Plantillas RGPDDescarga gratis · PDF

Cláusula protección de datos para formularios [2026]

Modelo de cláusula RGPD para formularios web (contacto, newsletter, alta). Cumple Art. 13 RGPD, LOPDGDD y LSSI-CE. Revisada por jurista.

Descargar PDFAntes, ¿qué tengo que saber?

La cláusula protección de datos es el texto breve que acompaña a todo formulario web (contacto, newsletter, registro o currículum) para informar al usuario sobre el tratamiento de sus datos personales conforme al Art. 13 del Reglamento (UE) 2016/679 (RGPD). En España se complementa con la LOPDGDD (LO 3/2018) y, cuando hay comunicaciones comerciales, con el Art. 21 de la LSSI-CE (Ley 34/2002). En esta guía encontrarás el modelo canónico recomendado por la AEPD, los errores que disparan sanciones del Art. 83 RGPD y una plantilla PDF lista para pegar junto a la casilla de aceptación.

Tabla de contenidos

Qué es la cláusula de protección de datos en un formulario

La cláusula de protección de datos es el bloque informativo visible que se coloca inmediatamente antes o al lado de la casilla de envío de un formulario web. Su función jurídica es cumplir el deber de información del responsable del tratamiento previsto en el Art. 13 RGPD, que se aplica cuando los datos se obtienen directamente del interesado. Sin esa información el consentimiento no se considera informado y, por tanto, deja de ser válido a efectos del Art. 4.11 RGPD, que exige que sea "libre, específico, informado e inequívoco".

En la práctica española, la Agencia Española de Protección de Datos (AEPD) ha consolidado en su Guía RGPD para responsables de tratamiento el modelo de "información en dos niveles": una cláusula corta visible en el propio formulario y un enlace a la política de privacidad completa. Este formato es hoy el estándar aceptado por la AEPD en sus inspecciones y figura en la práctica totalidad de las inspecciones a webs corporativas españolas. La cláusula no es un mero formalismo: es la prueba documental que el responsable aportará si la AEPD abre un procedimiento sancionador al amparo del Art. 83.5.b RGPD.

Cláusula corta vs política de privacidad completa: información en dos niveles

La AEPD distingue con claridad dos documentos distintos que muchas pymes confunden. El primer nivel es la cláusula informativa corta, integrada visualmente en el formulario, que resume en 4-6 líneas los datos esenciales del tratamiento: identidad del responsable, finalidad, base jurídica del Art. 6 RGPD, derechos del interesado y enlace al segundo nivel. El segundo nivel es la política de privacidad completa, alojada en una URL propia (habitualmente /politica-privacidad/), que desarrolla con detalle todos los apartados del Art. 13 RGPD y, cuando aplica, del Art. 14 RGPD para datos obtenidos de terceros.

Esta arquitectura se consolidó en las guías de la AEPD y se ha mantenido en sus actualizaciones posteriores. El objetivo es doble: cumplir el principio de transparencia del Art. 5.1.a RGPD sin saturar la interfaz del formulario, y permitir que el usuario acceda a la información completa con un solo clic. El Comité Europeo de Protección de Datos (CEPD) lo respalda en sus Directrices 5/2020 sobre el consentimiento (versión 1.1, adoptada el 4 de mayo de 2020), donde recuerda que la información debe ser accesible "de manera estratificada". Si solo publicas la política larga sin cláusula corta, incumples la accesibilidad; si solo publicas la cláusula corta sin enlace a la política completa, incumples la exhaustividad. Ambos defectos han sido sancionados por la AEPD en procedimientos contra responsables del sector ecommerce y servicios profesionales. Para el documento extenso conviene utilizar la plantilla de modelo de consentimiento informado RGPD de Cardeseo, que es la pieza hermana de esta cláusula corta.

Qué información obligatoria debe contener la cláusula

El Art. 13.1 y 13.2 RGPD establece la lista cerrada de información que el responsable debe facilitar al interesado en el momento de la recogida. La cláusula corta debe contener al menos un resumen identificable de cada uno de estos nueve apartados, y la política de privacidad enlazada debe desarrollarlos en detalle. Omitir cualquiera de ellos convierte el consentimiento en inválido y expone al responsable a sanción.

