Cumplimiento del RGPD y de cookies en Joomla para webs europeas

El Reglamento General de Protección de Datos no es opcional para ninguna web que reciba visitantes europeos. Sin embargo, la mayoría de las webs Joomla se quedan lejos de un cumplimiento real: se conforman con un banner de cookies básico y descuidan el registro del consentimiento, la clasificación de cookies, los derechos de los interesados y las medidas técnicas que la normativa realmente exige.

Instalar un plugin de cookies gratuito no es cumplir con el RGPD. Es el comienzo del cumplimiento, y muchas veces un comienzo insuficiente. Un cumplimiento real exige bloquear las cookies antes de obtener el consentimiento, categorías de consentimiento granulares, un registro de consentimientos, la integración con Google Consent Mode v2, una política de privacidad completa, la gestión de las solicitudes de acceso de los interesados y una supervisión continua a medida que evolucionan tu web y el marco normativo.

Implantamos y supervisamos el cumplimiento del RGPD específicamente para webs Joomla, asegurando que tu sitio cumple sus obligaciones legales en todos los Estados miembros de la UE.

Solicita una revisión gratuita de cumplimiento del RGPD →

RGPD y ePrivacy: dos leyes, una sola web

Los responsables de webs suelen hablar de "cookies del RGPD", pero el consentimiento de cookies se sitúa en realidad en el cruce de dos leyes europeas distintas. Entender la diferencia importa, porque cada una impone obligaciones diferentes a tu sitio Joomla.

La Directiva ePrivacy (traspuesta a la legislación nacional de cada Estado miembro) regula el acto de almacenar o leer información en el dispositivo del visitante. Es la norma que exige el consentimiento antes de instalar cookies no esenciales, con independencia de si esas cookies contienen datos personales. Se aplica por igual a las cookies, al localStorage, a las técnicas de fingerprinting y a los píxeles de seguimiento.

El RGPD regula qué ocurre con los datos personales una vez recopilados: la base legal para tratarlos, cuánto tiempo los conservas, con quién los compartes, cómo los proteges y los derechos de las personas a las que pertenecen. En el momento en que una cookie, un formulario o un script de analítica trata algo que permita identificar a una persona (incluida una dirección IP o un identificador único), el RGPD se aplica por encima de las reglas de ePrivacy.

Por tanto, una web Joomla conforme necesita gestionar ambas capas: el consentimiento antes del almacenamiento (ePrivacy) y un tratamiento lícito, transparente y documentado a posteriori (RGPD). Un banner de cookies por sí solo cubre, en el mejor de los casos, la mitad de la primera capa.

Qué exige realmente el cumplimiento del RGPD

Un consentimiento de cookies que funcione de verdad

Conforme al RGPD y a la Directiva ePrivacy, tu web debe bloquear las cookies no esenciales (incluidas las de analítica, marketing y terceros) hasta que el visitante dé su consentimiento explícito. Muchos banners de cookies instalados en sitios Joomla suspenden esta prueba básica: muestran un aviso, pero no impiden realmente que se instalen las cookies. Eso no es consentimiento, es notificación, y no satisface el requisito legal.

Implantamos soluciones de consentimiento de cookies que bloquean de verdad las cookies y los scripts de seguimiento antes de obtener el consentimiento, clasifican las cookies en categorías claramente definidas (necesarias, funcionales, analíticas, marketing), permiten al visitante aceptar o rechazar cada categoría con la misma facilidad y desbloquean los recursos sin necesidad de recargar toda la página cuando se concede el consentimiento.

Igual de importante: rechazar debe ser tan fácil como aceptar. Las autoridades de control de toda la UE han dejado claro que los banners con un botón destacado de "Aceptar todo" y una opción de "Rechazar" escondida tras un enlace de configuración no generan un consentimiento válido. El consentimiento obtenido mediante trucos de diseño no es consentimiento en absoluto.

Google Consent Mode v2

Google exige a las webs que usan Google Ads o Google Analytics implementar Consent Mode v2. Este marco comunica el estado del consentimiento de tus visitantes a los servicios de Google, ajustando en consecuencia su comportamiento de recopilación de datos. Sin una implementación correcta de Consent Mode v2, la medición de conversiones de Google Ads y los datos de Analytics pueden verse gravemente afectados, y las funciones de audiencia para el tráfico del EEE dejan de funcionar por completo.

Configuramos Consent Mode v2 como parte de cada implantación del RGPD, garantizando que tus servicios de Google funcionan correctamente dentro del marco de consentimiento: las señales de consentimiento se disparan antes de que se carguen las etiquetas de Google, el estado por defecto es "denegado" para los visitantes del EEE y las actualizaciones se propagan correctamente cuando un visitante cambia sus preferencias.

Una base legal para cada actividad de tratamiento

Cada dato personal que trata tu web necesita una base legal documentada conforme al artículo 6: consentimiento, contrato, obligación legal, intereses vitales, misión de interés público o interés legítimo. En la práctica, para la mayoría de las webs corporativas Joomla esto significa: consentimiento para las cookies de analítica y marketing, contrato o interés legítimo para los envíos de formularios de contacto y el registro de cuentas, y obligación legal para los datos de facturación.

"Nunca nos lo planteamos" es la base legal más habitual que nos encontramos durante las auditorías, y no es ninguna de las seis. Parte de nuestra implantación es un inventario de tratamiento sencillo: qué datos recopila el sitio, dónde, por qué, sobre qué base y durante cuánto tiempo. Para la mayoría de las pymes esto sirve además como núcleo del registro de actividades de tratamiento del artículo 30.

Registro de consentimientos

El RGPD exige que puedas demostrar que se ha obtenido el consentimiento. Esto significa mantener un registro de cuándo consintió cada visitante, a qué consintió y qué versión de tu texto de consentimiento y tu política de privacidad estaban vigentes en ese momento. Si una autoridad de protección de datos solicita pruebas del consentimiento, debes poder aportarlas. Un banner sin registro de consentimientos te deja sin poder probar precisamente lo único que la normativa te pide demostrar.

Política de privacidad

Tu política de privacidad debe describir con exactitud cada tipo de datos personales que recopila tu web, la base legal del tratamiento, durante cuánto tiempo se conservan los datos, con quién se comparten (incluidos los encargados del tratamiento, como tu proveedor de alojamiento, tu servicio de correo y tu proveedor de analítica), si los datos salen de la UE y cómo pueden ejercer sus derechos los interesados. Una plantilla genérica no basta: tu política de privacidad debe reflejar tus actividades concretas de tratamiento de datos y debe actualizarse cuando esas actividades cambien.

Solicitudes de acceso de los interesados

Conforme al RGPD, las personas tienen derecho a solicitar el acceso a sus datos personales, a solicitar su supresión (el "derecho al olvido") y a solicitar su rectificación o portabilidad. Por lo general dispones de un mes para responder. Tu web Joomla necesita mecanismos para gestionar estas solicitudes; Joomla 5 y 6 incluyen herramientas de privacidad nativas que dan soporte a esto, pero deben configurarse correctamente y quizá haya que ampliarlas para tu caso concreto, sobre todo cuando componentes de terceros almacenan datos de usuario en sus propias tablas.

Preparación para la notificación de brechas

Si se produce una brecha de datos personales en tu web (por un hackeo, una base de datos filtrada o un formulario mal configurado), el artículo 33 te da 72 horas para notificarlo a tu autoridad de control desde el momento en que tienes conocimiento de ello, salvo que sea improbable que la brecha entrañe un riesgo para las personas afectadas. Setenta y dos horas es muy poco tiempo si no tienes un plan, ni registros, ni idea de qué datos contenía el sitio. El cumplimiento implica estar preparado para el día malo: saber qué almacenas, conservar registros que permitan reconstruir lo sucedido y disponer de una vía de contacto con ayuda competente. (Si estás leyendo esto porque el día malo ya ha llegado, nuestro servicio de recuperación de emergencia de sitios hackeados incluye evaluación de la brecha y apoyo con la documentación).

