Las nuevas obligaciones del DPD en el entorno web multicanal

El artículo 39 del Reglamento General de Protección de Datos (RGPD, UE 2016/679) atribuye al Delegado de Protección de Datos (DPD) un conjunto de funciones que van más allá del asesoramiento puntual: supervisar el cumplimiento del propio RGPD y de las disposiciones nacionales, cooperar con la autoridad de control —en España, la Agencia Española de Protección de Datos (AEPD)— y actuar como punto de contacto para los interesados. La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) concreta, en sus artículos 34 a 37, los sectores donde la designación del DPD es obligatoria: colegios profesionales, centros docentes, entidades aseguradoras, entidades financieras, empresas de seguridad privada, operadores de comunicaciones electrónicas y administraciones públicas, entre otros.

El reto práctico que enfrentan hoy los DPDs —tanto internos como externos— es la multiplicación de los canales digitales: sitio web corporativo, portal de clientes, tienda en línea, aplicaciones móviles, formularios de captación de leads y presencia en redes sociales. Cada canal puede implicar tratamientos de datos diferenciados, con bases jurídicas, plazos de conservación y proveedores de servicios distintos. Supervisar manualmente todos estos puntos de contacto es inviable a escala.

El artículo 5.2 del RGPD consagra el principio de responsabilidad proactiva(accountability): el responsable del tratamiento debe no solo cumplir el Reglamento, sino estar en condiciones de demostrarlo. Esto exige documentación continua, registros actualizados y evidencia de las medidas adoptadas. La auditoría periódica del sitio web es, en este contexto, una exigencia implícita de dicho principio. La AEPD ha señalado en múltiples resoluciones que la ausencia de controles preventivos agrava la responsabilidad del responsable del tratamiento en caso de infracción.

Qué debe contener un sitio web conforme al RGPD en España

La conformidad de un sitio web con el marco normativo español exige verificar simultáneamente varias capas regulatorias. A continuación se detallan los elementos mínimos que el DPD debe comprobar en cada dominio bajo su supervisión:

• Aviso legal completo (LSSI-CE art. 10): denominación social o nombre y apellidos del titular, domicilio, NIF o CIF, correo electrónico y teléfono, datos de inscripción registral cuando proceda, y —si se ejerce una profesión regulada— colegio profesional, número de colegiado y normas deontológicas aplicables.
• Política de privacidad (arts. 13 y 14 RGPD): identidad del responsable y, en su caso, del representante; datos de contacto del DPD si ha sido designado; finalidades y base jurídica de cada tratamiento; destinatarios o categorías de destinatarios; transferencias internacionales y garantías aplicables; plazos de conservación; derechos de los interesados y procedimiento para ejercerlos; derecho a presentar reclamación ante la AEPD.
• Banner y política de cookies (LSSI-CE art. 22.2 y Guía AEPD 2023): información clara sobre las categorías de cookies instaladas, opción de rechazar equivalente a la de aceptar, ausencia de casillas premarcadas, posibilidad de retirar el consentimiento en cualquier momento, y política de cookies con listado completo de cookies, finalidad y plazo de expiración.
• Canal de ejercicio de derechos: formulario o dirección específica para que los interesados puedan ejercer sus derechos ARCO ampliados (acceso, rectificación, supresión, limitación, portabilidad y oposición). La ausencia de este canal es una infracción directa del artículo 12 del RGPD.
• Datos de contacto del DPD: cuando la designación sea obligatoria o voluntaria y haya sido comunicada a la AEPD, el sitio web debe publicar al menos una dirección de correo electrónico de contacto del DPD, accesible para los interesados (art. 37.7 RGPD).

Los cinco errores más frecuentes en sitios web españoles

El análisis sistemático de sitios web de organizaciones sujetas a la LOPDGDD revela un conjunto de incumplimientos recurrentes que, en caso de inspección de la AEPD, pueden dar lugar a procedimientos sancionadores. Los cinco más habituales son:

1. Ausencia de base jurídica explícita en la política de privacidad. Muchas organizaciones describen qué datos recogen, pero omiten indicar el fundamento legal del tratamiento (art. 6 RGPD). La mera referencia a "cumplir con la normativa vigente" no es suficiente. Cada finalidad —gestión de clientes, envío de comunicaciones comerciales, elaboración de perfiles— debe vincularse a su base jurídica específica: contrato (art. 6.1.b), consentimiento (art. 6.1.a), interés legítimo (art. 6.1.f) u obligación legal (art. 6.1.c).
2. Casillas premarcadas en el banner de cookies. El artículo 7 del RGPD exige que el consentimiento se manifieste mediante una acción positiva e inequívoca. Las casillas marcadas por defecto —incluso para cookies analíticas de bajo impacto— no satisfacen este requisito, como confirmó el Tribunal de Justicia de la UE en la sentencia Planet49 (C-673/17) y reiteró la AEPD en su Guía sobre el uso de las cookies de 2023.
3. Ausencia de botón "Rechazar" equivalente al botón "Aceptar". La AEPD ha establecido que la opción de rechazar las cookies no estrictamente necesarias debe ser tan prominente, accesible y sencilla como la de aceptarlas. Ocultarla en un segundo nivel de configuración, reducir su tamaño visual o presentarla en un color que la haga menos visible son prácticas que la Agencia considera contrarias al requisito de consentimiento libre e informado.
4. Transferencias internacionales a EE.UU. sin mecanismo de garantía. Numerosas organizaciones utilizan servicios de Google Analytics, Meta Pixel, HubSpot u otros proveedores estadounidenses sin indicar en su política de privacidad el mecanismo que habilita la transferencia (actualmente, las Cláusulas Contractuales Tipo adoptadas por la Decisión de la Comisión de 4 de junio de 2021, o el EU-US Data Privacy Framework vigente desde julio de 2023). La omisión de esta información infringe el artículo 13.1.f del RGPD.
5. Formularios sin cláusula informativa RGPD. Cualquier formulario que recoja datos personales —contacto, solicitud de presupuesto, suscripción a newsletter, registro de usuario— debe incluir, de forma accesible y antes de la recogida, la información básica del artículo 13 del RGPD: identidad del responsable, finalidad, base jurídica, derechos del interesado y enlace a la política de privacidad completa. La simple referencia "He leído y acepto la política de privacidad" sin que dicha información sea accesible no cumple el requisito.

Auditoría automática vs. auditoría manual: comparativa

La auditoría manual de un sitio web con objeto de verificar el cumplimiento del RGPD y la LSSI-CE requiere, dependiendo de la complejidad del sitio, entre tres y cuatro horas de trabajo especializado: revisión del aviso legal y la política de privacidad, análisis del comportamiento real del banner de cookies mediante herramientas de inspección de navegador, verificación de cabeceras HTTP, comprobación de formularios y detección de llamadas a servicios de terceros antes del consentimiento.

La auditoría automática realiza el mismo análisis en menos de tres minutos, con las siguientes ventajas adicionales:

• Consistencia: aplica exactamente el mismo conjunto de verificaciones en cada análisis, eliminando la variabilidad inherente al criterio humano en revisiones rutinarias.
• Frecuencia: permite programar análisis periódicos (semanal o mensual) de forma automática, garantizando que cualquier cambio en el sitio web —una actualización del CMS, un nuevo plugin de analytics, una modificación del banner de cookies— se detecta antes de que suponga un período prolongado de incumplimiento.
• Coste: la automatización reduce de forma significativa el tiempo facturable del DPD en tareas de verificación rutinaria, liberando capacidad para el análisis jurídico de mayor valor añadido.
• Trail documental (art. 5.2 RGPD): cada análisis genera un informe PDF con fecha, hora y resultados específicos, que constituye evidencia directa del ejercicio de la función de supervisión por parte del DPD. Este registro es fundamental para demostraraccountability ante la AEPD en caso de inspección.

La combinación óptima es la auditoría automática periódica para detección continua, complementada con una auditoría manual en profundidad cuando se detecten incidencias significativas o antes de lanzar nuevas funcionalidades que impliquen tratamiento de datos.

Gestión de portfolio multi-dominio para DPDs externos

El DPD externo —designado mediante contrato de servicios por organizaciones que no alcanzan el umbral para mantener un DPD interno— es una figura especialmente relevante en España, donde la mayoría del tejido empresarial está compuesto por pymes. Un DPD externo puede prestar servicios simultáneamente a varias decenas de organizaciones: comercios electrónicos, clínicas médicas, centros educativos, asociaciones profesionales y ayuntamientos de pequeño municipio.

La gestión de este portfolio presenta un desafío operativo considerable: cada cliente tiene su propio sitio web, su propio ciclo de actualizaciones y su propio nivel de madurez en cumplimiento. Sin herramientas adecuadas, el DPD externo se enfrenta a la imposibilidad práctica de mantener una supervisión continua del estado de conformidad de todos sus clientes.

Un panel centralizado multi-dominio permite al DPD externo:

• Visualizar de un vistazo el estado de cumplimiento de cada cliente, identificando rápidamente qué organizaciones presentan incidencias críticas que requieren intervención inmediata.
• Programar análisis periódicos automatizados para cada dominio, con alertas cuando se detecten cambios significativos en el estado de conformidad.
• Generar informes PDF individuales por cliente, que pueden remitirse como evidencia del trabajo de supervisión realizado y como base para las recomendaciones de corrección.
• Documentar la evolución del cumplimiento a lo largo del tiempo, mostrando al cliente la mejora producida como resultado de las medidas adoptadas.

