Checklist completa de cumplimiento GDPR para propietarios de webs (con foco en WordPress)

El Reglamento General de Protección de Datos (GDPR) sigue siendo una de las normativas de privacidad más exigentes a nivel global. Da igual si gestionas un blog personal, un eCommerce o un SaaS: si tu web trata datos personales de residentes en la Unión Europea, el cumplimiento no es opcional.

Además del impacto reputacional, el incumplimiento puede implicar sanciones de hasta 20 millones de euros o el 4% de la facturación anual global (lo que sea mayor). Por eso tiene sentido abordarlo como lo que es: un conjunto de procesos, documentación y controles técnicos continuos.

A continuación tienes una checklist completa (sin recortes) para auditar tu web y tu organización, con referencias a artículos concretos del GDPR y pasos prácticos de implementación.

Qué es el GDPR (y a quién aplica)

El General Data Protection Regulation (GDPR) es una ley de privacidad aplicada por la Unión Europea desde el 25 de mayo de 2018. Define reglas claras sobre cómo se recogen, usan, almacenan y comparten los datos personales. Aplica tanto a empresas dentro de la UE como fuera de ella si procesan datos personales de residentes en la UE.

Entiende tu rol: Controller vs Processor

Antes de tocar textos legales o banners, hay una pregunta clave: ¿qué papel tiene tu negocio en el tratamiento de datos?

Si tu organización decide la finalidad y los medios del tratamiento (por qué y cómo se procesan los datos), eres Data Controller (responsable del tratamiento). Si tratas datos personales por cuenta de otra organización, eres Data Processor (encargado del tratamiento). En la práctica, una misma empresa puede actuar en ambos roles según el flujo de datos.

Los 3 roles clave bajo GDPR

• Data Controllers: determinan por qué y cómo se procesan los datos personales. Tienen la responsabilidad principal de garantizar el cumplimiento.
• Data Processors: terceros que procesan datos personales en nombre de un controller. También deben aplicar salvaguardas técnicas y organizativas adecuadas.
• Data Subjects: personas cuyos datos personales se recogen y procesan. El GDPR existe para proteger sus derechos.

Los 7 principios del GDPR (base de toda checklist)

Si tienes que priorizar, prioriza estos principios. Todo lo demás (textos, mecanismos, contratos, logs) debería “colgar” de aquí.

1. Licitud, lealtad y transparencia: tratar datos de forma legal e informar de manera clara sobre el uso.
2. Limitación de la finalidad: recoger datos solo para objetivos específicos y legítimos.
3. Minimización de datos: recoger únicamente lo mínimo necesario.
4. Exactitud: mantener los datos correctos y actualizados.
5. Limitación del plazo de conservación: no conservar datos más tiempo del necesario.
6. Integridad y confidencialidad: proteger frente a accesos no autorizados con medidas de seguridad adecuadas.
7. Responsabilidad proactiva (accountability): poder demostrar el cumplimiento.

Checklist completa de cumplimiento GDPR

Esta checklist está organizada por áreas. Cada punto indica a quién aplica y enlaza con el artículo de referencia del GDPR.

Datos

1) Inventario de tipos de datos personales, origen, destinatarios, finalidad y retención

Aplica a: Data Controller, Data Processor

Necesitas un listado de los tipos reales (las “columnas”) de datos personales que guardas (por ejemplo: nombre, número de seguridad social, dirección). Para cada tipo, documenta de dónde sale, con quién se comparte, para qué se usa y durante cuánto tiempo se conserva.

2) Mapa de ubicaciones donde se guarda información personal y cómo fluye entre ellas

Aplica a: Data Controller, Data Processor

No se trata solo de bases de datos (por ejemplo, MySQL). Incluye también almacenes offline como papel. La idea es ver el flujo: formularios → CRM → email marketing → analítica → soporte → backups, etc.

