Una página web recopila datos personales desde el momento en que alguien la visita. A menudo, como propietarios de páginas web, no somos conscientes de la cantidad de información que fluye a través de nuestra presencia digital ni de qué configuraciones hacen falta para gestionarla bien.
Lo que sigue es una guía práctica sobre la parte de infraestructura: qué recoge tu sitio web, qué elementos necesitas tener activos y qué herramientas existen para que todo funcione correctamente. El marco normativo (RGPD, LOPDGDD) tiene sus propias especificidades según la actividad de cada empresa, y eso corresponde al abogado especializado.
Qué datos recoge tu página web sin que lo configures tú
Antes de añadir un solo formulario, tu sitio web ya está capturando información. Es importante entender qué ocurre por defecto.
La dirección IP del visitante
Cada vez que alguien accede a tu web, el servidor de hosting registra su dirección IP junto con la fecha, hora y página visitada. Este registro se almacena en los archivos de log del servidor. La dirección IP se considera dato personal porque, en combinación con otros elementos, puede identificar a una persona concreta.
Las cookies del navegador
Si tu sitio web usa Google Analytics, el píxel de Facebook, un mapa de Google Maps embebido o cualquier herramienta de terceros, esas herramientas depositan cookies en el navegador del visitante antes de que haga nada. Esas cookies pueden identificar al usuario en visitas posteriores y, en algunos casos, rastrear su comportamiento en otros sitios.
Los formularios de contacto
Nombre, correo electrónico, teléfono, el mensaje que escribe el visitante. Todo lo que se introduce en un formulario queda almacenado, normalmente en la base de datos del servidor o en el sistema de correo al que va dirigido.
Las herramientas de analítica
Google Analytics, en su configuración por defecto, recoge la dirección IP, el tipo de dispositivo, el navegador, la ubicación aproximada, las páginas visitadas y la duración de cada sesión. Es uno de los servicios más extendidos en páginas web y uno de los que más atención requiere desde el punto de vista de la privacidad.
Qué páginas necesitas tener configuradas
Una página web que trata datos personales necesita como mínimo tres páginas de contenido legal accesibles desde cualquier punto del sitio:
| Página | Para qué sirve |
|---|---|
| Aviso legal | Identifica al titular de la página web: nombre o razón social, NIF/CIF, domicilio y datos de contacto. Obligatorio por la LSSI-CE para cualquier sitio con actividad económica. |
| Política de privacidad | Informa a los visitantes de qué datos se recogen, con qué finalidad y durante cuánto tiempo. Debe estar enlazada desde todos los formularios del sitio. |
| Política de cookies | Detalla qué cookies instala el sitio, de qué tipo son y con qué propósito. Es la base sobre la que funciona el banner de consentimiento. |
La configuración de estas páginas es parte del desarrollo de cualquier sitio web. El contenido concreto de cada una, adaptado a la actividad de tu empresa, es algo que cada titular debe resolver con quien corresponda.
El banner de cookies: cómo funciona
El banner de cookies no es solo un aviso visual. Es un sistema de control que decide qué scripts se cargan en el navegador del visitante según la elección que haga.
El funcionamiento correcto es el siguiente: cuando alguien accede por primera vez al sitio, el banner aparece antes de que se carguen las herramientas de terceros (analítica, publicidad, mapas). Si el visitante acepta, esas herramientas se activan. Si rechaza, no se cargan en absoluto. Esa decisión queda registrada para que el banner no vuelva a aparecer en visitas posteriores.
Lo que no es correcto: cargar Google Analytics o el píxel de Facebook antes de que el visitante haya tomado una decisión. Esto sucede en muchos sitios, generalmente porque la herramienta de analítica se instaló directamente en el código sin pasar por un gestor de consentimiento.
Herramientas de gestión de consentimiento (CMP)
Existen soluciones que automatizan todo esto. Las más usadas en el mercado europeo son:
- Cookiebot: escanea automáticamente el sitio web, detecta todas las cookies instaladas y genera la política de cookies. Tiene plan gratuito para sitios con menos de 100 páginas.
- Axeptio: popular en Francia y España, con una interfaz de consentimiento más visual y personalizable.
- Complianz: plugin de WordPress específico para el mercado europeo, con configuración guiada.
- Iubenda: genera automáticamente los textos de política de privacidad y cookies, además del banner de consentimiento.
