RGPD y cookies para webs de pequeña empresa: una lista en lenguaje claro
Qué exige realmente el RGPD a la web de una pequeña empresa — política de privacidad, banner de cookies, bases legales, minimización de datos — explicado sin alarmismos.

Si tu negocio atiende a clientes en cualquier punto de la Unión Europea, el RGPD se aplica — y sí, eso incluye al consultor unipersonal con un único formulario de contacto. La buena noticia: es bastante menos complicado de lo que la industria del compliance quiere que creas.
Esta lista es lo que de verdad necesita una web de pequeña empresa para cumplir el RGPD en 2026. Sin alarmismos, sin titulares de 'multa de 20 millones de €', sin políticas de privacidad de 47 páginas copiadas de una gran empresa. Solo lo que importa.
Qué dice realmente el RGPD (en dos párrafos)
El RGPD dice: si recoges datos personales de alguien en la UE debes (a) tener un motivo legal para recogerlos, (b) decir qué haces con ellos, (c) guardarlos seguros y solo el tiempo necesario y (d) permitir consultarlos o borrarlos. Eso es todo el espíritu.
Dato personal es cualquier cosa que identifique a una persona — nombre, email, teléfono, dirección IP, incluso un ID de cookie. En cuanto un visitante carga tu web ya estás recogiendo parte. Por eso cada web moderna necesita como mínimo una política de privacidad y (en la mayoría de casos) un banner de cookies.
Las cinco cosas que toda web de pequeña empresa debe tener
- Una política de privacidad que diga qué datos recoges, por qué, cuánto los guardas y con quién los compartes. Enlazada desde el pie de cada página.
- Un banner de cookies si pones CUALQUIER cookie no esencial (analítica, píxeles de marketing, YouTube embebido). 'Esencial' es estrictamente necesario para que la web funcione — sesión, idioma, token CSRF.
- Una base legal por cada tipo de tratamiento. Para la mayoría: 'consentimiento' para marketing, 'contrato' para pedidos, 'interés legítimo' para prevención de fraude. Documenta cuál aplica dónde.
- Seguridad razonable: HTTPS en todo, contraseñas de admin fuertes, copias, un hosting que no filtre datos.
- Una vía para que la gente te contacte sobre sus datos. Normalmente un email tipo [email protected] que lea una persona.
Banners de cookies: lo que más gente se equivoca
Un banner conforme tiene cuatro propiedades. Si al tuyo le falta alguna, arréglalo.
- Carga antes de poner cualquier cookie no esencial. Si el script de analítica dispara antes de aceptar, el banner es decorativo — no conforme.
- Rechazar es tan fácil como aceptar. Un 'Aceptar todo' verde gigante junto a un 'Gestionar' gris diminuto es el caso de manual por el que las autoridades empezaron a multar.
- Consentimiento granular por categorías — analítica, marketing, personalización. Quien usa la web puede aceptar unas y rechazar otras.
- El consentimiento se registra. Si alguien acepta analítica el lunes, debes poder mostrar ese registro el viernes.
Si tu web usa Google Analytics, Facebook Pixel, Hotjar, vídeos de YouTube embebidos o cualquier chat de terceros, necesitas banner. Si no usa nada de eso y solo guarda una cookie de sesión para el login, no.
Política de privacidad: qué escribir de verdad
Una política de pequeña empresa puede ser de una página. Cubre estos seis puntos en lenguaje llano.
- Quién eres (razón social, dirección, email de contacto).
- Qué datos recoges (p. ej. 'nombre y email del formulario; IP y datos de navegación de la visita, anonimizados a los 30 días').
- Por qué los recoges (prestar el servicio, responder consultas, analítica).
- Cuánto los guardas (p. ej. 'envíos del formulario: 12 meses; cuenta: mientras exista').
- Con quién los compartes (proveedor de hosting, de email, herramienta de analítica — lístalos).
- Sus derechos y cómo ejercerlos (acceso, rectificación, supresión, contactar a privacidad@…).
Copiar una plantilla larga de un generador gratuito y cambiar el nombre del negocio produce una política técnicamente válida pero ilegible. Tu política también es señal de confianza. Quien la lea debería pensar 'esta gente me respeta' — no 'no tengo ni idea de qué hacen con mis datos'.
La política de privacidad RGPD más corta que hemos enviado nunca tenía 600 palabras. Cubría todo. El primer borrador tenía 3.800 y no decía nada útil.
Minimización de datos: el truco barato de compliance
La mitad del cumplimiento es recoger menos. Cada campo de formulario es riesgo. Pregúntate, en cada campo: ¿uso de verdad este dato o lo pido porque la plantilla lo traía?
- Formulario de contacto: nombre, email, mensaje. Quizá teléfono si llamar es tu seguimiento principal. Punto.
- Formulario de reserva: solo lo que necesita la cita. Pedir fecha de nacimiento para reservar un corte no es minimizar.
- Alta de boletín: solo el email. Añadir 'nombre' está bien; añadir 'puesto' es exceso.
- Tracking de cookies: solo las categorías que usas. Si no haces remarketing, no pongas las cookies.
Errores comunes que cuestan multas a pequeñas empresas
- Poner cookies de analítica antes del consentimiento. Solución: que la analítica espere al consentimiento o usa una sin cookies.
- Casillas de consentimiento premarcadas. Siempre opt-in, nunca opt-out.
- 'Aceptar todo' sin un 'Rechazar' equivalente. Las autoridades dejaron de ser amables en 2025.
- Base legal ambigua. 'Tratamos sus datos por interés legítimo' no basta. Di QUÉ interés y en QUÉ caso.
- No saber borrar de verdad cuando alguien lo pide. La solicitud debe resultar en supresión en 30 días, no en una respuesta amable.
Dónde encaja Brimky
Cada web Brimky se entrega con un banner que respeta el 'rechazar', una política de privacidad inicial que personalizas, HTTPS y un hosting registrado como encargado del tratamiento en la UE. La mitad técnica del cumplimiento se hace al lanzar. La parte de política y consentimiento la controlas tú — y la repasamos contigo en el onboarding, no te dejamos delante de una plantilla en blanco.