Todos los artículos del blog

Qué es el RGPD y qué ha cambiado desde 2018: un balance para tu web

Close
Tiempo de lectura
7 min
Publicado
Mar 13, 2026
Compartir
Ilustración de un icono de seguridad con un candado y una persona con un ordenador

Cuando el Reglamento General de Protección de Datos entró en aplicación el 25 de mayo de 2018, muchos propietarios de webs experimentaron un terremoto burocrático: formularios que revisar, políticas que reescribir, banners que instalar. 

Casi diez años después, el RGPD sigue vigente y se ha convertido en el estándar global de referencia en privacidad de datos, ha generado más de 5.000 millones de euros en sanciones acumuladas en Europa, y ha redefinido de forma permanente cómo cualquier web del mundo interactúa con sus usuarios.

Si gestionas una web y todavía no tienes del todo claro qué es el RGPD, qué ha cambiado desde entonces y qué sigue exigiéndote hoy, esto es lo que necesitas saber.

Qué es el RGPD: lo esencial

El Reglamento General de Protección de Datos (Reglamento UE 2016/679) es la norma de la Unión Europea que regula cómo se recogen, tratan y almacenan los datos personales de los ciudadanos europeos. Es de aplicación directa en todos los estados miembros —sin necesidad de transposición nacional— y se aplica a cualquier organización que trate datos de personas ubicadas en la UE, independientemente de dónde esté registrada esa organización.

Es decir, si tu web recibe visitas de usuarios europeos y recoge cualquier dato sobre ellos (desde su dirección IP hasta sus preferencias de cookies), el RGPD se aplica a tu web independientemente de la localización.

Sus principios fundamentales se pueden resumir en tres ideas:

  • Los datos personales solo pueden tratarse si existe una base legal que lo justifique (consentimiento, contrato, obligación legal, interés legítimo...)
  • Los usuarios tienen derechos reales sobre sus datos: acceso, rectificación, supresión, portabilidad, oposición
  • Las organizaciones asumen la responsabilidad: no basta con cumplir, hay que poder demostrarlo

Por qué nació: el contexto de 2018

El RGPD sustituyó a una directiva europea de 1995 que regulaba la protección de datos en un mundo donde internet era todavía incipiente, las redes sociales no existían y el concepto de «Big Data» era ciencia ficción.

Para 2016, cuando se aprobó el texto definitivo del RGPD, el panorama era radicalmente distinto. Las grandes plataformas tecnológicas recopilaban datos de cientos de millones de personas con una opacidad casi total. El escándalo de Cambridge Analytica, que estalló precisamente en 2018, coincidiendo con la entrada en aplicación del RGPD, mostró al gran público hasta qué punto los datos personales podían ser usados sin conocimiento ni consentimiento de los usuarios.

El RGPD fue la respuesta europea a ese problema: un marco legal moderno, uniforme en toda la UE, con repercusiones reales en forma de sanciones de hasta 20 millones de euros o el 4% de la facturación anual global.

Qué cambió para las webs en 2018

Para los propietarios de webs, el impacto más inmediato y visible del RGPD fue en tres áreas:

Los banners de cookies. Antes del RGPD, era habitual ver avisos del tipo «este sitio usa cookies» con un único botón de «Aceptar». El RGPD, junto con la LSSI-CE, dejó claro que eso no era suficiente: el consentimiento tenía que ser explícito, granular e informado, y el usuario tenía que poder rechazarlo con la misma facilidad con la que lo aceptaba. De un día para otro, el banner de cookies dejó de ser un trámite decorativo y se convirtió en una obligación técnica y legal con consecuencias reales.

Los formularios y la recopilación de datos. Cualquier formulario de contacto, suscripción o registro pasó a requerir una información clara sobre la finalidad del tratamiento, la base legal y los derechos del usuario. Las casillas premarcadas quedaron prohibidas. El consentimiento tácito dejó de tener validez.

La política de privacidad. De ser un documento que nadie leía y nadie actualizaba, pasó a ser un texto con requisitos legales concretos y con consecuencias si estaba incompleto o desactualizado.

Casi diez años después: el balance en cifras

El RGPD ha generado un volumen de actividad sancionadora que habría sido impensable bajo la directiva anterior:

  • Las multas impuestas en Europa por incumplimientos del RGPD ascendieron a 1.200 millones de euros en 2024, un nuevo récord y un aumento del 44% respecto a 2023.
  • España es el país con mayor número de sanciones individuales desde la implementación del RGPD, con más de 1.191 resoluciones, aunque en importe acumulado Irlanda lidera con más de 3.500 millones de euros, concentrados principalmente en sanciones a grandes tecnológicas.
  • La AEPD acumula el mayor número de sanciones entre todas las autoridades del Espacio Económico Europeo, con más de 800 resoluciones desde 2018, aunque el importe agregado representa apenas el 2,5% del total recaudado en la UE.