La lista canónica del Art. 13 RGPD es: (1) identidad y datos de contacto del responsable y, en su caso, de su representante; (2) datos de contacto del Delegado de Protección de Datos (DPD) cuando exista, conforme al Art. 37 RGPD; (3) fines del tratamiento y base jurídica del Art. 6 RGPD (interés legítimo, consentimiento, ejecución contractual u obligación legal); (4) intereses legítimos perseguidos cuando la base sea el Art. 6.1.f RGPD; (5) destinatarios o categorías de destinatarios de los datos; (6) intención de realizar transferencias internacionales y, en su caso, mecanismo de garantía conforme al Capítulo V RGPD; (7) plazo de conservación o criterios para determinarlo; (8) derechos del titular según los Arts. 15 a 22 RGPD (acceso, rectificación, supresión, limitación, oposición y portabilidad); y (9) derecho a presentar reclamación ante la AEPD por la vía de sedeagpd.gob.es. El Art. 13.2.e RGPD añade que debe informarse de "si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos". La omisión de este último punto es uno de los hallazgos más recurrentes en las inspecciones AEPD a formularios de leads B2B.

Casilla de aceptación: cuándo es obligatoria y cómo debe ser

La casilla de aceptación es el mecanismo técnico que materializa el consentimiento del usuario. Su régimen depende de la base jurídica del Art. 6 RGPD que utilice el responsable. Si la base es el consentimiento (Art. 6.1.a) o el consentimiento explícito para datos del Art. 9 RGPD (salud, biometría, ideología, religión, orientación sexual), la casilla es obligatoria y debe activarse por acción afirmativa clara del usuario. Si la base es la ejecución contractual (Art. 6.1.b) o el interés legítimo (Art. 6.1.f), la casilla informativa no es obligatoria pero sí lo es la cláusula visible.

La sentencia TJUE C-673/17 Planet49 GmbH de 1 de octubre de 2019 zanjó la discusión: una casilla pre-marcada NO constituye consentimiento válido. El usuario debe marcarla activamente. Esta doctrina ha sido aplicada de forma reiterada por la AEPD en procedimientos sancionadores contra responsables que aún utilizaban casillas pre-marcadas para newsletter, considerando que vulneraban el Art. 7 RGPD sobre condiciones del consentimiento. Para el alta en comunicaciones comerciales electrónicas (newsletter, ofertas) se aplica además el Art. 21 de la LSSI-CE (Ley 34/2002), que exige consentimiento previo y expreso, salvo la excepción del Art. 21.2 LSSI para clientes existentes y productos o servicios análogos. La casilla debe ser independiente de cualquier otra: no se admite "aceptar la política de privacidad y las comunicaciones comerciales" en una sola casilla porque vulnera el principio de granularidad del Art. 7.2 RGPD.

Modelos de cláusula según el tipo de formulario

No existe una cláusula universal. El texto cambia según la finalidad del tratamiento y la base jurídica aplicable. A continuación resumimos los cinco modelos más utilizados, todos incluidos en el PDF descargable. La experiencia de revisión del Departamento Legal de Cardeseo sobre formularios de clientes muestra que la mayoría utiliza un texto genérico inadecuado para su tipología real, lo que constituye una infracción del Art. 13 RGPD sancionable por defecto de información.

Formulario de contacto: base jurídica habitual el interés legítimo del Art. 6.1.f RGPD o el consentimiento; finalidad atender la consulta; conservación hasta cierre del expediente más plazos de prescripción civil. Formulario de newsletter: base el consentimiento del Art. 6.1.a RGPD combinado con el Art. 21.1 LSSI; finalidad envío de comunicaciones comerciales; casilla obligatoria, no pre-marcada, separada de otras. Formulario de currículum: base el consentimiento para procesos selectivos del Art. 6.1.a RGPD; finalidad participación en procesos de selección; conservación máxima recomendada por AEPD un año, salvo consentimiento expreso para prórroga. Formulario de registro de usuario: base la ejecución contractual del Art. 6.1.b RGPD; finalidad prestación del servicio; conservación durante la vida de la cuenta más plazos legales. Formulario de comentarios en blog: base el interés legítimo del Art. 6.1.f RGPD o el consentimiento; finalidad moderación y publicación; especial atención a la dirección IP, considerada dato personal por el TJUE en el asunto C-582/14 Breyer de 19 de octubre de 2016. Cada modelo debe adaptarse a la identidad concreta del responsable.

Cómo pegar la cláusula en tu formulario paso a paso

La integración técnica varía según el CMS, pero el flujo conceptual es siempre el mismo. En WordPress con plugins como Contact Form 7, WPForms o Gravity Forms, la cláusula se inserta como campo HTML libre justo encima del botón de envío, acompañada de un campo acceptance (CF7) o checkbox obligatorio que materializa el consentimiento. En Shopify, Webflow o Wix el procedimiento es análogo mediante bloques de texto enriquecido y campos de formulario nativos. En desarrollos a medida sobre Next.js, Laravel o Django, la cláusula se renderiza como componente reutilizable y el checkbox queda vinculado al estado del formulario con validación obligatoria en cliente y servidor.

