Volver al blog
7 min de lectura
Cumplimiento

RGPD: páginas legales, rastreadores de terceros y banner de cookies bajo la lupa

Una política de privacidad ausente es un punto ciego legal. Un banner de cookies sin botón de rechazo es una multa en potencia. Los tests #34 y #57 detectan ambos antes que un regulador.

Puntos clave
  • El test #34 detecta señales de páginas legales: aviso legal, política de privacidad, condiciones de uso, política de cookies. 3 categorías faltantes de 4 = puntuación 20/100
  • El test #57 detecta mecanismos de consentimiento de cookies: plataformas CMP conocidas, API TCF v2, consent mode, patrones de banners genéricos. Sin banner = puntuación 20/100
  • Las multas del RGPD pueden alcanzar el 4 % de la facturación anual o 20 millones de euros — las agencias que incluyen verificaciones de cumplimiento en sus auditorías aprovechan una demanda impulsada por el miedo

El cumplimiento del RGPD no es opcional. Desde 2018, todo sitio web dirigido a usuarios europeos debe mostrar páginas legales claras, obtener consentimiento antes de instalar cookies y ofrecer un mecanismo de rechazo genuino. Sin embargo, en 2026, un número impresionante de sitios WordPress todavía cargan Google Analytics antes de cualquier consentimiento — o simplemente no tienen ningún banner de cookies.

Las consecuencias no son teóricas. Solo en 2024, las autoridades europeas de protección de datos impusieron más de 2 mil millones de euros en multas. Las pequeñas empresas no están exentas: la CNIL francesa sanciona regularmente a pymes por políticas de privacidad faltantes y banners de cookies no conformes. Para agencias y freelancers, esto es tanto un riesgo como una oportunidad.

Orilyt ejecuta dos tests complementarios. El test #34 verifica si el sitio muestra páginas legales obligatorias — aviso legal, política de privacidad, condiciones de servicio. El test #57 detecta si existe un mecanismo de consentimiento de cookies y si está correctamente implementado. Juntos, cubren los dos pilares del cumplimiento RGPD de un sitio web.

Tests de cumplimiento RGPD: detección de páginas legales, verificación del banner de cookies y análisis de rastreadores de terceros

Test #34: ¿Están presentes tus páginas legales?

El test #34 escanea el código HTML completo de la página auditada buscando señales por palabras clave en cuatro categorías:

  1. Aviso legal (mentions légales / Impressum) — obligatorio en Francia, Alemania y la mayoría de los países de la UE. El test busca "aviso legal", "legal notice", "imprint", "mentions légales" en enlaces, encabezados y texto
  2. Política de privacidad — la piedra angular del cumplimiento RGPD. El test busca "política de privacidad", "privacy policy", "datos personales" y equivalentes en FR, EN, ES, DE
  3. Condiciones de servicio / CGV — esenciales para sitios e-commerce y SaaS. Palabras clave: "términos y condiciones", "conditions générales de vente", "condiciones de uso"
  4. Política de cookies — una página dedicada que explica qué cookies utiliza el sitio. El test detecta "política de cookies", "cookie policy" y expresiones relacionadas

La puntuación es directa: 2 o más categorías detectadas = puntuación 100. Solo 1 categoría encontrada = puntuación 70 (falta algo). Ninguna señal de página legal = puntuación 20. El test utiliza coincidencia multilingüe en francés, inglés, español y alemán.

Un sitio sin política de privacidad es como una tienda sin puerta — cualquiera puede ver lo que ocurre dentro, y la ley se dará cuenta.

Test #57: ¿Hay un banner de consentimiento de cookies?

El test #57 adopta un enfoque diferente. En lugar de buscar texto, escanea el HTML buscando firmas técnicas de plataformas de gestión del consentimiento (CMP):

  1. Plataformas CMP conocidas — el test reconoce más de 20 plataformas: Cookiebot, OneTrust, Axeptio, Tarteaucitron, Complianz, Didomi, Iubenda, Borlabs Cookie, y más. Si se encuentra algún script o identificador de plataforma, puntuación = 100
  2. API IAB TCF v2 — el estándar de la industria para el consentimiento. El test verifica la presencia de la función __tcfapi y señales de Google Consent Mode
  3. Patrones de banners genéricos — clases CSS como "cookie-consent", "cookie-banner", "gdpr-banner", atributos data como data-consent-type, y texto de botones como "Aceptar cookies" en cuatro idiomas

Si se detecta una plataforma CMP conocida, la puntuación es 100. Si solo se encuentran señales genéricas (sin CMP reconocido), la puntuación es 80 — existe un mecanismo de consentimiento pero puede no ser robusto. Si no se encuentra nada, la puntuación cae a 20.

La ausencia total de mecanismo de consentimiento es el hallazgo de mayor riesgo. Significa que las cookies y rastreadores se activan libremente — una violación directa de la Directiva ePrivacy y del RGPD.

