |
| Responsable interno | asigna seguimiento |
Esto no sustituye asesoramiento, pero mejora la responsabilidad activa.
Chatbots, IA y formularios enriquecidos
Cada vez más webs añaden chatbots, formularios inteligentes o asistentes de IA. Eso puede cambiar el riesgo porque la conversación puede incluir datos personales, información sensible o expectativas comerciales.
Revisa:
- si el chatbot guarda conversaciones;
- si pide email o teléfono;
- si transfiere datos fuera del Espacio Económico Europeo;
- si usa la conversación para entrenamiento;
- si se informa al usuario de forma clara;
- si hay alternativa humana cuando procede.
Si no puedes explicar qué ocurre con los datos del chatbot, no deberías activarlo en producción.
Analítica y píxeles publicitarios
Analytics, píxeles y herramientas de remarketing pueden cargar identificadores antes de que el usuario acepte. Por eso la auditoría debe mirar la web técnicamente, no solo leer el texto legal.
Pruebas básicas:
- Abrir la web en incógnito.
- Rechazar cookies.
- Comprobar si se cargan scripts no necesarios.
- Aceptar y comprobar cambios.
- Revisar si se puede modificar la decisión.
- Documentar resultados.
Si usas Google Tag Manager, revisa qué etiquetas dependen del consentimiento y quién puede publicar cambios.
Priorización de riesgos
No todos los hallazgos tienen la misma urgencia. Una coma en la política de privacidad no tiene el mismo impacto que un formulario sin información o un píxel cargando antes del consentimiento.
Prioriza por impacto sobre la persona usuaria, volumen de datos, sensibilidad, número de proveedores y facilidad de corrección. Una pyme puede avanzar rápido si corrige primero lo visible y riesgoso, y deja mejoras menores para una segunda vuelta.
Cómo trabajar con un proveedor externo
Si una agencia, freelance o proveedor técnico gestiona la web, la pyme sigue necesitando entender qué se ha instalado. Pide un inventario de plugins, scripts, formularios, etiquetas, píxeles, cookies, herramientas de analítica y conexiones con CRM o email marketing.
También conviene acordar quién puede publicar cambios en Google Tag Manager, añadir formularios o activar campañas con píxeles. Muchos problemas de privacidad aparecen cuando varias personas instalan herramientas sin una revisión común.
Qué entregar después de la auditoría
El resultado debería ser un documento breve con hallazgos, prioridad, responsable y fecha. Evita informes enormes sin acción. Una buena salida puede tener tres bloques: correcciones urgentes, mejoras recomendadas y decisiones que requieren asesoramiento especializado.
Así la auditoría deja de ser una lista de miedo y se convierte en un plan de trabajo realista.
Qué no debe prometer esta revisión
Una checklist no convierte una web en conforme por sí sola. Tampoco sustituye contratos, análisis de riesgo, revisión de encargados ni decisiones legales específicas. Su valor está en ordenar lo visible, detectar fallos frecuentes y preparar una conversación informada con quien corresponda.
Esa honestidad es importante: prometer apoyo a la revisión de cumplimiento suele ser una señal de mala práctica.
Primer paso recomendado
Empieza por una página con formulario y por el banner de cookies. Son dos puntos visibles y fáciles de comprobar. Si ahí aparecen dudas, probablemente también habrá que revisar proveedores, analítica, CRM y comunicaciones comerciales. La auditoría debe crecer desde evidencias concretas, no desde suposiciones.
Preguntas frecuentes
¿Esta checklist garantiza cumplir el RGPD?
No. Ayuda a detectar puntos habituales y preparar una revisión seria, pero el cumplimiento depende del caso concreto, tratamientos, proveedores, riesgos y documentación interna.
¿Qué suele fallar más en webs de pymes?
Formularios con información incompleta, banners de cookies mal configurados, herramientas conectadas sin revisar y políticas que no reflejan lo que realmente ocurre.
¿Cada cuánto debería revisarse?
Cuando cambie la web, se añada una herramienta, se active una campaña, se instale un píxel, se cambie el formulario o se use IA/chatbot. Además, conviene revisión periódica.
Recomendación final
Si quieres revisar web, formularios, cookies y herramientas antes de escalar captación, podemos ordenar tus riesgos digitales y prioridades de corrección.