3) Política de privacidad pública y accesible que describa procesos relacionados con datos personales

Aplica a: Data Controller, Data Processor

Tu web debe publicar una política de privacidad accesible que describa todos los procesos vinculados al tratamiento de datos personales. Debe incluir (o enlazar claramente) los tipos de datos que se guardan y dónde se almacenan.

4) Base legal en la política de privacidad: por qué necesitas tratar esos datos

Aplica a: Data Controller

La política debe explicar la base jurídica (lawful basis) del tratamiento: por ejemplo, la ejecución de un contrato.

Responsabilidad y gestión (Accountability & Management)

5) Nombramiento de un Data Protection Officer (DPO) cuando sea obligatorio

Aplica a: Data Controller, Data Processor

El DPO (Delegado de Protección de Datos) solo es obligatorio en tres escenarios:

1. El tratamiento lo realiza una autoridad u organismo público, excepto tribunales actuando en su función judicial.
2. Las actividades principales requieren monitorización regular y sistemática de interesados a gran escala (por naturaleza, alcance y/o finalidades).
3. Las actividades principales consisten en tratar a gran escala categorías especiales de datos (datos sensibles) según Article 9 y datos sobre condenas e infracciones penales según Article 10.

Si necesitas DPO, debe conocer las directrices del GDPR y también los procesos internos de tu organización que involucren datos personales.

6) Sensibilización de responsables y decisores sobre directrices GDPR

Aplica a: Data Controller, Data Processor

Asegúrate de que las personas clave y quienes toman decisiones mantienen un conocimiento actualizado de la normativa de protección de datos.

7) Seguridad técnica al día

Aplica a: Data Controller, Data Processor

Si desarrollas o explotas software (por ejemplo, un SaaS), usa checklists de seguridad como punto de partida para asegurar que existen medidas técnicas adecuadas.

8) Formación del personal en protección de datos

Aplica a: Data Processor

Muchas vulnerabilidades ocurren por colaboración involuntaria de alguien con acceso a sistemas internos. La formación debe cubrir estos riesgos y cómo evitar incidentes.

9) Lista de sub-processors y mención explícita en la política de privacidad

Aplica a: Data Processor

Debes informar a tus clientes del uso de cualquier sub-processor (subencargado). El consentimiento se obtiene cuando aceptan tu política de privacidad.

10) Representante en la UE si operas fuera de la Unión

Aplica a: Data Controller, Data Processor

Si tu empresa opera fuera de la UE y recopila datos de ciudadanos de la UE, debes designar un representante en uno de los Estados miembros. Esa persona gestiona cuestiones relacionadas con el tratamiento y debe poder ser contactada por la autoridad local.

11) Notificación de brechas de datos personales a la autoridad y a los afectados

Aplica a: Data Controller, Data Processor

Las brechas de datos personales deben notificarse en 72 horas a la autoridad competente. Debes informar qué datos se han perdido, consecuencias y contramedidas adoptadas. Salvo que los datos filtrados estuviesen cifrados, también debes comunicar la brecha a la persona afectada (data subject) cuya información se ha perdido.

12) Contratos con cualquier processor con el que compartas datos

Aplica a: Data Controller

Debe existir un contrato con cualquier proveedor que trate datos por tu cuenta (por ejemplo, el hosting). Ese contrato debe incluir instrucciones explícitas y detallar: el objeto y la duración del tratamiento, naturaleza y finalidad, tipos de datos y categorías de interesados, además de obligaciones y derechos del controller.

Los mismos requisitos contractuales aplican cuando un processor contrata un sub-processor para ayudarle a cumplir actividades de tratamiento en nombre del controller.

Nuevos derechos (operativa para atender solicitudes)

13) Los usuarios pueden solicitar fácilmente acceso a su información personal

Aplica a: Data Controller, Data Processor

Necesitas un proceso claramente definido para gestionar solicitudes de acceso (DSAR: Data Subject Access Requests).

14) Los usuarios pueden actualizar sus datos para mantenerlos exactos

Aplica a: Data Controller, Data Processor

Proporciona un mecanismo para corregir datos inexactos.

15) Eliminación automática de datos que ya no son necesarios

Aplica a: Data Controller, Data Processor

Automatiza el borrado de datos que ya no tengan uso. Ejemplo: eliminar automáticamente información de clientes cuyo contrato no se haya renovado.

16) Los usuarios pueden solicitar fácilmente la eliminación de sus datos

Aplica a: Data Controller, Data Processor

Implementa un proceso para gestionar solicitudes de borrado (el llamado “derecho al olvido”).

17) Los usuarios pueden solicitar fácilmente que se deje de procesar su información

Aplica a: Data Controller, Data Processor

Las personas usuarias tienen derecho a restringir cómo se procesa su información.

18) Los usuarios pueden solicitar que sus datos se entreguen a ellos o a un tercero

Aplica a: Data Controller, Data Processor

La portabilidad exige entregar los datos en un formato estructurado, de uso común y legible por máquina.

19) Objeción a profiling o decisiones automatizadas con impacto

Aplica a: Data Controller

Solo aplica si haces profiling (perfilado) u otras decisiones automatizadas que puedan afectar a la persona.

Consentimiento (Consent)

20) Si la base es el consentimiento: debe ser libre, específico, informado y revocable

Aplica a: Data Controller

Si tu web recoge datos personales, debe haber un enlace visible a tu política de privacidad y una confirmación de que el usuario acepta términos/condiciones. El consentimiento requiere una acción afirmativa: las casillas pre-marcadas no están permitidas.

21) Política de privacidad clara, comprensible y sin ocultar intenciones

Aplica a: Data Controller

Debe estar escrita en términos claros y sencillos, sin esconder su intención. Si no, el acuerdo puede quedar invalidado. Si ofreces servicios a menores, debe ser lo bastante simple para que la entiendan.

22) Retirar el consentimiento debe ser tan fácil como otorgarlo

Aplica a: Data Controller

No puedes diseñar un flujo donde aceptar sea un clic y retirar sea una odisea. Debe ser igual de simple.

23) Si tratas datos de menores: verifica edad y solicita consentimiento del tutor legal

Aplica a: Data Controller

Para menores de 16 años, debes asegurar el consentimiento de su tutor legal. Si el consentimiento se da por web, intenta garantizar que quien aprueba es el tutor y no el menor.

24) Si actualizas la política de privacidad, informa a clientes existentes

Aplica a: Data Controller

Por ejemplo, notificando por email cambios próximos. La comunicación debe explicar de forma simple qué se ha modificado.

Seguimiento (Follow-up)

25) Revisión periódica de políticas, efectividad, cambios en el tratamiento y países de destino

Aplica a: Data Controller

Revisa regularmente tus políticas por cambios, su eficacia real, cambios en cómo tratas datos y cambios en la situación de otros países a los que fluyen tus datos.

Casos especiales

26) Saber cuándo necesitas una DPIA en tratamientos de alto riesgo

Aplica a: Data Controller

Esto solo aplica si realizas tratamiento a gran escala, profiling u otras actividades con alto riesgo para derechos y libertades. En esos casos se requiere una Data Protection Impact Assessment (DPIA).

27) Transferencias fuera de la UE solo a países con protección adecuada (y declararlo)

Aplica a: Data Controller, Data Processor

Solo transfiere datos fuera de la UE a países con un nivel adecuado de protección. Además, revela estos flujos transfronterizos en tu política de privacidad. Para transferencias a países sin adecuación, utiliza Standard Contractual Clauses (SCCs) o Binding Corporate Rules (BCRs).

Derechos del usuario (Data Subject Rights) que debes poder soportar

Más allá de tu checklist interna, el GDPR define derechos concretos para cualquier Data Subject (persona cuyos datos se procesan). Si tu web recoge datos personales, estos derechos se convierten en requisitos operativos y de producto.