Las 4 violaciones más comunes

Tras analizar miles de sitios WordPress, las mismas violaciones aparecen una y otra vez:

  1. Sin página de política de privacidad — el sitio no tiene ninguna página que explique qué datos personales se recopilan, por qué y por quién. Es el requisito RGPD más básico y el que falta con más frecuencia
  2. Scripts de rastreo que se ejecutan antes del consentimiento — Google Analytics, Facebook Pixel o HotJar se disparan inmediatamente al cargar la página, antes de que el visitante haya interactuado con ningún banner de cookies. Es una violación directa del principio de "consentimiento previo"
  3. Banner de cookies sin opción de rechazo — el banner tiene un botón "Aceptar todo" pero no un equivalente "Rechazar todo". La CNIL y otros reguladores han sido claros: rechazar debe ser tan fácil como aceptar
  4. Ningún banner de cookies — el sitio instala cookies sin ningún aviso ni mecanismo de consentimiento. Sorprendentemente común en sitios que "creen no usar cookies" pero cargan scripts de terceros que sí lo hacen

No son casos marginales. Afectan a la mayoría de los sitios WordPress. Y cada uno de ellos es detectable por los tests #34 y #57 de Orilyt.

Cómo corregir las violaciones del RGPD

La buena noticia: la mayoría de los problemas de cumplimiento RGPD se corrigen en menos de una hora. Aquí está el flujo de trabajo recomendado:

  1. Añadir las páginas legales faltantes — crear una política de privacidad, un aviso legal y una política de cookies. Para WordPress, plugins como Complianz o Iubenda generan plantillas legalmente sólidas. Para sitios personalizados, adaptar un modelo de tu autoridad de protección de datos
  2. Instalar una plataforma de gestión del consentimiento — Tarteaucitron (gratuito, francés), Cookiebot o Complianz (plugin WordPress) son opciones populares. Configurar para bloquear todos los scripts de rastreo hasta obtener el consentimiento
  3. Verificar el consentimiento previo — después de la instalación, probar el sitio con las herramientas de desarrollo del navegador. Abrir la pestaña Red, eliminar cookies y recargar. Ninguna solicitud de rastreo debe ejecutarse antes de hacer clic en "Aceptar". Esta es la prueba crítica
  4. Añadir un botón de rechazo visible — asegurarse de que el banner de cookies ofrezca "Aceptar todo" y "Rechazar todo" con la misma prominencia. Sin dark patterns (enlace de rechazo diminuto, casillas premarcadas, redacción confusa)

Después de hacer estos cambios, ejecuta una nueva auditoría Orilyt. El test #34 debería puntuar 100 (páginas legales detectadas) y el test #57 debería puntuar 100 (plataforma CMP detectada). Si no, el informe indica exactamente qué falta todavía.

El cumplimiento RGPD como argumento comercial

Para freelancers y agencias, los hallazgos de cumplimiento RGPD son de los más convincentes en cualquier auditoría. Combinan urgencia legal e impacto emocional:

En el informe Orilyt, los tests #34 y #57 generan recomendaciones FIA claras:

  1. Hecho: «No se detectó política de privacidad» o «No se encontró mecanismo de consentimiento de cookies»
  2. Impacto: «El sitio viola el artículo 13 del RGPD — las multas pueden alcanzar el 4 % de la facturación anual o 20 millones de euros» o «Rastreadores de terceros se activan sin consentimiento — cada visita es una queja potencial»
  3. Acción: «Crear una página de política de privacidad y enlazarla en el footer» o «Instalar una plataforma de gestión del consentimiento y configurar el bloqueo previo de todos los scripts de rastreo»

Nada motiva a un cliente más rápido que la palabra "multa". Cuando un prospecto ve que su sitio no tiene política de privacidad ni banner de cookies, la conversación pasa de "¿deberíamos hacer esto?" a "¿con qué rapidez puede arreglarlo?". Las auditorías de cumplimiento RGPD se venden solas.

Las multas del RGPD no están reservadas a las grandes tecnológicas. Cualquier sitio web que recopile datos personales sin consentimiento está expuesto — y la mayoría de los sitios WordPress recopilan más de lo que sus propietarios imaginan.

El cumplimiento no es una funcionalidad — es una obligación legal

El cumplimiento del RGPD no es un "nice-to-have". Es la ley. Una política de privacidad faltante, un banner de cookies no conforme o scripts de rastreo que se ejecutan antes del consentimiento — cada uno puede desencadenar una investigación regulatoria. Los tests #34 y #57 detectan estos problemas en segundos.

Para las agencias, el cumplimiento RGPD es el servicio complementario más fácil de vender. La auditoría encuentra el problema, el informe explica el riesgo en lenguaje claro y la corrección toma menos de una hora. El cliente entiende la urgencia sin necesitar una explicación técnica.

Ejecuta una auditoría. Verifica los tests #34 y #57. Si ambos puntúan 100, el sitio cubre lo básico. Si alguno está por debajo de 70, hay trabajo por hacer — y un servicio que vender.

Verifica el cumplimiento RGPD de cualquier sitio en 2 minutos
Ejecuta una auditoría gratuita y verifica si las páginas legales están presentes y el consentimiento de cookies está correctamente implementado — junto con 56 tests más.
Lanzar una auditoría gratuita
RGPD Cookies Cumplimiento Privacidad Páginas legales WordPress
Anterior Sécurité Drupal, Joomla, Magento : les failles que personne ne vérifie Siguiente Keyboard accessibility