RGPD aplicado a una tienda online: panorama 2026
El rgpd ecommerce es el conjunto de obligaciones que el Reglamento (UE) 2016/679, la LOPDGDD (LO 3/2018) y la LSSI-CE (Ley 34/2002) imponen a cualquier comerciante que venda bienes o servicios por internet a personas físicas en España o en la Unión Europea. En la práctica, una tienda online cumple si concurren cinco bloques: documentación legal publicada en la web, gestión correcta de cookies, base jurídica adecuada para los datos del comprador, contratos del Art. 28 RGPD con pasarelas de pago y operadores logísticos, y un régimen sólido de transferencias internacionales para herramientas norteamericanas. Esta guía ordena los cinco bloques con la doctrina vigente en 2026 y aterriza la operativa diaria de quien gestiona Shopify, WooCommerce, Prestashop, Magento o un desarrollo a medida.
El ecommerce concentra varios tratamientos simultáneos: datos de contacto y entrega del comprador, datos de pago intermediados por una pasarela certificada PCI DSS, datos de navegación capturados por cookies y píxeles publicitarios, datos de comportamiento usados para remarketing y personalización, datos de la reseña dejada por el comprador tras la compra y datos del soporte postventa. Cada uno tiene su base jurídica, su finalidad y su plazo de conservación. Cardeseo gestiona este mapa completo dentro del servicio anual de Adecuación y Cumplimiento Normativo desde 349€/año (paquete tier estándar con publicación web incluida), evitando el error frecuente de copiar políticas de otros comercios sin auditar realmente qué tratamientos hace cada tienda.
La novedad reglamentaria más relevante de los últimos meses afecta directamente al ecommerce: el Reglamento (UE) 524/2013 sobre resolución de litigios en línea (ODR) quedó derogado el 20 de julio de 2025 por el Reglamento (UE) 2024/3228. La plataforma europea ODR ha cesado de operar y ya no procede mostrar el enlace que durante años fue obligatorio. Quien lo mantenga en su aviso legal está dando información incorrecta al consumidor y debe retirarlo cuanto antes. La segunda novedad es la consolidación del Data Privacy Framework (DPF) UE-USA, en vigor desde el 10 de julio de 2023, que sustituye al derogado Privacy Shield y permite transferir datos a empresas estadounidenses certificadas DPF sin necesidad de Cláusulas Contractuales Tipo adicionales.
Documentación legal obligatoria de tu tienda online
Toda tienda online debe publicar al menos tres documentos legales accesibles desde cualquier página, normalmente en el pie. La omisión de cualquiera de ellos es un hallazgo de inspección frecuente y el primer punto que mira la AEPD cuando recibe una denuncia. El responsable no puede argumentar desconocimiento: los Arts. 13 y 14 RGPD imponen un deber de información proactivo en el momento mismo de la recogida de datos, y el Art. 10 LSSI exige información identificativa del prestador de servicios de la sociedad de la información.
El aviso legal identifica al responsable del comercio (razón social, CIF, domicilio, datos registrales, contacto y, si procede, inscripción en registros sectoriales). Su base es el Art. 10 LSSI-CE, no el RGPD, aunque ambas normas conviven. El política de privacidad documenta las finalidades del tratamiento, las bases jurídicas, los destinatarios, los plazos de conservación, los derechos del titular y el procedimiento para ejercerlos. La AEPD recomienda el modelo de información en dos niveles (cláusula corta visible en el formulario más política completa enlazada) por su Guía para el cumplimiento del deber de informar. La política de cookies describe cada cookie, su finalidad, su duración y el tercero que la instala. Las condiciones generales de contratación son obligatorias por el RD-leg 1/2007 (Texto Refundido LGDCU) y por la LSSI, y deben aceptarse activamente antes de finalizar la compra.
| Documento | Base normativa | Quién lo exige |
|---|---|---|
| Aviso legal | Art. 10 LSSI-CE | LSSI |
| Política de privacidad | Arts. 13 y 14 RGPD | RGPD y LOPDGDD |
| Política de cookies | Art. 22.2 LSSI-CE + Guía AEPD cookies | LSSI y RGPD |
| Condiciones generales de contratación | RD-leg 1/2007 + Ley 7/1998 condiciones generales | LGDCU |
| Información de devoluciones | Art. 97 y 102 RD-leg 1/2007 | LGDCU |
El servicio anual de Cardeseo entrega estos cuatro documentos personalizados con los datos reales del comercio, los publica en la web del cliente y los actualiza cada año tras la auditoría de mantenimiento, evitando que el comercio quede atrapado con textos obsoletos copiados de hace cinco años. Puedes consultar el detalle del servicio en la página principal de cumplimiento legal o pedir directamente el onboarding RGPD.