En zazpiweb: configuramos el gestor de consentimiento desde el inicio para que ninguna cookie de terceros se active antes de que el visitante haya dado su conformidad. La instalación forma parte del proceso de desarrollo, no es un añadido posterior.
Los formularios: qué elementos incluir
Un formulario de contacto bien configurado incluye dos elementos además de los campos de datos:
- Un enlace a la política de privacidad, visible antes de enviar el formulario.
- Una casilla de verificación no marcada por defecto, donde el usuario acepta que sus datos se utilizarán para responder a su consulta.
Si el formulario tiene además un propósito comercial (suscripción a newsletter, comunicaciones futuras), esa finalidad debe declararse de forma explícita y diferenciada del simple envío de la consulta.
A dónde van los datos del formulario
Dependiendo de cómo esté construido el sitio web, los datos del formulario pueden terminar en diferentes destinos:
- En el correo electrónico del titular (el más habitual en páginas sencillas).
- En la base de datos del servidor (cuando el formulario usa un plugin o sistema que almacena los envíos).
- En una plataforma de CRM o email marketing (Brevo, Mailchimp, HubSpot) si el formulario está integrado con alguna de ellas.
Cada uno de estos destinos implica una configuración distinta y, en la política de privacidad, debe quedar reflejado con quién se comparten los datos.
Google Analytics y la anonimización de IP
Google Analytics 4, la versión actual, aplica anonimización de IP por defecto en la Unión Europea. Esto significa que la dirección IP completa no se almacena: se recorta el último octeto antes de ser procesado por Google, lo que reduce la capacidad de identificación individual.
Aun así, hay tres configuraciones recomendables si usas Google Analytics en tu web:
- Activarlo solo tras el consentimiento del visitante, a través de un gestor de cookies.
- Ajustar la retención de datos en la plataforma al mínimo necesario (permite configurar entre 2 y 14 meses).
- Documentar su uso en la política de privacidad como servicio externo que recibe datos.
HTTPS: el requisito de partida
Una página web que recoge datos (cualquier formulario, cualquier inicio de sesión) debe funcionar bajo HTTPS. El protocolo cifra la comunicación entre el navegador del visitante y el servidor, evitando que los datos transmitidos puedan ser interceptados en tránsito.
Cualquier servicio de hosting serio incluye hoy certificado SSL/TLS sin coste adicional. Si tu sitio web todavía funciona en HTTP, es una configuración pendiente que conviene resolver cuanto antes, independientemente del volumen de tráfico o el tamaño del comercio.
Herramientas de terceros: saber qué tienes instalado
Cada herramienta de terceros que integras en tu sitio web (analítica, chat en vivo, mapas, pagos, formularios externos) tiene acceso a los datos de tus visitantes en mayor o menor medida. Tres cosas a tener en cuenta:
- Conocer exactamente qué herramientas están instaladas y qué datos recoge cada una.
- Cargar solo tras el consentimiento del usuario las que no sean estrictamente necesarias para el funcionamiento del sitio.
- Revisar periódicamente si siguen activas herramientas que ya no se usan: scripts de analítica de proveedores anteriores, píxeles de campañas pasadas, widgets olvidados.
Una auditoría sencilla: abre tu sitio web con las herramientas de desarrollador del navegador (F12 en Chrome o Firefox), ve a la pestaña "Red" y filtra por tipo "JS". Verás todos los scripts que se cargan al visitarlo. Si aparecen dominios que no reconoces, vale la pena investigar de qué herramienta provienen.
Construir bien desde el principio
La mayor parte de los problemas de configuración relacionados con la privacidad en sitios web tienen un origen común: el sitio se lanza primero y se piensa en esto después. El resultado es una acumulación de parches: un banner de cookies añadido meses más tarde, una política de privacidad copiada de otro sitio, formularios sin casilla de aceptación.
Integrar estos elementos desde el principio es más sencillo de lo que parece. Las páginas legales, los formularios bien configurados, el gestor de cookies y el protocolo HTTPS son parte estándar de cualquier desarrollo web. No son extras que se añaden al final, son la base sobre la que se construye una presencia digital seria.
Páginas web configuradas correctamente desde el primer día
Todas las páginas web que desarrollamos en zazpiweb incluyen HTTPS, gestor de cookies, formularios con consentimiento y páginas legales correctamente enlazadas. La configuración de privacidad no es un extra: es parte del proceso.
Consulta gratuita por WhatsApp