Dónde recopilan datos personales realmente las webs Joomla

Durante las auditorías, los responsables de los sitios se sorprenden habitualmente de en cuántos lugares su "sencilla web de presentación" trata datos personales. Los sospechosos habituales en una web Joomla:

  • Formularios de contacto y de presupuesto: nombres, correos, números de teléfono y, a menudo, campos de texto libre donde los visitantes aportan mucho más. ¿Adónde van los envíos, quién los recibe y cuánto tiempo permanecen en la base de datos y en las bandejas de entrada?
  • Registro e inicio de sesión de usuarios: cuentas, perfiles y datos de contraseña, además de todo lo que añaden por encima las extensiones de terceros de comunidad o membresía.
  • Suscripciones al boletín: normalmente sincronizadas con una plataforma de correo externa, lo que convierte a esa plataforma en un encargado del tratamiento que debe figurar en tu política de privacidad y bajo un contrato de encargo de tratamiento.
  • Analítica y gestores de etiquetas: Google Analytics, Matomo, herramientas de mapas de calor, píxeles de conversión. Las direcciones IP y los identificadores en línea son datos personales.
  • Contenido de terceros incrustado: vídeos de YouTube, Google Maps, widgets de redes sociales y fuentes alojadas externamente pueden transmitir las direcciones IP de los visitantes a terceros en el mismo instante en que se carga la página, antes de obtener ningún consentimiento. Cada elemento incrustado necesita o bien estar condicionado al consentimiento, o bien una alternativa respetuosa con la privacidad (fuentes locales, fachadas de vídeo con carga al hacer clic).
  • Registros del servidor y extensiones de seguridad: los logs de acceso, los registros de inicios de sesión fallidos y los logs del firewall contienen todos direcciones IP. Es legítimo conservarlos, pero necesitan un plazo de conservación y una mención en tu política.
  • Comercio electrónico y pagos: los datos de pedidos, las direcciones y las integraciones con pasarelas de pago acarrean obligaciones y contratos adicionales.

El propio Joomla incluye piezas útiles: el componente de privacidad (com_privacy) para gestionar las solicitudes de acceso y supresión, el registro de acciones de usuario y los campos de consentimiento en el registro. Estas herramientas nativas son una verdadera ventaja frente a muchas plataformas, pero cubren el núcleo de Joomla, no las extensiones de terceros donde ocurre la mayor parte del tratamiento de datos real. Nuestra implantación mapea cada extensión de tu sitio que toca datos personales y se asegura de que cada una esté cubierta, condicionada al consentimiento o eliminada.

Por qué los plugins gratuitos no bastan

Los plugins gratuitos de consentimiento de cookies para Joomla cubren la capa visible: el banner que ven los visitantes. Por lo general no ofrecen una clasificación y un bloqueo de cookies adecuados, ni el registro del consentimiento como prueba ante las autoridades, ni la integración con Consent Mode v2, ni reglas de consentimiento basadas en la geolocalización (en distintos países de la UE rigen requisitos distintos), ni una supervisión continua a medida que cambia tu sitio, ni actualizaciones cuando evoluciona la normativa.

El cumplimiento no es una instalación puntual. Es un proceso continuo. Tu web cambia: se añaden nuevas extensiones, se incrustan scripts de terceros, se crean formularios. Cada cambio puede introducir un nuevo tratamiento de datos que debe reflejarse en tu mecanismo de consentimiento y en tu política de privacidad. Un banner configurado una sola vez en 2023 y nunca revisado casi con seguridad ya no se corresponde con lo que el sitio hace hoy.

Alojamiento, transferencias de datos y por qué importa la ubicación del servidor

El RGPD restringe las transferencias de datos personales fuera del Espacio Económico Europeo. Desde que la sentencia Schrems II invalidó el antiguo marco del Privacy Shield, las transferencias a proveedores estadounidenses han exigido garantías adicionales, y el terreno jurídico ha seguido cambiando con cada marco sucesor y cada impugnación. Para una web corporativa, la forma más sencilla de quitarse de encima todo este problema es, de entrada, mantener los datos en Europa.