Cookies: el Art. 22.2 LSSI, no el RGPD
Una de las confusiones más extendidas en ecommerce es creer que las cookies se rigen por el RGPD. Jurídicamente no es así: el régimen de las cookies está en el Art. 22.2 LSSI-CE, transposición de la Directiva ePrivacy 2002/58/CE, que exige consentimiento previo informado para almacenar o acceder a información en el equipo del usuario, con la única excepción de las cookies estrictamente necesarias para prestar el servicio expresamente solicitado. El RGPD interviene de forma indirecta: define qué se entiende por consentimiento válido (Art. 4.11 y Art. 7), pero la obligación material proviene de la LSSI. La Guía AEPD de cookies actualizada en 2024 desarrolla este marco con criterios operativos vinculantes.
El criterio jurisprudencial determinante es la sentencia del TJUE de 1 de octubre de 2019 en el asunto C-673/17 (Planet49 GmbH), que declaró expresamente que una casilla pre-marcada no constituye consentimiento válido. El consentimiento debe ser una acción positiva, informada, específica e inequívoca. La sentencia Breyer C-582/14, de 19 de octubre de 2016, había sentado además que las direcciones IP dinámicas son datos personales cuando el responsable dispone de medios razonables para identificar al titular, lo que afecta a casi cualquier herramienta analítica desplegada en una tienda online.
Operativamente, el banner de una tienda online debe cumplir: ofrecer un botón de rechazo en la primera capa con la misma visibilidad que el de aceptar, no usar técnicas de scroll-dismiss, granularizar el consentimiento por categorías (necesarias, preferencias, analítica, marketing, redes sociales), permitir retirar el consentimiento con la misma facilidad que se otorgó (Art. 7.3 RGPD) y conservar prueba del consentimiento durante el plazo de prescripción. El uso de un Consent Management Platform (Cookiebot, Iubenda, OneTrust, Didomi o desarrollo propio) facilita la prueba, pero no exonera al responsable de revisar la configuración. Cardeseo audita la configuración del CMP existente y la corrige si falla en alguno de estos puntos, alineando el banner con la doctrina actual de la AEPD.
Base jurídica para datos del comprador
Una de las cuestiones técnicamente más relevantes y peor entendidas es la base jurídica que ampara cada tratamiento dentro de la tienda online. El error típico es pedir consentimiento para todo, incluido el procesamiento del pedido, cuando la base correcta es otra. La consecuencia es doble: por un lado, el comprador puede revocar un consentimiento que jamás debió pedirse y bloquear la prestación; por otro, la información al titular se vuelve incoherente y la AEPD lo detecta en la primera revisión.
La base jurídica para tratar los datos imprescindibles para tramitar un pedido es el Art. 6.1.b RGPD: ejecución de un contrato en el que el interesado es parte, no el consentimiento del Art. 6.1.a. Esto cubre nombre, dirección de envío, dirección de facturación, teléfono de contacto para la entrega y correo para enviar el justificante. El registro de cuenta opcional, en cambio, se sostiene en consentimiento si el comercio permite comprar también como invitado, o en interés legítimo si la cuenta es opcional pero ligada al servicio. Las comunicaciones comerciales sobre productos similares a clientes existentes pueden ampararse en el Art. 21.2 LSSI (excepción del soft opt-in) sin nuevo consentimiento expreso, siempre que se ofrezca opt-out claro y gratuito en cada envío. El remarketing publicitario y la elaboración de perfiles, en cambio, exigen consentimiento del Art. 6.1.a y, cuando producen efectos jurídicos o significativos, del Art. 22 RGPD.
La conservación de los datos del comprador se rige por dos plazos paralelos: 6 años contables por el Art. 30 del Código de Comercio y 4 años fiscales por el Art. 66 LGT, aplicando el plazo más largo. Pasados estos plazos sin nueva interacción, el comercio debe suprimir o anonimizar los datos personales, conservando únicamente los documentos contables y fiscales que justifiquen la facturación. La Guía AEPD para responsables del tratamiento detalla esta articulación. Cardeseo documenta este mapa en el ROPA del cliente (Art. 30 RGPD) y lo refleja en la política de privacidad para que la información sea coherente.
