Si tiene una web profesional en España, tiene obligaciones legales. No son sugerencias ni buenas prácticas opcionales: son obligaciones con respaldo legal y sanciones reales. La AEPD impuso en 2024 un total de 27 millones de euros en multas, el 72% a autónomos y pequeños negocios. Esta historia, con nombres ficticios pero hechos reales, explica lo que ocurre cuando esas obligaciones no se cumplen, y cómo verificar si su web está expuesta ahora mismo.
La historia: cómo llega una multa de 3.200€
9:47 de la mañana. El sobre certificado espera en el buzón. Remitente: Agencia Española de Protección de Datos.
Digamos que el destinatario es fisioterapeuta en Sevilla. Llamémosle Javier, aunque podría ser Carmen en Valencia, o Miguel en Madrid, o cualquier profesional de los miles que reciben cada año una comunicación de este tipo.
Javier abre el sobre. Lee:
"Expediente sancionador. Infracción: artículos 6, 7 y 13 del RGPD. Multa propuesta: 3.200 euros."
Su web lleva tres años online. Tres años generando consultas. Tres años sin un solo problema. Hasta hoy.
Lee la notificación completa. Apartado 3.2:
"Instalación de cookies analíticas (Google Analytics) sin consentimiento previo del usuario. Las cookies se activan automáticamente al cargar la página, antes de que el usuario interactúe con el banner."
Javier abre su web. Tiene banner de cookies. "Esta web utiliza cookies para mejorar tu experiencia." Pero el banner aparece después de que las cookies ya se han activado.
Apartado 4.1: política de privacidad genérica, sin base legal, sin plazos de conservación, sin procedimiento ARCO. Apartado 5.3: origen del expediente: denuncia presentada el 14 de enero de 2025. No fue una inspección aleatoria. Alguien denunció su web específicamente.
Dos horas después, Javier busca "fisioterapeuta Sevilla Este". En primera posición: su competidor directo, a 800 metros. Abre su web. Banner con botones "Aceptar" y "Rechazar" visibles. Hace clic en "Rechazar", abre F12, refresca. Google Analytics no se carga. Política de privacidad adaptada específicamente a servicios de fisioterapia. La web se renovó en diciembre de 2024 — dos meses antes de la denuncia.
La AEPD tramita denuncias de cualquier persona que detecte infracciones en un sitio web. El mecanismo es legal y la AEPD lo fomenta como herramienta de control ciudadano. Un profesional con web conforme está en mejor posición que uno que no la tiene, frente a la AEPD y frente a cualquier denuncia.
Lo que el diseñador no hizo (y nadie comprueba)
2022. Javier contrató un diseñador web por 350 euros en un grupo de Facebook. La conversación fue así:
"¿Incluye todo lo legal? Aviso legal, privacidad, esas cosas del RGPD..."
"Sí, tranquilo. Lo incluyo todo. Llevo 50 webs hechas para autónomos."
"¿Y las cookies? Tengo entendido que hay que pedir permiso..."
"Te pongo un banner. El usuario acepta y ya está. Estándar."
"¿Seguro que cumple la ley?"
"Totalmente. Es la misma configuración que uso en todas mis webs."
Esa última frase era cierta. Y ese era exactamente el problema.
El diseñador copió una plantilla de política de privacidad y cambió "Nombre de empresa" por "Javier López Fisioterapia". Instaló un plugin de cookies con ajustes por defecto. Instaló Google Analytics sin configurar el consentimiento previo real. El resultado: una web que parecía cumplir pero no cumplía, idéntica a otras 49 que había entregado a otros autónomos. La elección de la herramienta —WordPress o desarrollo a medida— no cambia esta responsabilidad: el cumplimiento legal no está incluido por defecto en ninguna solución.
Lo que ningún diseñador barato verifica: que Google Analytics no se cargue antes de la aceptación, que el banner permita rechazar (no solo cerrar), que la política de privacidad esté adaptada a su actividad específica, y que el Aviso Legal incluya todos los datos exigidos por la LSSI-CE.
Las tres infracciones más comunes en webs de autónomos
Según la memoria anual de la AEPD correspondiente a 2024, los incumplimientos más frecuentes en pequeños negocios son la falta de consentimiento válido para cookies, las deficiencias en la política de privacidad y la ausencia o incompletitud del aviso legal. Estas tres infracciones son las que aparecen en el expediente de Javier — y en el de la mayoría de profesionales que reciben una notificación.
Las tres infracciones acumuladas
2.800 – 6.500 € de sanción total
Fuente: Memoria anual AEPD 2024 — resoluciones documentadas en pequeños negocios
Verifique su web ahora mismo
Abra su web en modo incógnito y responda estas preguntas:
¿Aparece un banner de cookies? Si no: problema grave. Su web instala cookies sin informar al usuario.
¿El banner tiene botón de "Rechazar" visible? Si solo tiene "Aceptar" o una X: incumplimiento. El RGPD exige que rechazar sea tan fácil como aceptar.
¿Rechazar el banner impide que Google Analytics se cargue? Verifique en F12, pestaña Network. Si Analytics aparece igualmente: cumplimiento cosmético, no real.
¿Su política de privacidad menciona su actividad específica, base legal, plazos de conservación y derechos ARCO? Si es genérica: problema.
¿Su Aviso Legal incluye nombre o razón social, NIF y dirección postal completa? Si falta alguno: incumplimiento LSSI-CE.
¿Su URL empieza con https:// y muestra candado? Si empieza con http://: violación directa del RGPD y penalización en posicionamiento.
Si falló cualquiera de estas comprobaciones, su web no cumple. Y si no cumple, está expuesta a una denuncia ante la AEPD.
Javier contrató a un desarrollador web en Madrid especializado en cumplimiento RGPD. Coste: 400-700 euros. Una semana. GA4 configurado con consentimiento previo real, política de privacidad adaptada a fisioterapia, banner funcional, derechos ARCO añadidos. Después pagó la multa. La AEPD cerró el expediente con sanción reducida un 20% por rectificación inmediata.
Su decisión ahora mismo
Ignorar este artículo. Confiar en que su web cumple y en que nadie la denunciará. El riesgo, si está equivocado: entre 2.000 y 6.500 euros de multa más el coste de corrección.
Verificar su web ahora. Usar la checklist anterior. Si detecta problemas, contratar a un profesional para corregirlos. Coste estimado: 500-800 euros si hay infracciones, cero si todo está correcto. Tiempo: una semana.
Contratar web nueva bien hecha desde el principio. Si su web tiene más de tres o cuatro años, probablemente esté anticuada también en velocidad, diseño móvil y posicionamiento. Una web corporativa profesional con cumplimiento legal completo incluido resuelve todo a la vez.
La historia de Javier refleja hechos reales con nombres ficticios. La pregunta no es si la AEPD llegará a su web. La pregunta es si su web cumple hoy lo que la ley exige.
¿Su web cumple RGPD y LSSI-CE?
Auditoría completa de cumplimiento legal y técnico. Si detectamos infracciones, las corregimos. Si todo está en orden, se lo confirmamos. Primera consulta sin coste.
Solicitar auditoría gratuitaNota sobre fuentes: Los datos sobre sanciones proceden de la Memoria anual AEPD 2024 y de la memoria 2025 publicada en mayo de 2026. La normativa de referencia es el RGPD (UE 2016/679), la LOPD-GDD (LO 3/2018) y la LSSI-CE (Ley 34/2002). La historia presentada refleja hechos reales con nombres ficticios por protección de datos. Carácter informativo. Para asesoramiento legal específico, consulte con un abogado especializado en derecho digital.
