Checklist de RGPD para e-commerce: 12 puntos que toda tienda online debería superar
Una checklist breve y opinativa para operadores de e-commerce en la UE. Cada punto se vincula a un artículo concreto del RGPD o a la Directiva ePrivacy, y cada uno es algo que un regulador podría comprobar hoy mismo en su sitio en producción.
Lukas Kontur · · 2 min de lectura
Esta es una checklist para operadores de e-commerce en la Unión Europea. No sustituye a una Evaluación de Impacto en la Protección de Datos ni al asesoramiento de un Datenschutzbeauftragter alemán o de un Délégué à la Protection des Données francés. Es la lista corta de elementos que, según nuestra experiencia escaneando la web europea, están documentados lo suficientemente bien como para que un operador pueda responder a las preguntas de un regulador sobre cómo el sistema gestionó una solicitud concreta, con marcas de tiempo.
Los puntos se enumeran en el frontmatter y se renderizan mediante la plantilla de la página de checklist. Cada uno es una afirmación discreta y comprobable, y cada uno se vincula a GDPR o a la ePrivacy Directive. Donde el marco jurídico es más matizado —por ejemplo, en los mecanismos de transferencia tras la entrada en vigor del EU-US Data Privacy Framework—, lo hemos indicado en el detalle.
Los dos puntos que más a menudo fallan, por amplio margen, son:
- Punto 2: tracking previo al consentimiento. Es el mismo hallazgo que nuestro escáner etiqueta como pre_consent_tracking. Véase el artículo de conocimiento sobre tracking previo al consentimiento para los detalles técnicos.
- Punto 3: rechazar no rechaza. Nuestra investigación encontró que el 80 % de los botones de rechazo en 28.891 sitios medidos no detenían realmente el tracking. La cifra a nivel de corpus es el titular; el comportamiento sectorial específico en sitios de e-commerce es algo que mediremos por separado, ya que la dinámica de consentimiento en páginas transaccionales difiere de la de los sitios de noticias o contenidos.
Para una demostración en vivo de cómo se ve un escaneo no conforme:
Una puntuación de riesgo media en esta escala suele indicar que el banner está presente y el botón de rechazo funciona, pero al menos un rastreador se dispara antes del consentimiento. Confirme que ningún rastreador no esencial se dispare antes de la decisión de consentimiento.
La cadencia recomendada es recorrer esta checklist trimestralmente, conservar los resultados como evidencia de rendición de cuentas conforme al GDPR Art. 5(2), y tratar cualquier punto que haya fallado dos veces seguidas como un asunto P1. La mayoría de los operadores no vivirán un evento sancionador. Quienes sí lo hagan se alegrarán de haber mantenido los registros.
Última actualización: