El toolkit RGPD: Todas las herramientas que necesitas para dejar de incumplir la ley europea
Los banners de cookies son solo el comienzo. Aquí está el stack completo para gestionar un sitio web que no te costará 20 millones de euros en multas.
Déjame adivinar: Añadiste un banner de cookies, lo diste por hecho, y esperaste que nadie notara el script de Google Analytics disparándose antes del consentimiento.
Malas noticias: Los reguladores lo notaron. 2024 tuvo multas RGPD récord. 2025 fue peor. 2026 pinta brutal.
Buenas noticias: El cumplimiento no es tan difícil una vez que sabes qué herramientas usar.
Las matemáticas incómodas: Las multas RGPD pueden alcanzar 20 millones de euros o el 4% de los ingresos globales -lo que sea mayor. No es un error. Esa cláusula de “lo que sea mayor” ha llevado a la quiebra a empresas.
Esto no es asesoramiento legal. Es un toolkit práctico de alguien que ha ayudado a más de 30 sitios web a cumplir sin perder la cabeza.
El stack de cumplimiento RGPD
Aquí está todo lo que necesitas, organizado por función:
| Categoría | Qué hace | Primera opción | Coste |
|---|---|---|---|
| Gestión de consentimiento | Banners de cookies, registros | Cookiebot | 9-108€/año |
| Analítica | Rastrear visitantes legalmente | Plausible | 9-69€/mes |
| Email marketing | Newsletters conformes con RGPD | Mailjet | Gratis-15€/mes |
| Formularios y datos | Recoger datos correctamente | Tally | Gratis-29€/mes |
| Política de privacidad | Generar documentos legales | iubenda | 27-99€/año |
| Solicitudes de datos | Gestionar DSAR | OneTrust | Tier gratuito |
| Hosting | Residencia de datos en la UE | Hetzner | 4-20€/mes |
| CDN | Entrega conforme con la UE | Bunny CDN | 0,01€/GB |
Vamos a desglosar cada categoría.
Consentimiento de cookies: La parte visible del RGPD
Esto es lo que los usuarios ven. También es lo primero que comprueban los reguladores.
Lo que realmente necesitas
El requisito legal: Obtener consentimiento explícito e informado ANTES de establecer cookies no esenciales. No “consentimiento implícito”. No “al usar este sitio aceptas”. Consentimiento real, afirmativo y revocable.
Las herramientas
Cookiebot - El estándar de la industria
Cookiebot es lo que la mayoría de consultores de cumplimiento recomiendan. Escanea automáticamente tu sitio, categoriza cookies, bloquea scripts hasta el consentimiento y mantiene registros de auditoría.
La magia: Realmente bloquea Google Analytics, Facebook Pixel y otros scripts antes del consentimiento. No con peticiones de “por favor no rastrees” basadas en el honor -con bloqueo real de JavaScript.
Tier gratuito: Funciona para sitios de menos de 50 páginas. Más allá, 108€/año.
Consent Manager (Usercentrics) - Para sitios más grandes
Más personalizable que Cookiebot. Mejor para sitios complejos con múltiples dominios, integraciones personalizadas o requisitos de cumplimiento empresarial.
Precio: Empieza en unos 50€/mes. Enterprise se encarece rápido.
La opción DIY - Osano Open Source
Si eres técnico y tacaño, el gestor de consentimiento open source de Osano funciona. Tú lo alojas. Tú lo mantienes. Aceptas que el soporte es “lee los issues de GitHub.”
Precio: Gratis para siempre. Tu tiempo es el coste.
Error común: Añadir un banner de cookies que no hace nada. El banner debe realmente bloquear los scripts de tracking hasta el consentimiento. Una notificación decorativa de “usamos cookies” es peor que nada -es evidencia de que conocías la ley y elegiste la estética sobre el cumplimiento.
Checklist de implementación
- El banner aparece antes de que carguen cookies no esenciales
- “Aceptar todas” y “Rechazar todas” son igualmente prominentes
- Los usuarios pueden cambiar preferencias después
- El consentimiento se registra con timestamp
- Los scripts solo se disparan tras consentimiento explícito
Alternativas a Google Analytics: Ver tu tráfico legalmente
Google Analytics es el mayor dolor de cabeza RGPD para la mayoría de sitios. Los datos van a América. Google los usa para publicidad. La base legal es… cuestionable como mucho.
Las opciones conformes con la UE
Plausible - La elección recomendada
Sin cookies. Sin necesidad de banner de consentimiento para analítica. Solo servidores UE. Código abierto. Te muestra todo lo que realmente necesitas -páginas vistas, referrers, geografía -sin la invasión de privacidad.
Mejor para: El 90% de webs que solo necesitan datos básicos de tráfico.
Matomo - El reemplazo de GA
¿Quieres las funciones de Google Analytics sin Google? Matomo es equivalente en funciones. Mapas de calor, embudos, flujos de usuario -todo está ahí.
El trade-off: Más complejo. Puede requerir cookies (configurable). Opción self-hosted disponible.
Precio: Cloud empieza en 19€/mes. Self-hosted es gratis (pagas el hosting).
Fathom - La opción premium simple
Como Plausible pero ligeramente más cara y más establecida. Empresa canadiense con servidores UE.
Precio: Empieza en $15/mes.
Árbol de decisión de analítica
¿Necesitas funciones avanzadas (embudos, mapas de calor)? → Matomo
¿Solo necesitas lo básico de tráfico? → Plausible
¿Quieres máxima simplicidad? → Fathom
¿Presupuesto cero? → Umami (self-hosted)Newsletters que no te multarán
El email marketing bajo RGPD requiere:
- Opt-in explícito (sin casillas pre-marcadas)
- Unsubscribe fácil
- Registros de consentimiento
- Datos almacenados en ubicaciones conformes
Las opciones seguras de la UE
Mailjet - Mejor tier gratuito
Propiedad de Sinch (empresa sueca). Procesamiento de datos en UE. Funciones de automatización sólidas. El tier gratuito es realmente usable.
Brevo (ex-Sendinblue) - Todo en uno
Empresa francesa. CRM, email, SMS, chat todo en una plataforma. Bueno para empresas que quieren comunicación unificada con clientes.
Precio: Gratis a 25€/mes dependiendo del volumen.
Mailchimp - Con matices
Sí, es americana. Sí, puede ser conforme con el RGPD. Necesitas:
- Activar el centro de datos de la UE
- Firmar su DPA
- Usar doble opt-in
- Leer realmente su documentación de cumplimiento
Para listas pequeñas, las alternativas de la UE son más fáciles. Para empresas establecidas ya en Mailchimp, la migración quizás no valga la pena.
Doble opt-in: El usuario se registra → recibe email → clica enlace de confirmación → solo entonces se añade a la lista. Requerido en Alemania, muy recomendado en todas partes. Mailjet y Brevo lo facilitan.
Recoge datos sin coleccionar demandas
Cada formulario en tu sitio es un punto de recolección de datos. Cada punto de recolección necesita consideración RGPD.
Los constructores de formularios conformes
Tally - Simple, alojado en la UE
El Notion de los constructores de formularios. Interfaz limpia, funciones potentes, realmente respeta la privacidad. Sin trackers externos. Residencia de datos en la UE.
El tier gratuito es salvaje: Todo ilimitado. Ganan dinero con funciones premium, no vendiendo los datos de tus encuestados.
Typeform - Con configuración
Empresa española, pero usa AWS (incluyendo regiones de EE.UU.). Se puede configurar para procesamiento solo-UE. Formularios bonitos, buena UX, requiere leer su documentación de privacidad.
Precio: 25-83€/mes.
FormKeep - Para desarrolladores
Recibe envíos de formularios, los almacena de forma segura, reenvía a tu email/webhook. Sin constructor fancy -solo manejo seguro de datos.
Mejor para: Sitios estáticos que solo necesitan un backend de formularios.
