Hace un par de años me llamó un hostelero de Málaga, agobiado. Le había llegado una notificación de la Agencia Española de Protección de Datos (AEPD) reclamándole 20.000 euros. Su pecado: tener un formulario de contacto sin política de privacidad y unas cookies que seguían funcionando aunque el usuario dijera que no.
“Pero si yo solo quería que la gente me mandara un WhatsApp”, me decía.
Y yo le tuve que explicar que la ley no entiende de intenciones, entiende de hechos.
Eso fue en 2023. En 2026, la cosa se ha puesto incluso más seria. La AEPD ha endurecido los criterios, las sentencias del TJUE han dejado claro que las cookies “aceptar todas” no valen si no hay un “rechazar” igual de fácil, y además se suman normativas europeas que afectan a la accesibilidad y a los servicios digitales.
He escrito esta guía pensando en ti, que probablemente estás leyendo esto con el café en la mano y con la pesadumbre de saber que tu web igual no está del todo bien. Sin tecnicismos raros, qué es lo que sí o sí tienes que tener en orden para 2026.
Lo que regula tu web en España: 2 normativas clave
⚠️ No es opcional. Si tienes una web activa en España, ambas aplican.
1. La LSSI: el “DNI” de tu web
La LSSI es como el carnet de identidad de tu página. Su objetivo principal es que cualquier visitante sepa quién hay detrás de esa pantalla. Si no pones quién eres, estás incumpliendo.
Y ojo: la LSSI no distingue entre si vendes o no vendes. Da igual que sea una web personal si ejerces una actividad económica —aunque seas un autónomo que muestra sus servicios—, tienes que cumplirla.
El aviso legal que sí o sí debe estar
El aviso legal no es un texto genérico que copiaste del vecino. Tiene que contener, como mínimo:
En 2026, los tribunales están poniendo el foco en que el aviso legal sea fácilmente accesible: visible desde cualquier página, con un enlace claro. No vale meterlo en un rincón oscuro del footer con letra gris sobre fondo gris.
2. Las cookies: lo que nadie te cuenta
Uf, las cookies. El dolor de cabeza de todos. Pero vamos a desmontar mitos.
"Con que aparezca el banner de cookies, ya cumples."
El banner tiene que ser conforme: rechazar igual de fácil que aceptar, sin trampas visuales.
"Si el usuario sigue navegando, acepta las cookies."
El scroll como consentimiento fue declarado nulo. Necesitas una acción afirmativa y clara.
"Las cookies de analítica no necesitan consentimiento."
Solo las cookies técnicas (sesión, carrito, idioma) están exentas. Las analíticas y publicitarias requieren consentimiento.
Los 3 principios del banner de cookies en 2026
3. Protección de datos: más allá del típico texto
Si tu web recoge datos personales —y créeme, los recoge— tienes que cumplir con la LOPD (GDPR en realidad, pero en España seguimos usando la denominación local por costumbre).
La política de privacidad
Es el documento donde le explicas al usuario qué vas a hacer con sus datos. Tiene que estar redactado en lenguaje comprensible, no en latín jurídico. Debe incluir:
Atención en 2026: si usas Google Analytics, Facebook Pixel o cualquier píxel de seguimiento, estás haciendo una cesión de datos a terceros. Tu política de privacidad debe reflejarlo. Y en muchos casos necesitas consentimiento específico e informado para esas cesiones.
Formularios de contacto
Si tienes un formulario de “contáctame”, no basta con los campos de nombre y email. Debes incluir:
- Un enlace a la política de privacidad justo al lado del botón de enviar.
- Una casilla sin marcar por defecto donde el usuario acepte expresamente el tratamiento de sus datos.
La AEPD ha dicho que el consentimiento debe ser inequívoco y el “premarcado” no vale.
4. El nuevo invitado: la accesibilidad y la EAA
Aunque no es LOPD ni LSSI, en 2026 es imposible hablar de cumplimiento legal sin mencionar la European Accessibility Act (EAA), directiva que entró en vigor en 2025 para productos y servicios digitales.
Por ahora, la AEPD no está multando masivamente por accesibilidad, pero la normativa está ahí. Cuando empiecen las inspecciones sectoriales, será otro frente abierto.
5. ¿Qué pasa si no cumples?
Las sanciones más habituales
Además, existe la posibilidad de que te llegue una reclamación de algún usuario. Cada vez hay más asociaciones de consumidores que vigilan el cumplimiento digital. Y una reclamación, aunque no derive en multa, genera un procedimiento que te quita horas de sueño.
6. Plan de acción para 2026
Si después de leer esto tienes la sensación de que tu web está coja, no te preocupes. Es lo normal. Más de la mitad de las páginas que veo en mi día a día incumplen en al menos uno de estos puntos. Pero puedes solucionarlo.
protecciondatos@tudominio.com y saber qué hacer si alguien te pide que borres sus datos te puede salvar de un buen susto.Soy el primero que prefiere hablar de diseño web, de estrategia de contenidos o de cómo mejorar la velocidad de carga. Pero llevo más de diez años haciendo webs y he visto demasiados clientes sufrir por no tener esto en orden. Por eso, siempre que lanzo una web nueva o hago un mantenimiento, incluyo una revisión legal como parte del servicio. No porque quiera dar la lata, sino porque proteger a mi cliente también es parte de mi trabajo.
Si tienes dudas sobre si tu web cumple o no, puedes contactarme sin compromiso. A veces basta con echar un vistazo rápido para saber si estás en zona de riesgo. Y si no tienes tiempo de ponerte al día con todo esto, nosotros podemos ayudarte a dejarlo todo listo para que te olvides y te centres en lo que realmente importa: hacer crecer tu negocio.
Nota: Esta guía es divulgativa y se basa en mi experiencia como profesional del sector web, pero no constituye asesoramiento legal. Las leyes cambian y cada caso concreto puede tener particularidades. Si necesitas seguridad absoluta, siempre es recomendable consultar con un abogado especializado en derecho digital.