Pasarelas de pago y encargados del tratamiento
Cuando una tienda online delega el cobro en una pasarela (Stripe, Redsys, PayPal, Adyen, Bizum, Klarna), esa pasarela actúa habitualmente como encargado del tratamiento en el sentido del Art. 28 RGPD, salvo configuraciones particulares en las que el operador asume el rol de responsable independiente (típico en Bizum como sistema de pago instantáneo). El comerciante debe formalizar un contrato de encargo que incluya las menciones del Art. 28.3 RGPD: objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos, categorías de interesados, obligaciones del encargado, medidas técnicas, régimen de subencargados, devolución o supresión al término y auditorías. Muchos proveedores publican el contrato como Data Processing Addendum (DPA) accesible desde el panel de la pasarela, que basta con aceptar electrónicamente. El comerciante debe descargarlo, archivarlo y poder mostrarlo en una inspección.
La pasarela certificada PCI DSS gestiona los datos sensibles de la tarjeta (PAN, CVV, fecha) y los aísla del entorno del comercio. Si el comercio quiere capturar la tarjeta en su propio formulario, asume responsabilidad PCI DSS íntegra y la complejidad regulatoria se multiplica. Por eso la práctica del mercado, y la recomendación habitual, es delegar siempre en la pasarela y limitarse a recibir un token de pago.
| Proveedor | Rol más habitual | Sede | Régimen transferencia |
|---|---|---|---|
| Stripe | Encargado | EEUU + UE (Irlanda) | DPF + CCT residuales |
| PayPal | Encargado | Luxemburgo | Intra-UE |
| Redsys | Encargado | España | Intra-UE |
| Adyen | Encargado | Países Bajos | Intra-UE |
| Klarna | Encargado o corresponsable según producto | Suecia | Intra-UE |
| Bizum | Responsable independiente | España | Intra-UE |
| Amazon Pay | Encargado | Luxemburgo | DPF para subencargados |
A los encargados del tratamiento se suman los operadores logísticos (Correos, MRW, GLS, SEUR, UPS, Nacex), también encargados Art. 28 RGPD. Cardeseo entrega un dosier de contratos de encargo listos para firmar con los proveedores típicos del ecommerce, evitando el habitual vacío contractual con el repartidor.
Transferencias internacionales: el camino UE-USA tras Schrems II
Las transferencias de datos personales fuera del Espacio Económico Europeo se rigen por los Arts. 44 a 50 RGPD. Tras la sentencia TJUE de 16 de julio de 2020 (Schrems II, C-311/18) que invalidó el Privacy Shield UE-USA, las empresas europeas tuvieron que reconstruir las transferencias a Estados Unidos sobre la base de Cláusulas Contractuales Tipo (Decisión de Ejecución 2021/914) acompañadas de una evaluación de impacto de la transferencia (Transfer Impact Assessment) que verificara si la legislación del país destinatario garantizaba un nivel de protección esencialmente equivalente al europeo.
La situación cambió con la Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, sobre la adecuación del Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework, DPF). Esta decisión reconoce que las empresas estadounidenses certificadas DPF ofrecen un nivel de protección adecuado, lo que permite transferir datos a esas empresas sin necesidad de instrumentos adicionales del Art. 46 RGPD. El antiguo Privacy Shield está derogado y no es válido como base de transferencia; sustituirlo en los registros internos por el DPF es una tarea pendiente en muchos ecommerce. La lista de empresas certificadas se consulta en dataprivacyframework.gov. Para empresas estadounidenses no certificadas DPF, la transferencia se ampara en Cláusulas Contractuales Tipo más evaluación de impacto, y para terceros países sin decisión de adecuación se exigen además medidas suplementarias (cifrado robusto, seudonimización, contractuales o técnicas).
En el ecommerce español, las herramientas afectadas son numerosas: Google Analytics 4, Meta Pixel, Stripe (parte EEUU), HubSpot, Mailchimp, Klaviyo, ActiveCampaign, Cloudflare, AWS, plataformas SaaS de email marketing y CRMs como Salesforce o Zendesk. Cardeseo elabora el registro de transferencias internacionales del cliente, verifica la certificación DPF actual de cada proveedor y documenta la base jurídica concreta de cada flujo, evitando el incumplimiento silencioso que aparece en inspecciones.
Devoluciones, atención al cliente y SAC
La gestión de devoluciones está sujeta al Art. 102 del RD-leg 1/2007 (Texto Refundido LGDCU): el consumidor dispone de 14 días naturales desde la recepción del bien para desistir sin necesidad de justificación, con devolución íntegra del precio incluidos los gastos de envío del primer envío. La tienda debe poner a disposición un formulario de desistimiento ajustado al modelo del Anexo B del RD-leg 1/2007, y los datos personales recogidos en ese formulario quedan sujetos al RGPD.
La derogación del Reglamento (UE) 524/2013 ODR el 20 de julio de 2025 obliga a revisar los textos legales: hay que retirar el enlace a la antigua plataforma europea, que ya no opera, y sustituirlo por las vías reales de resolución del litigio. La tienda puede ofrecer su propio servicio de atención al cliente, adherirse voluntariamente a un sistema arbitral de consumo (Junta Arbitral de Consumo de la comunidad autónoma, conforme al RD 231/2008) o derivar al consumidor a la oficina municipal de información al consumidor (OMIC). La información debe figurar en las condiciones generales y en el aviso legal.
Las reseñas y opiniones de producto que el comprador deja tras la compra son datos personales identificables cuando incluyen nombre o alias asociable. El responsable debe informar al comprador en el momento de invitarle a opinar, conservar la opinión solo el tiempo necesario, permitir el ejercicio de derechos sobre ella (especialmente rectificación y supresión) y moderar contenidos que vulneren derechos de terceros. La Directiva (UE) 2019/2161 (Omnibus), traspuesta por el RD-ley 24/2021, exige además verificar que las reseñas proceden de compradores reales si el comercio anuncia que las reseñas son verificadas. Cardeseo documenta estos procesos en la política de privacidad y entrega un protocolo interno de gestión de reseñas dentro del onboarding.
Newsletter y email marketing
El envío de comunicaciones comerciales por correo electrónico se rige por el Art. 21 LSSI-CE: regla general de consentimiento previo expreso, con la única excepción del soft opt-in del Art. 21.2 LSSI cuando los datos se obtuvieron en una contratación previa, las comunicaciones se refieren a productos o servicios similares y se ofrece un mecanismo sencillo y gratuito de oposición en cada envío. El consentimiento debe poder probarse (Art. 7.1 RGPD) y, en términos prácticos, esto exige conservar la fecha, la hora, la IP origen y la versión del texto aceptado.
La práctica recomendada por la AEPD para listas de email marketing nuevas es el double opt-in: tras el alta el suscriptor recibe un email con un enlace de confirmación, sin el cual no entra en la lista. Esto reduce el alta de terceros sin permiso y refuerza la prueba del consentimiento. Cada envío debe llevar enlace de baja accesible con un solo clic, sin requerir registro adicional, y la baja debe procesarse en plazo razonable (la práctica del sector se ha estabilizado en 72 horas). El asunto del email debe identificar claramente el carácter comercial, y el remitente debe ser identificable.
El RGPD se cruza con la LSSI en la base jurídica: aunque el Art. 21 LSSI hable de consentimiento, la AEPD ha aclarado que el soft opt-in del Art. 21.2 LSSI no requiere consentimiento RGPD adicional, porque la base jurídica es el interés legítimo del comerciante en mantener la relación con sus clientes existentes (Considerando 47 RGPD). Para destinatarios que nunca han comprado, se exige consentimiento expreso. Cardeseo configura el alta del formulario de newsletter con la cláusula adaptada y entrega el correo de confirmación double opt-in dentro del onboarding.
Brechas de seguridad en tu ecommerce
El Art. 33 RGPD obliga al responsable a notificar a la AEPD cualquier violación de seguridad de los datos personales en un plazo máximo de 72 horas desde su constatación, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas físicas. Si el riesgo es alto, el Art. 34 RGPD impone además comunicarlo a los propios afectados, salvo que el responsable haya aplicado medidas técnicas (cifrado robusto) que conviertan los datos en ininteligibles.
En ecommerce las brechas habituales son varias: filtración de la base de datos de clientes por vulnerabilidad de Magento o WordPress sin parchear, ataque de credential stuffing que compromete cuentas, robo de datos de pago por inyección de skimmer JavaScript en el checkout (Magecart), error de configuración de bucket S3 público, envío masivo de email con todos los destinatarios en CC en lugar de CCO, o exposición de datos por un subencargado. La AEPD ha publicado un Guía de gestión de brechas de seguridad con la metodología recomendada y los formularios de notificación.