Checklist de cumplimiento de formularios
- Política de privacidad enlazada desde cada formulario
- Explicación clara de por qué recoges los datos
- Casilla separada para consentimiento de marketing (no agrupado con el envío)
- Datos almacenados en jurisdicción UE
- Proceso para eliminar datos bajo petición
Políticas de privacidad que realmente funcionan
“Respetamos tu privacidad” no es una política de privacidad. Necesitas documentación específica y precisa sobre qué datos recoges y por qué.
Generadores de políticas de privacidad
iubenda - El estándar
Generador basado en cuestionario. Respondes preguntas sobre tu sitio, obtienes documentos revisados legalmente. Se actualiza automáticamente cuando cambian las leyes.
El valor: Las políticas escritas por abogados cuestan 500-2000€. iubenda cuesta 27€/año.
Termageddon - Auto-actualizable
Concepto similar, empresa americana con cumplimiento RGPD. Las políticas se actualizan automáticamente cuando cambian las regulaciones.
Precio: $99/año por todos los documentos.
Advertencia DIY
¿Puedes escribir tu propia política de privacidad? Técnicamente sí. ¿Deberías? Solo si eres abogado de protección de datos o disfrutas el drama de tribunales.
Una política de privacidad escrita por una IA o copiada de una plantilla es una política de privacidad esperando a ser probada en un tribunal. Plantilla más revisión de abogado es el mínimo para cualquier sitio serio.
Gestionar peticiones de “Borra mis datos”
El RGPD da derechos a los usuarios: acceso, eliminación, portabilidad. Cuando ejercen esos derechos, tienes 30 días para responder.
Herramientas DSAR (Data Subject Access Request)
OneTrust - Tier gratuito disponible
Líder de la industria para gestión de privacidad empresarial. Su tier gratuito maneja la recepción y seguimiento básico de DSAR.
Caso de uso: Recibes peticiones de eliminación ocasionales y necesitas rastrearlas.
Mine - Enfocado al consumidor
Ayuda a individuos a solicitar sus datos a empresas. Si eres una empresa, recibirás peticiones a través de su plataforma.
Qué hacer: Configura un proceso para manejar peticiones de Mine y servicios similares.
El enfoque manual
Para sitios pequeños:
- Crea una dirección email: [email protected]
- Documenta tu inventario de datos (qué recoges, dónde se almacena)
- Crea una hoja de cálculo para rastrear peticiones
- Responde en 30 días
Consejo pro: La mayoría de sitios pequeños pueden manejar DSAR manualmente. Solo necesitas herramientas de automatización cuando recibes más de unas pocas peticiones al mes.
Donde viven físicamente tus datos importa
La residencia de datos no es solo sobre dónde está incorporado tu proveedor de hosting -es sobre dónde están físicamente los servidores.
Hosting basado en la UE
Hetzner - El favorito de los desarrolladores
Excelente relación calidad-precio, ingeniería alemana, infraestructura de primera. Usado por proyectos conscientes de la privacidad en toda Europa.
Scaleway - La opción francesa
Centros de datos en París y Ámsterdam. Buen soporte de Kubernetes. Precios competitivos.
Precio: Empieza en 7€/mes para compute.
OVHcloud - El gigante europeo
Empresa francesa, centros de datos por toda Europa. Más enfocado a enterprise pero tiene tiers asequibles.
CDN: Bunny vs Cloudflare
Bunny CDN: Empresa eslovena. Puedes elegir ubicaciones de edge solo-UE. Precios de 0,01€/GB.
Cloudflare: Empresa americana. Tiene opciones solo-UE pero requiere plan Enterprise para procesamiento garantizado solo-UE. El tier gratuito procesa datos globalmente.
Para cumplimiento estricto RGPD: Bunny CDN con ubicaciones edge de la UE. Para “suficientemente bueno” con mejores funciones: Cloudflare con su suite de localización de datos UE.
Mi stack RGPD recomendado
Para un sitio web de negocio típico:
| Capa | Herramienta | Coste/mes |
|---|---|---|
| Hosting | Hetzner VPS | 5€ |
| CDN | Bunny CDN | ~2€ |
| Analítica | Plausible | 9€ |
| Consentimiento | Cookiebot | 9€ |
| Formularios | Tally | Gratis |
| Mailjet | Gratis-15€ | |
| Docs legales | iubenda | ~3€ |
| Total | ~28-43€/mes |
Compara con: Una multa RGPD para pequeña empresa: 5.000-50.000€.
Las matemáticas son obvias.
El orden de implementación
Si empiezas de cero, haz esto en orden:
Semana 1: Fundamentos
- Mueve el hosting a proveedor UE
- Reemplaza Google Analytics con Plausible
- Añade gestión de consentimiento (Cookiebot)
Semana 2: Documentación
- Genera política de privacidad (iubenda)
- Audita todos los formularios -añade avisos de privacidad
- Configura [email protected]
Semana 3: Refinamiento
- Prueba el flujo de consentimiento -verifica que los scripts realmente se bloquean
- Configura residencia de datos UE para proveedor de email
- Documenta tu inventario de datos
Continuo
- Responde a peticiones de datos en 30 días
- Revisa herramientas trimestralmente para actualizaciones de cumplimiento
- Actualiza política de privacidad cuando añadas nuevas funciones
Checklist de auditoría rápida
Pasa esto para cualquier sitio existente:
Consentimiento
- El banner de cookies aparece antes de scripts no esenciales
- Se pueden rechazar todas las cookies en 1 clic (no enterrado en configuración)
- El consentimiento se registra con timestamp
- Se puede retirar el consentimiento después
Analítica y tracking
- La herramienta de analítica almacena datos en la UE
- Sin tracking antes del consentimiento (o usando analítica sin cookies)
- Sin Facebook Pixel sin consentimiento explícito
- Sin Google Analytics sin consentimiento (o usando GA4 con modo consentimiento)
Recolección de datos
- Política de privacidad enlazada desde todos los formularios
- Registro de email usa doble opt-in
- Propósito claro indicado para cada formulario
- Consentimiento de marketing separado del transaccional
Documentación
- La política de privacidad existe y es precisa
- La política de cookies lista todas las cookies con propósitos
- Existe método de contacto para peticiones de datos
- Registros de actividades de procesamiento documentados
Infraestructura
- Hosting en jurisdicción UE
- CDN usa ubicaciones edge de la UE (o está bien configurado)
- Backups almacenados en la UE
- Herramientas de terceros tienen DPAs firmados
Errores comunes que veo constantemente
“Somos demasiado pequeños para que nos multen” Falso. Las pequeñas empresas reciben multas. Las multas son menores pero siguen doliendo. Una multa de 10.000€ duele más a una pequeña empresa que una multa de 10 millones € a una multinacional.
“Añadimos un banner de cookies, cumplimos” Un banner que no bloquea scripts es decoración, no cumplimiento. Pruébalo -desactiva JavaScript y mira si los píxeles de tracking siguen cargando.
“Nuestra herramienta de EE.UU. dice que cumple con el RGPD” El cumplimiento no es binario. Una herramienta de EE.UU. puede configurarse de forma conforme, pero necesitas verificar el procesamiento de datos UE, firmar su DPA, y a menudo actualizar a tiers de pago.
“No recopilamos datos personales” Las direcciones IP son datos personales. Las direcciones de email son datos personales. ¿Ese formulario de contacto que olvidaste? Datos personales.
Recursos
- GDPR.eu - Guía en inglés claro sobre la regulación
- ICO (UK) - Mejores documentos de orientación incluso para la UE
- CNIL (Francia) - Interpretaciones más estrictas, bueno para entender límites
Relacionado:
- Analítica privacy-first comparada
- Opciones de almacenamiento cloud UE
- Por qué el software de la UE importa
Última actualización: Enero 2026. Esto no es asesoramiento legal -consulta con un profesional de protección de datos para tu situación específica.