El paso menos visible pero más crítico es la trazabilidad del consentimiento exigida por el Art. 7.1 RGPD: el responsable debe poder demostrar que el interesado consintió. Esto implica registrar en base de datos la fecha y hora del consentimiento, la versión exacta del texto aceptado (hash o ID de versión), la dirección IP y, opcionalmente, el user-agent. Sin esa traza no podrás acreditar el consentimiento ante una inspección AEPD ni ante una solicitud de derecho de acceso del Art. 15 RGPD. Recomendamos guardar los registros de consentimiento al menos durante el plazo de prescripción de las infracciones administrativas previsto en el Art. 78 LOPDGDD (1 a 3 años según gravedad) y, en cualquier caso, durante la prescripción de las acciones civiles asociadas al tratamiento (Art. 1964 CC). Si tu CMS no soporta esta trazabilidad de forma nativa, conviene integrarlo con una plataforma de consent management o con un endpoint propio que persista cada evento.

Errores frecuentes en cláusulas de formularios

La auditoría rutinaria de cláusulas RGPD que realiza el Departamento Legal de Cardeseo identifica reiteradamente los mismos defectos en formularios de pyme española. Conviene revisarlos uno a uno antes de publicar cualquier formulario nuevo. La detección temprana evita procedimientos sancionadores y reclamaciones individuales basadas en el Art. 82 RGPD (derecho a indemnización).

El primer error es la casilla pre-marcada, expresamente prohibida por la doctrina Planet49 (TJUE C-673/17). El segundo es omitir el derecho a reclamar ante la AEPD, requisito explícito del Art. 13.2.d RGPD. El tercero es no enlazar la política de privacidad completa, lo que reduce la cláusula corta a información insuficiente. El cuarto es mezclar finalidades distintas en una sola casilla (atención de consulta + newsletter + perfilado comercial), vulnerando el principio de granularidad del Art. 7.2 RGPD. El quinto es invocar el interés legítimo del Art. 6.1.f RGPD sin acreditarlo mediante un test de ponderación previo, exigido por el considerando 47 RGPD. El sexto es usar bases jurídicas incompatibles: por ejemplo, declarar consentimiento como base y a la vez "obligatorio para enviar el formulario", lo que invalida la libertad del consentimiento conforme al Art. 7.4 RGPD. El séptimo, frecuentísimo, es citar la LOPD de 1999, ya derogada desde la entrada en vigor de la LOPDGDD el 7 de diciembre de 2018; esa cita por sí sola revela una cláusula desactualizada y es indicio de incumplimiento general.

Descargar la plantilla de cláusula

Cláusula RGPD para formularios

Cinco modelos de cláusula corta (contacto, newsletter, currículum, registro y comentarios) listos para pegar junto al checkbox.

Descarga directa, sin formulario · Descargar →

La plantilla incluye los cinco modelos descritos, las variables personalizables (responsable, finalidad, base jurídica, plazo de conservación, DPD) y notas al pie con la referencia al artículo del RGPD que respalda cada apartado. Para una revisión integral de todos tus formularios y políticas, valora nuestro servicio de adecuación RGPD.

Sanciones por cláusula defectuosa o ausente

El régimen sancionador del RGPD se articula en dos niveles. El Art. 83.4 RGPD prevé multas de hasta 10.000.000 € o el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la cuantía mayor, para infracciones de obligaciones del responsable (entre ellas, las relativas al consentimiento y a medidas técnicas). El Art. 83.5 RGPD eleva el techo a 20.000.000 € o el 4 % de la facturación anual para infracciones de los principios básicos (incluido el deber de información del Art. 13) y de los derechos del interesado.

En el contexto español, la AEPD complementa este régimen con los Arts. 71 a 78 LOPDGDD, que tipifican las infracciones como leves, graves y muy graves y fijan plazos de prescripción de uno, dos y tres años respectivamente. En la práctica sancionadora reciente contra pymes y autónomos por defectos en cláusulas de formularios, los importes ORIENTATIVOS observados se mueven habitualmente entre 5.000 € y 100.000 €, modulados por los criterios del Art. 83.2 RGPD (gravedad, intencionalidad, medidas adoptadas, categorías de datos, cooperación con la AEPD). Para responsables pequeños, la AEPD aplica con frecuencia el régimen del Art. 58.2.b RGPD sobre apercibimiento y los criterios de graduación de los Arts. 83.2 RGPD y 76 LOPDGDD, que permiten advertencia previa o multa atenuada cuando la infracción se subsana en plazo. No conviene confiar en este cauce: el modo más eficaz de evitar sanción es publicar una cláusula correcta desde el primer día.