La notificación a la AEPD se hace por la sede electrónica sedeagpd.gob.es e incluye: naturaleza de la brecha, categorías y número aproximado de afectados, datos de contacto del DPO o responsable, consecuencias probables, medidas adoptadas y propuestas, y comunicación a interesados si procede. Todas las brechas, notificables o no, deben constar en el registro interno de brechas previsto en el Art. 33.5 RGPD. Cardeseo entrega un protocolo de brechas adaptado a la tienda online y acompaña al cliente durante las primeras 72 horas si se materializa el incidente.
Sanciones AEPD orientativas para ecommerce
El régimen sancionador combina el Art. 83 RGPD (multas de hasta 10 millones de euros o el 2% del volumen de negocio para infracciones del Art. 83.4, y de hasta 20 millones de euros o el 4% para las del Art. 83.5) con el Art. 78 LOPDGDD (infracciones leves prescriben al año, graves a los dos años, muy graves a los tres años). La AEPD aplica la modulación del Art. 83.2 RGPD y la circular sobre criterios de cuantificación, valorando gravedad, carácter intencional, medidas para mitigar el daño, antecedentes, categorías de datos afectadas y grado de cooperación.
Para una pyme de comercio electrónico, las cuantías habituales en resoluciones recientes de la AEPD se sitúan entre 5.000€ y 100.000€ por infracción detectada, según gravedad y reincidencia. Las multas más altas se aplican a tratamientos masivos, a especialmente vulnerables (menores, datos de salud, datos sensibles) o a brechas con afectados numerosos. Las sanciones leves de cookies en pymes se mueven habitualmente en la franja 3.000€ a 30.000€. Los hallazgos sancionados con mayor frecuencia en ecommerce son: banner de cookies sin rechazo en primera capa, política de privacidad genérica que no refleja la realidad de la tienda, ausencia de contrato Art. 28 con encargados, conservación indefinida de la base de clientes, envío de email comercial sin consentimiento válido y falta de notificación de brecha.
Adicionalmente, el Art. 58.2.b RGPD y el Art. 76 LOPDGDD prevén la posibilidad de imponer un apercibimiento en lugar de la multa cuando las circunstancias del caso lo aconsejan (escasa gravedad, ausencia de reincidencia, cooperación rápida). Esta vía es habitual en una primera infracción detectada en una pyme. La estrategia defensiva pasa por documentar la diligencia debida: cuanto más sólido sea el dossier de cumplimiento (ROPA, política, contratos, registro de consentimientos, protocolo de brechas, formación), más probable es la modulación favorable.
Cómo adecua Cardeseo una tienda online
El servicio anual de Adecuación y Cumplimiento Normativo de Cardeseo cuesta 349€/año (paquete tier estándar para pyme estándar con publicación web incluida) y cubre el ciclo completo del ecommerce. La operativa, descrita en el manual interno del estudio, sigue una secuencia ordenada: análisis previo por llamada o cuestionario tras la firma, generación de los siete documentos del pack (aviso legal, política de privacidad, política de cookies, condiciones generales, contratos del Art. 28, protocolo de derechos del titular y protocolo de brechas), publicación en la web del cliente, configuración o auditoría del banner de cookies, entrega del certificado y mantenimiento anual con revisión normativa.
Los hitos del primer año son cuatro: kick-off en la semana 1 (entrevista del responsable y mapeo de tratamientos reales del comercio), entrega documental en la semana 2 a 3 (los siete documentos personalizados), publicación web en la semana 3 a 4 (textos en pie de página, banner, formularios y checkout) y certificado de adecuación al final del proceso. A partir del año 1, el mantenimiento incluye actualización ante cambios normativos (como la derogación del ODR de 2025), acompañamiento ante ejercicios de derechos del titular, soporte ante brecha, y revisión anual con auditoría ligera.
El alcance no incluye consultoría sectorial regulatoria (sanitario, financiero o juguetes con menores, que entran en el tier sectorial) ni representación jurídica plena ante la AEPD en un expediente abierto (que se factura aparte como asistencia letrada). Sí incluye comparecencias preparatorias y revisión de borradores defensivos. Para conocer el alcance exacto puedes leer la propuesta detallada del servicio o lanzar el onboarding RGPD directamente desde la web.