Esta capacidad de gestión agregada es especialmente relevante en el contexto de las obligaciones del DPD externo frente a la AEPD: si la Agencia requiere información sobre las actividades de supervisión realizadas respecto de un cliente concreto, el DPD debe poder acreditar que ha ejercido su función de forma efectiva y documentada.

Documentación para la AEPD

Cuando la AEPD inicia un procedimiento de inspección —ya sea de oficio, a raíz de una reclamación de un interesado, o como parte de una campaña sectorial— solicita habitualmente al responsable del tratamiento que aporte documentación sobre las medidas técnicas y organizativas adoptadas. En lo que respecta al sitio web, la Agencia puede requerir:

• Capturas de pantalla o informes del estado del banner de cookies en una fecha concreta, incluyendo evidencia de que no se instalaban cookies no necesarias antes del consentimiento.
• Registros de las versiones de la política de privacidad publicadas a lo largo del tiempo y la fecha de cada modificación.
• Evidencia de que los formularios incluían la cláusula informativa requerida por el artículo 13 del RGPD en el momento en que recogían datos de los interesados.
• Acreditación de que el DPD ha supervisado periódicamente el cumplimiento del sitio web, con indicación de las incidencias detectadas y las medidas adoptadas para subsanarlas.

El régimen sancionador aplicable a las infracciones en materia de protección de datos está regulado en los artículos 72 a 74 de la LOPDGDD y en el artículo 83 del RGPD. Las infracciones muy graves —entre las que se incluye la ausencia de base jurídica para el tratamiento o la vulneración de los principios del artículo 5 del RGPD— pueden sancionarse con multas de hasta 20.000.000 € o el 4 % del volumen de negocio anual global, si esta cifra fuera superior. Las infracciones graves, como la falta de información adecuada al interesado o deficiencias en el banner de cookies, pueden alcanzar los 10.000.000 € o el 2 % del volumen de negocio.

Disponer de informes de auditoría automática fechados y firmados digitalmente —en los que conste el estado de conformidad del sitio web en momentos determinados— permite al responsable del tratamiento y al DPD demostrar que ejercieron la diligencia debida, lo que puede influir favorablemente en la graduación de la sanción o incluso en la decisión de archivar el procedimiento.

Juralex Audit: funcionalidades para DPDs españoles

Juralex Audit es una plataforma de auditoría web continua diseñada para el contexto regulatorio español y europeo. Sus más de 50 verificaciones automatizadas cubren específicamente los requisitos de la LSSI-CE, el RGPD, la LOPDGDD y la Guía de cookies de la AEPD de 2023.

Entre las verificaciones específicas para el mercado español destacan:

• Aviso legal LSSI-CE (art. 10): detección automática de los campos obligatorios, validación del formato del NIF/CIF mediante el algoritmo de la AEAT, y verificación de la accesibilidad del aviso desde todas las páginas del sitio.
• Política de privacidad (arts. 13 y 14 RGPD): análisis de la presencia de los elementos informativos obligatorios, identificación de omisiones relativas a la base jurídica, plazos de conservación, datos del DPD y derechos de los interesados.
• Cookies y consentimiento (LOPDGDD y Guía AEPD 2023): detección de cookies de terceros instaladas antes del consentimiento, análisis del banner de cookies (equivalencia del botón de rechazo, casillas premarcadas, cookie wall), y verificación de la política de cookies.
• Formularios web: verificación de la presencia de cláusula informativa RGPD en los formularios de contacto, registro y suscripción detectados en el sitio.
• Seguimiento regulatorio: monitorización automática de publicaciones de la AEPD (resoluciones, guías, recomendaciones) y alertas sobre cambios normativos que puedan afectar al cumplimiento de los dominios supervisados.
• Informes PDF con trail documental: cada análisis genera un informe en PDF con fecha y hora de ejecución, listado de verificaciones realizadas, incidencias detectadas con referencia al artículo normativo aplicable, y recomendaciones de corrección priorizadas por nivel de riesgo.
• Panel multi-dominio: dashboard centralizado que muestra el estado de cumplimiento de todos los dominios gestionados, con indicadores visuales de estado, histórico de puntuaciones y alertas activas por cliente.

La plataforma está especialmente orientada al DPD externo que gestiona un portfolio de clientes: permite mantener una supervisión continua y documentada de todos los dominios asignados, generar informes individuales por cliente de forma inmediata, y disponer en todo momento de la evidencia necesaria para acreditar el ejercicio efectivo de la función de supervisión ante la AEPD.