logo Lawwwing

Cookies, banners y textos legales: lo que la AEPD sancionó en 2025

La Agencia Española de Protección de Datos (AEPD) ha dejado claro que el cumplimiento normativo en internet tiene que ser una de las principales prioridades de las empresas. La publicación de su Memoria Anual confirma esta tendencia que viene consolidándose desde hace años y es que las reclamaciones aumentan, las inspecciones son más frecuentes y […]
Legal Lawwwing
13 de julio de 2026

La Agencia Española de Protección de Datos (AEPD) ha dejado claro que el cumplimiento normativo en internet tiene que ser una de las principales prioridades de las empresas. La publicación de su Memoria Anual confirma esta tendencia que viene consolidándose desde hace años y es que las reclamaciones aumentan, las inspecciones son más frecuentes y los incumplimientos en las páginas web y de los ecommerce siguen siendo uno de los principales focos de actuación de la autoridad de control. 

1. 2025: cifras récord en protección de datos

Antes de entrar en el detalle del comercio electrónico, revisar el contexto general de los procedimientos que ha desarrollado la AEPD durante este año pasado. En 2025, se interpusieron 30.931 reclamaciones, lo que supone un incremento del 64% respecto al año anterior. Este aumento ha llevado a la Agencia a resolver 23.361 reclamaciones, la cifra más alta de su historia.

Además, el importe total de las sanciones impuestas ascendió a 33,9 millones de euros, una cifra que refleja la creciente actividad inspectora y la importancia que la Agencia concede a la protección de los datos personales. Aunque las sanciones de mayor cuantía se concentraron en sectores como el transporte, las telecomunicaciones o las grandes plataformas digitales, los incumplimientos cometidos por ecommerce siguen representando un volumen significativo de expedientes sancionadores.

2. Las páginas web como un foco de sanción

La normativa de protección de datos no solo afecta a las grandes empresas, sino que afecta a cualquier empresa que disponga de una página web que recopila datos personales. Son muchas las páginas web que hacen uso de formularios de contacto, suscripciones a newsletters, cookies analíticas, píxeles publicitarios, herramientas de remarketing, chats de atención al cliente o procesos completos de compra en caso de ecommerce.

Todos estos tratamientos están sujetos al Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), la Ley de Servicios de la Sociedad de la Información (LSSI) y, cada vez más, a nuevos marcos regulatorios europeos relacionados con los servicios digitales y la inteligencia artificial.

Uno de los datos más llamativos de la Memoria es que los servicios de Internet representan el 15% de las áreas más sancionadas por la Agencia. Esta cifra resulta especialmente relevante porque engloba precisamente muchas de las infracciones que afectan al funcionamiento habitual de páginas corporativas, webs profesionales y ecommerce.

En la práctica, la mayoría de estos expedientes tienen un origen muy similar:

  • instalación incorrecta de cookies;
  • ausencia de consentimiento válido;
  • políticas de privacidad incompletas;
  • incumplimientos del deber de información;
  • utilización de herramientas de analítica o marketing sin base jurídica adecuada;
  • errores en la identificación del responsable del tratamiento.

3. ¿Cuáles han sido las sanciones más importantes de la AEPD en 2025?

Entre los expedientes más representativos del año destacan sanciones que muestran hasta qué punto la AEPD está endureciendo su criterio con los tratamientos de datos en el entorno digital:

  • AENA: sancionada con 10 millones de euros por implantar un sistema de reconocimiento facial para el acceso y embarque de pasajeros sin haber realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD).
  • Xfera Móviles: sancionada con 4 millones de euros por infracciones de confidencialidad y seguridad derivadas de una brecha de seguridad.
  • Carrefour: sancionado con 3,2 millones de euros por una brecha de seguridad y falta de diligencia en la protección de los datos de sus clientes.

Estos casos comparten un denominador común: la falta de medidas técnicas y organizativas adecuadas, la ausencia de evaluaciones de riesgo previas y la escasa diligencia a la hora de proteger los datos de los usuarios. 