Esa es una de las razones por las que nuestro alojamiento Joomla gestionado funciona exclusivamente en servidores europeos, bajo jurisdicción de la UE y con copias de seguridad ubicadas en la UE. Los datos de tus visitantes, los envíos de formularios y los registros de consentimiento permanecen dentro del EEE. Cuando tu stack sí incluye encargados de tratamiento fuera de la UE (una plataforma de correo estadounidense, por ejemplo), nos aseguramos de que el mecanismo de transferencia y la información en la política de privacidad estén en su sitio.

Nuestros servicios de RGPD

Implantación inicial

Auditamos las actividades de tratamiento de datos actuales de tu web Joomla, implantamos una plataforma de gestión del consentimiento adecuada, configuramos la clasificación y el bloqueo de cookies, ponemos en marcha Google Consent Mode v2, creamos o revisamos tu política de privacidad y tu política de cookies, configuramos la gestión de las solicitudes de los interesados a través de las herramientas de privacidad de Joomla, elaboramos tu inventario de tratamiento y probamos la implementación completa en navegadores y dispositivos, incluida la verificación de que nada se dispara antes del consentimiento.

Supervisión continua

Supervisamos tu web en busca de nuevas cookies o scripts de seguimiento introducidos por las actualizaciones de extensiones o los cambios de contenido, verificamos que los mecanismos de consentimiento siguen funcionando correctamente, actualizamos las configuraciones de consentimiento cuando se instalan nuevas extensiones, revisamos y actualizamos el texto de la política de privacidad a medida que cambia tu tratamiento de datos, te orientamos cuando evolucionan los requisitos normativos y mantenemos el registro de consentimientos.

La supervisión continua está disponible como servicio independiente o como parte de nuestros planes de mantenimiento Professional y Enterprise.

Qué recibes

Cada implantación termina con documentación que puedes entregar de verdad a una autoridad, a un cliente o a tu propio abogado: el inventario de tratamiento, la configuración del consentimiento y su justificación, la tabla de clasificación de cookies y los documentos de política. El cumplimiento que no puedes demostrar es un cumplimiento que no tienes.

Requisitos específicos por país

Aunque el RGPD aporta el marco común a toda la UE, los distintos Estados miembros y sus autoridades de control han desarrollado requisitos adicionales y prioridades de aplicación que afectan a cómo debe obtenerse y demostrarse el consentimiento. Por ejemplo:

  • Alemania: la TTDSG (ahora TDDDG) traspone las reglas de ePrivacy a la legislación nacional, y la jurisprudencia alemana (incluida la sentencia Planet49 del Bundesgerichtshof) exige un consentimiento explícito de opt-in sin casillas marcadas de antemano. La interpretación alemana del consentimiento de cookies es de las más estrictas de la UE, y los competidores y las asociaciones de consumidores alemanas pueden emitir requerimientos formales (Abmahnungen) contra sitios no conformes.
  • Francia: la CNIL cuenta con directrices detalladas sobre los banners de consentimiento de cookies, incluido el requisito de que rechazar las cookies debe ser tan fácil como aceptarlas, y lo ha respaldado con algunas de las mayores multas relacionadas con cookies impuestas en Europa.
  • Italia: el Garante per la protezione dei dati personali exige formatos específicos de información sobre cookies y ha publicado sus propias directrices sobre las herramientas de analítica y el consentimiento.
  • España: la AEPD es una de las autoridades de aplicación más prolíficas de la UE por número de resoluciones, con una guía sobre cookies que actualiza con regularidad.
  • Países Bajos: la Autoriteit Persoonsgegevens se centra activamente en el cumplimiento del consentimiento de cookies y ha anunciado públicamente campañas de inspección de banners de cookies.
  • Irlanda: la DPC es la autoridad principal de muchas plataformas tecnológicas globales, y sus decisiones marcan cómo se interpretan las reglas de consentimiento y transparencia para todos los demás.

Configuramos implementaciones de consentimiento que satisfacen los requisitos de los países concretos de la UE a los que se dirige tu web. Nuestra Guía de cumplimiento en la UE ofrece más detalle sobre los requisitos específicos por país.