Lo que estos datos muestran es una tendencia clara: la aplicación del RGPD no se ha relajado con el tiempo, sino que se ha intensificado. Las sanciones son más frecuentes, las cuantías medias son más altas y el escrutinio se ha extendido de las grandes empresas a las medianas y pequeñas.

En España, el patrón es especialmente relevante para propietarios de webs: la AEPD sanciona en todos los tamaños de empresa, y algunas de las infracciones más documentadas (cookies sin consentimiento, banners con opciones premarcadas, ausencia de política de cookies) afectan exactamente al tipo de webs que no creen estar en el radar del regulador.

Cómo ha evolucionado la aplicación: de los primeros banners al estándar actual

Los primeros años tras la entrada en aplicación del RGPD fueron de cierta ambigüedad. Los banners proliferaron pero con formatos muy dispares: algunos con botones de «Rechazar» casi invisibles, otros sin opción de rechazo en la primera capa, otros con todas las categorías de cookies premarcadas.

A partir de 2022, el Comité Europeo de Protección de Datos publicó directrices específicas contra los «patrones engañosos» en la gestión del consentimiento, y la AEPD actualizó su guía sobre el uso de cookies en enero de 2024 para incorporar esos criterios. El estándar actual es más exigente que el de 2018:

  • El botón de «Rechazar» debe ser igual de visible y accesible que el de «Aceptar»
  • No puede haber opciones premarcadas en ninguna categoría
  • La opción de retirar el consentimiento debe estar siempre disponible y ser fácil de encontrar
  • Las autoridades recomiendan renovar periódicamente el consentimiento; en muchas guías se toma como referencia un máximo aproximado de 24 meses.

Lo que en 2018 era un banner básico con un aviso genérico ya no vale a día de hoy. 

El RGPD y la IA: el nuevo frente

El siguiente capítulo del RGPD ya está en marcha. La inteligencia artificial ha abierto un nuevo frente regulatorio que las autoridades de protección de datos están abordando activamente.

El uso de sistemas de IA implica casi siempre el tratamiento masivo de datos personales: para entrenar modelos, para generar perfiles de usuario, para tomar decisiones automatizadas. La AEPD ha señalado la IA como una de sus prioridades para los próximos años, y el nuevo Reglamento de Inteligencia Artificial de la UE añade una capa adicional de obligaciones que se superpone con el RGPD.

Para propietarios de webs, esto se traduce en una pregunta concreta: si usas herramientas de personalización, chatbots, recomendaciones automáticas o cualquier tipo de perfilado de usuarios, ¿tienes una base legal clara para ese tratamiento? ¿está recogido en tu política de privacidad?

Lo que el RGPD sigue exigiendo hoy a tu web

Después de casi siete años, las obligaciones básicas del RGPD para una web son bien conocidas, pero siguen siendo las más incumplidas:

Consentimiento válido para cookies no esenciales

previo, explícito, granular y con opción de rechazo equivalente. Sin esto, cualquier cookie analítica o publicitaria activa es una infracción.

Política de privacidad actualizada

que refleje todos los tratamientos de datos reales que hace tu web, incluidos los derivados de plugins y herramientas de terceros.

Política de cookies sincronizada

con las cookies que tu web realmente instala, no con las que instalaba cuando se redactó el documento.

Registro de consentimiento

que te permita demostrar que los usuarios dieron su conformidad y cuándo la retiraron.

Textos informativos en todos los puntos de recogida de datos

formularios, checkout, registro... no solo en el footer.

Para entender cómo se articulan estas obligaciones en el contexto español, consulta nuestra guía sobre LOPDGDD y cookies: lo que tu web necesita cumplir y nuestra guía sobre los tres documentos legales que toda web necesita.

Cookiebot te ayuda a gestionarlo

El RGPD no va a desaparecer. Y su aplicación no va a volverse más laxa: la tendencia es exactamente la contraria. Para la mayoría de propietarios de webs, el mayor riesgo no es desconocer la normativa, sino creer que ya la cumplen cuando en realidad sus cookies, sus textos o sus banners están desactualizados respecto a los estándares actuales.

Cookiebot automatiza la parte más difícil: escanea tu web para detectar todas las cookies y tecnologías de rastreo activas, bloquea las no esenciales hasta que el usuario consiente, genera y mantiene actualizada la política de cookies, y registra cada consentimiento con todos los datos necesarios para demostrar cumplimiento ante la AEPD. Se integra con WordPress, Shopify, Wix, Squarespace y otros CMS sin configuración técnica avanzada.