Derecho a información transparente

El controller debe tomar medidas adecuadas para proporcionar cualquier información sobre el tratamiento de forma concisa, transparente, inteligible y fácilmente accesible, usando un lenguaje claro y sencillo, especialmente si la información va dirigida a un menor. La información debe facilitarse por escrito o por otros medios, incluidos, cuando corresponda, medios electrónicos.

Derecho a recibir información específica cuando los datos se recogen directamente

Cuando recoges datos directamente del usuario, debes proporcionar como mínimo:

1. La identidad y datos de contacto del controller
2. Los datos de contacto del DPO (cuando aplique)
3. Las finalidades del tratamiento y la base legal
4. Los intereses legítimos perseguidos por el controller (si aplica)
5. Los destinatarios o categorías de destinatarios de los datos
6. Información sobre transferencias a terceros países

Derecho a recibir información específica cuando los datos no se recogen directamente

Si obtienes datos desde fuentes distintas al propio interesado, debes proporcionar información equivalente, incluyendo las categorías de datos personales y la fuente de esos datos.

Derecho de acceso

El usuario tiene derecho a confirmar si estás tratando sus datos y a acceder a:

• Las finalidades del tratamiento
• Las categorías de datos personales
• Los destinatarios a los que se han comunicado o se comunicarán los datos
• El periodo de conservación previsto
• La existencia de derechos de rectificación, supresión, limitación y oposición
• El derecho a reclamar ante una autoridad de control
• Información sobre el origen de los datos (si no se recogieron del interesado)
• La existencia de decisiones automatizadas, incluido el profiling

Derecho de rectificación

Derecho a obtener sin demora indebida la rectificación de datos personales inexactos y a completar datos incompletos.

Derecho de supresión (“derecho al olvido”)

Derecho a obtener la supresión de datos personales cuando:

1. Los datos ya no son necesarios para la finalidad original
2. Se retira el consentimiento y no existe otra base legal
3. Se ejerce el derecho de oposición y no prevalecen motivos legítimos
4. Los datos se trataron ilícitamente
5. Los datos deben suprimirse para cumplir una obligación legal
6. Los datos se recogieron en relación con servicios de la sociedad de la información ofrecidos a un menor

Derecho a la limitación del tratamiento

Derecho a obtener la limitación del tratamiento cuando:

1. Se impugna la exactitud de los datos (durante el periodo de verificación)
2. El tratamiento es ilícito y se prefiere la limitación a la supresión
3. El controller ya no necesita los datos, pero el usuario los necesita para reclamaciones legales
4. Se ha ejercido oposición mientras se verifica si prevalecen los motivos legítimos

Derecho a ser notificado por rectificación, supresión o limitación

El controller debe comunicar cualquier rectificación, supresión o limitación a cada destinatario al que se hayan divulgado los datos, salvo que sea imposible o suponga un esfuerzo desproporcionado.

Derecho a la portabilidad de los datos

Derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro controller sin impedimentos.

Derecho de oposición

Derecho a oponerse, por motivos relacionados con una situación particular, en cualquier momento, al tratamiento basado en interés legítimo o interés público, incluido el profiling.

Derecho a no ser objeto de decisiones automatizadas

Derecho a no ser objeto de una decisión basada únicamente en tratamiento automatizado (incluido profiling) que produzca efectos jurídicos o afecte significativamente de forma similar.

Pasos prácticos de implementación en tu web

1) Asegura tu web

• Instala un certificado SSL (HTTPS) para cifrar datos entre navegador y servidor
• Usa contraseñas robustas para todas las cuentas de administración
• Añade protección extra al manejo de información de pago
• Usa un proveedor de CDN que proteja frente a ataques DDoS
• Despliega software anti-virus para prevenir accesos no autorizados
• Minimiza la recogida de datos: solo lo necesario
• Seudonimiza o anonimiza datos personales antes de almacenarlos
• Haz copias de seguridad en múltiples ubicaciones seguras
• Elimina datos cuando ya no sean necesarios

2) Añade un banner de consentimiento de cookies (de verdad)

Si tu web usa cookies no esenciales, necesitas consentimiento explícito antes de activarlas.