El coste de hacerlo mal

El RGPD prevé dos niveles de multas administrativas: hasta 10 millones de euros o el 2 % de la facturación anual global por infracciones como registros o medidas de seguridad inadecuados, y hasta 20 millones de euros o el 4 % de la facturación por violaciones de los principios básicos del tratamiento, las reglas del consentimiento y los derechos de los interesados, aplicándose en cada caso la cuantía más alta.

Las grandes sanciones de aplicación han alcanzado cientos de millones de euros contra las principales plataformas, y el consentimiento de cookies en concreto ha generado multas de ocho y nueve cifras de la CNIL francesa contra las mayores tecnológicas. A las pymes no se las multa a esa escala, pero las autoridades de toda la UE las multan, advierten y obligan a cambiar de prácticas cada mes y, en varios Estados miembros, un banner de cookies no conforme basta para desencadenar la denuncia de un competidor o, en Alemania, un requerimiento formal de cese con sus costes legales adjuntos.

Los costes comerciales llegan antes que los regulatorios: los clientes corporativos auditan cada vez más las webs de sus proveedores antes de firmar, las licitaciones del sector público exigen un cumplimiento demostrable y los visitantes preocupados por la privacidad simplemente se marchan. Una experiencia de consentimiento visiblemente rota transmite descuido justo a los clientes que menos te conviene perder.

Una hoja de ruta práctica de cumplimiento

Si quieres entender en qué consiste realmente el trabajo, esta es la secuencia que seguimos en cada proyecto de RGPD en Joomla:

  1. Inventario: rastrear y auditar el sitio; cada cookie, script, formulario, extensión y conexión con terceros que toque datos personales.
  2. Decidir: para cada actividad de tratamiento, conservarla (y sobre qué base legal), condicionarla al consentimiento, sustituirla por una alternativa respetuosa con la privacidad o eliminarla.
  3. Implantar el consentimiento: desplegar la plataforma de consentimiento, clasificar las cookies, bloquear todo lo no esencial antes del consentimiento, integrar Consent Mode v2 y conectar el registro de consentimientos.
  4. Documentar: política de privacidad, política de cookies, registros de tratamiento y contratos de encargo de tratamiento ajustados a la realidad.
  5. Habilitar la gestión de derechos: configurar el flujo de solicitudes de privacidad de Joomla para que las solicitudes de acceso y supresión puedan atenderse dentro del plazo.
  6. Probar: verificar con perfiles de navegador limpios que nada se dispara antes del consentimiento, que el rechazo rechaza de verdad y que las preferencias se conservan correctamente.
  7. Supervisar: volver a analizar de forma periódica y después de cada cambio de extensión o de contenido que pueda introducir un nuevo tratamiento.

Los pasos del uno al seis son el proyecto de implantación. El paso siete es la razón por la que el cumplimiento pertenece a una relación de mantenimiento y no a una factura puntual.

Mitos habituales que escuchamos durante las auditorías

"Tenemos un banner de cookies, así que cumplimos". El banner es el 10 % visible. Si los scripts se bloquean realmente antes del consentimiento, si el consentimiento queda registrado, si la política se corresponde con la realidad y si las solicitudes de derechos pueden atenderse: ese es el otro 90 %, y es donde fallan las auditorías.

"Somos demasiado pequeños para que alguien se fije en nosotros". La aplicación de la normativa contra pequeñas empresas es real y suele empezar con una denuncia: de un visitante, un antiguo empleado o un competidor. En Alemania en particular, los competidores utilizan activamente las webs no conformes como base para requerimientos formales. Las pequeñas empresas son además las menos preparadas para absorber los costes legales cuando ocurre.

"De eso se encargó nuestra agencia web cuando construyó el sitio". Quizá, para el sitio tal como existía el día del lanzamiento. Cada extensión instalada, cada script incrustado y cada formulario añadido desde entonces ha cambiado el panorama del tratamiento de datos. El cumplimiento se degrada; por eso existe la supervisión.

"El RGPD es problema del navegador del visitante: que bloquee las cookies". La obligación legal recae en el operador de la web, sin excepciones. Lo que los visitantes podrían hacer en teoría para protegerse no tiene ninguna relación con lo que tú estás obligado a hacer.