Preguntas frecuentes

¿Qué texto exacto debo poner en un formulario de contacto RGPD?

El texto debe identificar al responsable (denominación y NIF), describir la finalidad (atender la consulta), citar la base jurídica del Art. 6 RGPD (normalmente consentimiento o interés legítimo), enumerar los derechos del titular y enlazar la política de privacidad completa. La plantilla PDF de Cardeseo incluye el modelo literal listo para pegar.

¿Cuál es la diferencia entre cláusula y política de privacidad?

La cláusula es el texto corto visible junto al formulario (primer nivel de información AEPD); la política de privacidad es el documento extenso alojado en una URL propia que desarrolla todo el Art. 13 RGPD (segundo nivel). Ambos son obligatorios y se complementan: sin cláusula incumples accesibilidad, sin política incumples exhaustividad.

¿Es válida una casilla pre-marcada en formularios web?

No. La sentencia TJUE C-673/17 Planet49 de 1 de octubre de 2019 estableció que una casilla pre-marcada no constituye consentimiento válido a efectos del RGPD. El usuario debe marcarla activamente. La AEPD aplica esta doctrina en todos sus procedimientos sancionadores relacionados con newsletter y registro web.

¿Cómo añado una cláusula RGPD a un formulario de WordPress?

En Contact Form 7 insertas un bloque HTML con el texto de la cláusula y un campo [acceptance] obligatorio antes del botón de envío. En WPForms y Gravity Forms el procedimiento equivale: campo de texto enriquecido más checkbox obligatorio. Recuerda registrar fecha, hora, IP y versión del texto aceptado para cumplir el Art. 7.1 RGPD.

¿Qué pasa si mi formulario web no tiene cláusula RGPD?

Incumples el deber de información del Art. 13 RGPD y el principio de transparencia del Art. 5.1.a RGPD. La AEPD puede iniciar procedimiento sancionador del Art. 83.5 RGPD con multas de hasta 20.000.000 € o el 4 % de la facturación. En pymes, los importes orientativos recientes oscilan entre 5.000 € y 100.000 € según las circunstancias del Art. 83.2 RGPD.

¿La cláusula sirve para datos especialmente protegidos del Art. 9 RGPD?

No es suficiente. Para datos de salud, biometría, ideología, religión, afiliación sindical u orientación sexual, el Art. 9.2.a RGPD exige consentimiento explícito y reforzado, no solo informado. Necesitarás un formulario específico con cláusula ampliada y, normalmente, un documento de consentimiento informado separado (ver plantilla hermana de Cardeseo).

¿Una microempresa también debe publicar cláusula RGPD?

Sí. El RGPD se aplica con independencia del tamaño del responsable. La única excepción parcial es la exención del registro de actividades del Art. 30.5 RGPD para entidades de menos de 250 empleados sin tratamientos de riesgo, pero el deber de información del Art. 13 RGPD se mantiene íntegro para cualquier formulario que recoja datos personales.

Próximos pasos

Descargar la plantilla es el primer paso, no el último. La cláusula debe adaptarse a tu responsable, integrarse técnicamente con trazabilidad del consentimiento y alinearse con el resto de tu arquitectura de cumplimiento: política de privacidad, registro de actividades del Art. 30 RGPD, política de cookies del Art. 22.2 LSSI-CE y, cuando proceda, designación de DPD del Art. 37 RGPD. Cualquier inconsistencia entre la cláusula y el resto del corpus documental es un hallazgo casi automático en inspección AEPD.

Si prefieres delegar esta capa documental en un equipo legal especializado, el servicio de adecuación RGPD de Cardeseo cubre auditoría inicial, redacción de cláusulas a medida para cada formulario, política de privacidad, registro de actividades y formación interna del responsable, con cobertura de responsabilidad civil profesional de 1.500.000 €. El plazo medio de onboarding es de 7 a 14 días naturales según la complejidad del cliente. Puedes consultar el marco de cumplimiento legal de Cardeseo. Para el documento extenso de consentimiento informado, descarga también el modelo de consentimiento RGPD y, si gestionas personal interno, el registro de jornada laboral en PDF. Disclosure: Cardeseo presta servicios profesionales de cumplimiento RGPD; este contenido es informativo y no sustituye asesoramiento jurídico personalizado.

Otras plantillas del mismo bloque

← Volver a plantillasCalcular mi tarifa RGPD →