Preguntas frecuentes
¿Necesito banner de cookies si solo uso Google Analytics?
Sí. Google Analytics 4 instala identificadores y procesa datos del usuario, por lo que su uso queda sujeto al Art. 22.2 LSSI-CE. La Guía AEPD de cookies clasifica la analítica como cookie no exenta cuando es de tercero o cuando incluye perfilado, lo que afecta a GA4. Necesitas banner con rechazo en primera capa, granularidad por categorías y prueba del consentimiento. La modalidad sin cookies de GA4 (configuración server-side con consentimiento previo) reduce el riesgo pero no exime del banner.
¿Puedo enviar emails a quien compró sin consentimiento explícito?
Solo si concurren las tres condiciones del soft opt-in del Art. 21.2 LSSI-CE: los datos se obtuvieron en una compra previa, las comunicaciones se refieren a productos o servicios similares a los que adquirió, y cada envío ofrece un mecanismo sencillo y gratuito de oposición. Para destinatarios que nunca compraron, hace falta consentimiento expreso. La AEPD recomienda double opt-in para reforzar la prueba.
¿Mi pasarela de pago necesita contrato de encargo?
Sí cuando la pasarela actúa como encargado del tratamiento. Stripe, PayPal, Redsys, Adyen y Klarna publican un Data Processing Addendum accesible desde el panel del comerciante que basta con aceptar electrónicamente, archivar y poder mostrar en una inspección AEPD. Bizum actúa habitualmente como responsable independiente y no requiere contrato de encargo, sino información al cliente sobre la cesión.
¿Qué pasa con la plataforma ODR?
La plataforma europea ODR del Reglamento (UE) 524/2013 fue derogada el 20 de julio de 2025 por el Reglamento (UE) 2024/3228 y ya no opera. Debes retirar el enlace de tu aviso legal y de tus condiciones generales y sustituirlo por la vía real de resolución del litigio: tu propio servicio de atención al cliente, adhesión voluntaria a Junta Arbitral de Consumo o derivación a la oficina municipal de información al consumidor.
¿Puedo seguir transfiriendo datos a EEUU?
Sí. La Decisión de Ejecución (UE) 2023/1795 de la Comisión, de 10 de julio de 2023, reconoce la adecuación del Data Privacy Framework UE-EE.UU. (DPF) y permite transferir datos a empresas estadounidenses certificadas DPF sin Cláusulas Contractuales Tipo adicionales. El Privacy Shield, en cambio, está derogado y ya no es válido. Verifica la certificación actual del proveedor en dataprivacyframework.gov y documenta la base jurídica en tu registro de transferencias.
¿Cuánto guardo los datos del cliente tras la compra?
Los datos personales del comprador deben suprimirse o anonimizarse cuando ya no son necesarios para la finalidad. Para una compra ordinaria, los plazos paralelos son seis años contables por el Art. 30 del Código de Comercio y cuatro años fiscales por el Art. 66 LGT, aplicando el más largo. Pasado ese periodo conservas solo la documentación contable y fiscal estrictamente necesaria, no la base completa del cliente.
¿La reseña que deja un cliente en mi producto es dato personal?
Sí cuando incluye nombre, alias o cualquier dato que permita identificar al autor. Debes informar al comprador en el momento de invitarle a opinar, conservar la opinión solo el tiempo necesario, permitir el ejercicio de derechos sobre ella y moderar contenidos que vulneren derechos de terceros. Si anuncias que las reseñas son verificadas, la Directiva Omnibus exige que efectivamente verifiques que proceden de compradores reales.
Próximos pasos
Adecuar una tienda online al RGPD no es un proyecto único de auditoría: es un servicio anual que evoluciona con la propia tienda y con la normativa europea. Si quieres conocer en detalle el alcance del paquete completo y el coste exacto para tu caso, consulta la página principal de cumplimiento legal de Cardeseo, que incluye calculadora pública sin formulario. Si prefieres arrancar directamente, el onboarding RGPD cubre el primer ciclo completo con publicación web incluida y certificado final. Para reforzar formularios y altas de cliente puedes apoyarte en la cláusula de formulario RGPD y en el modelo de consentimiento RGPD, ambos alineados con la doctrina AEPD. Si necesitas una base conceptual previa, la guía qué es el RGPD y la guía completa de la AEPD ordenan el marco general antes de entrar en sectoriales. Para los datos identificativos de Cardeseo consulta el aviso legal.