"Solo nos dirigimos a clientes de nuestro propio país, así que las reglas de otros países no se aplican". El RGPD se aplica de manera uniforme en todo el EEE, y tu implementación del consentimiento debe satisfacer a la autoridad de control del lugar donde estás establecido, y además, en la práctica, a las expectativas de cualquier Estado miembro al que te dirijas de forma visible. Un sitio disponible en tres idiomas está haciendo una declaración sobre a quién se dirige.

Preguntas frecuentes

¿Necesito cumplir el RGPD si mi empresa está fuera de la UE?

Si tu web es accesible para residentes en la UE y les ofreces bienes o servicios, o monitorizas su comportamiento (a través de la analítica, por ejemplo), el RGPD se te aplica con independencia de dónde esté ubicada tu empresa.

¿Cuáles son las sanciones por incumplimiento?

El RGPD prevé multas de hasta 20 millones de euros o el 4 % de la facturación anual global, la cantidad que sea más alta, para las infracciones más graves, con un nivel inferior de 10 millones de euros o el 2 % para las demás. En la práctica, las multas por infracciones del consentimiento de cookies han oscilado entre miles y cientos de millones de euros según el tamaño de la organización, la gravedad y el enfoque de aplicación de cada Estado miembro.

¿Cuánto tarda la implantación del RGPD?

La implantación inicial para una web Joomla estándar suele llevar entre una y dos semanas, incluidas la auditoría, la configuración, la creación de políticas y las pruebas. Los sitios complejos con múltiples formularios, integraciones de terceros y registro de usuarios pueden requerir más tiempo.

¿Puedo usar analítica sin banner de cookies?

A veces. Una analítica centrada en la privacidad, configurada para funcionar sin cookies y sin tratar datos identificables, puede en varios Estados miembros funcionar sin un banner de consentimiento, aunque las directrices nacionales difieren. Para muchas webs de pequeñas empresas, cambiar a una analítica sin cookies es el camino más sencillo hacia una web honesta y con mínima presencia de banners. Te asesoramos sobre si esa vía encaja con tu mezcla de países y tus necesidades de reporting.

¿Una web pequeña necesita de verdad todo esto?

Las obligaciones escalan con tu tratamiento, no con tu facturación. Un sitio de cinco páginas con un formulario de contacto y sin analítica necesita muy poco: una política precisa, un formulario seguro y ningún script de terceros que se cargue antes del consentimiento. La auditoría te dice en qué nivel estás; muchos sitios pequeños descubren que necesitan menos de lo que temían, pero en lugares distintos de los que suponían.

¿Podéis hacer que mi sitio Joomla 3 cumpla el RGPD?

Podemos mejorar el cumplimiento del RGPD en Joomla 3, pero un cumplimiento real sobre una plataforma sin soporte ni parches está fundamentalmente comprometido. Ejecutar software sin actualizaciones de seguridad es difícil de defender como "medida técnica apropiada" conforme al artículo 32. Recomendamos actualizar primero a Joomla 5 o Joomla 6 y, después, implantar el cumplimiento del RGPD sobre la plataforma segura y con soporte.

¿Cada cuánto hay que revisar el cumplimiento?

Siempre que la web cambie de un modo que afecte al tratamiento de datos (un nuevo formulario, una extensión o un servicio incrustado) y, en cualquier caso, al menos una vez al año, porque las directrices de las autoridades de control y los requisitos de plataformas como Google evolucionan continuamente. Esto es precisamente lo que cubre nuestra supervisión continua.

Empieza con una revisión de cumplimiento del RGPD

Nuestra auditoría gratuita del sitio incluye una evaluación de cumplimiento del RGPD: revisamos tu gestión actual de cookies, tu mecanismo de consentimiento, tu política de privacidad y los indicadores de tratamiento de datos. Recibes un informe claro que muestra en qué punto se encuentra tu sitio Joomla y qué hay que cambiar.

Consigue tu revisión gratuita de cumplimiento del RGPD →

También te puede interesar