Tu banner de cookies debe:

• Bloquear cookies hasta el consentimiento: solo cargar las necesarias hasta que el usuario acepte
• Usar lenguaje simple y claro: explicar qué cookies se usan y por qué
• Mostrar botones equivalentes de aceptar/rechazar: no ocultar el rechazo
• Ofrecer opciones granulares: permitir elegir categorías específicas
• Permitir retirar el consentimiento: facilitar cambiar preferencias más tarde
• Registrar el consentimiento: guardar elecciones con timestamps para demostrar cumplimiento

3) Revisa formularios del sitio (contacto, alta, checkout, etc.)

Cualquier formulario que recoja datos personales debe ser compatible con GDPR:

• Incluir una declaración de privacidad explicando por qué necesitas los datos
• Añadir una casilla de consentimiento sin marcar
• Proporcionar un opt-in separado para comunicaciones de marketing
• Enlazar a tu Política de Privacidad
• Usar lenguaje claro y simple

4) Consigue consentimiento para emails de marketing

• Solo opt-in claro: casilla sin marcar específica para consentimiento de email
• Implementa double opt-in: confirmar el alta por correo
• Mantén registros de consentimiento: fecha, hora, método y finalidad
• Incluye enlace visible de baja: una baja en un clic en cada email
• Procesa las bajas rápidamente: idealmente en 24 horas

5) Prepárate para brechas de datos

• Notifica a la autoridad supervisora en 72 horas
• Notifica a usuarios afectados si existe alto riesgo para sus derechos
• Documenta todo por accountability
• Actualiza políticas para prevenir incidentes futuros

Consideraciones específicas para WordPress

En WordPress, la parte “legal” y la parte “técnica” se cruzan continuamente, sobre todo por el ecosistema de plugins.

• Mantén WordPress core, temas y plugins actualizados
• Usa plugins de formularios de contacto compatibles con GDPR (con casillas de consentimiento)
• Instala una solución adecuada de consentimiento de cookies
• Utiliza una solución de analítica compatible con GDPR
• Revisa prácticas de recogida de datos de plugins
• Implementa funcionalidad de exportación/borrado de datos de usuarios

Sanciones bajo GDPR (y otras medidas posibles)

El GDPR contempla dos niveles de sanciones económicas:

• Infracciones de nivel inferior: hasta 10 millones de euros o el 2% de la facturación anual global
• Infracciones de nivel superior: hasta 20 millones de euros o el 4% de la facturación anual global

Además de multas, la autoridad puede:

• Emitir advertencias
• Prohibir temporal o permanentemente el tratamiento de datos
• Ordenar la eliminación de datos
• Restringir transferencias de datos

Preguntas frecuentes (FAQ)

¿Qué es una checklist de cumplimiento GDPR?

Una checklist de cumplimiento GDPR es una lista de acciones necesarias para cumplir el Reglamento General de Protección de Datos. Sirve para identificar puntos de mejora en tus prácticas de protección de datos.

¿Quién es responsable del cumplimiento GDPR?

El data controller (normalmente el propietario del sitio o del negocio) es el principal responsable. Los data processors también tienen obligaciones de cumplimiento.

¿Aplica el GDPR a empresas de EE. UU.?

Sí. Si tratas datos personales de residentes en la UE, aplica independientemente de dónde esté tu empresa.

¿Cuál es la sanción máxima por incumplimiento?

Hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor.

¿Necesito un banner de cookies?

Sí, si tu web utiliza cookies no esenciales y tienes visitantes de la UE.

¿Necesito un Data Protection Officer (DPO)?

Solo si: (1) eres una autoridad pública, (2) tus actividades principales requieren monitorización sistemática a gran escala, o (3) tratas datos sensibles a gran escala.