4. Los ecommerce especialmente expuestos

Los ecommerce son un tipo de negocio que se ve sometido a un elevado grado de cumplimiento normativo por lo que se refiere a la protección de datos personales.

Pero es que un ecommerce no solo instala cookies, también gestiona cuentas de usuario, procesa pedidos, almacena direcciones postales, trata datos bancarios, envía comunicaciones comerciales, utiliza plataformas logísticas, integra pasarelas de pago, conecta herramientas de marketing automatizado y comparte información con múltiples proveedores tecnológicos.

Consecuentemente, cada uno de estos tratamientos debe cumplir las obligaciones impuestas por el RGPD. Y cuantos más tratamientos realiza tu ecommerce, mayor es el riesgo de incumplimiento. 

No son pocos los expedientes sancionadores que afectan los ecommerce por incumplimiento normativo en la protección de datos personales.  Entre ellos encontramos sanciones por instalar cookies sin consentimiento, por impedir un rechazo efectivo de las cookies, por políticas de privacidad incompletas o por no identificar correctamente al responsable del tratamiento.

Es por eso que destacamos algunos de los expedientes resueltos en 2025 que afectan a ecommerce:

  • MaxPower: 1.600 euros por cookies instaladas sin consentimiento y falta de granularidad. 
    El expediente sancionador identifica distintos problemas de cumplimiento en su página web. En primer lugar, la web instalaba cookies antes que el usuario realizara cualquier acción o aceptara su uso. En segundo lugar, las inspecciones técnicas pudieron comprobar que, incluso después de seleccionar la opción “rechazar”, la web seguía usando las mismas cookies detectadas al inicio de la sesión. En tercer lugar, no se permitía aceptar o rechazar cookies de forma granular ni existía un enlace permanente que permitiera al usuario modificar o revocar su consentimiento de manera sencilla durante la navegación. Por último, la política de cookies carecía de datos esenciales como la definición y la función genérica de las cookies, la identificación de los proveedores y los periodos de conservación de los datos. 

  • Amor Ideal: 600 euros por una Política de Privacidad incompleta. 
    En este caso la sanción se debió a la reclamación de un cliente que contrató los servicios de “Love Coaching” y denunció que no se le facilitó ningún tipo de información sobre el tratamiento de sus datos personales. L’AEPD constató que la factura emitida por el cliente no contenía ningún tipo de información sobre la protección de datos ni su política de privacidad. Y, además, en el momento de los hechos el sitio web de la empresa no tenía ninguna política de privacidad donde se indicaran los datos del responsable y los derechos de los usuarios. 

  • Trueba Sport. 1.200 euros por no identificar al responsable ni enlazar la Política de Privacidad. 
    L’AEPD resolvió que Trueba Sport, el responsable de la competición ciclista “Vuelta Hispania” cometió dos infracciones del RGPD. Por un lado, vulneró el artículo 5.1.f) referente a la integridad y confidencialidad de los datos porque envió un correo electrónico a más de 300 personas sin la opción de copia oculta (CCO). Y, en segundo lugar, vulneró el artículo 13 del RGPD porque se constató que la página web de la competición recopilaba datos personales a través de formularios de registro y reserva del equipamento sin identificar el responsable del tratamiento ni facilitar ninguna política de privacidad o aviso legal. 

  • Wallapop. 3.000 euros por un banner de cookies ineficaz
    En este caso, la AEPD sancionó a Wallapop por una infracción del artículo 22 de la LSSI a causa de irregularidades en la gestión de las cookies de su página web. Estos incumplimientos se basan en que la web instalaba cookies que no eran técnicas ni necesarias en el momento en que se accedía a su página, sin que el usuario hubiera realizado ninguna acción ni aceptado su uso. Además, se comprobó que, aunque el usuario seleccionara la opción “Rechazar todo”, la página web seguía utilizando las cookies no técnicas que había detectado al inicio. Por lo tanto, el mecanismo de rechazo era claramente ineficaz. Finalmente, durante la navegación por la página web, no era posible modificar el consentimiento de las cookies de forma sencilla ya que el panel de control no permitía la desinstalación efectiva de las mismas durante la navegación.

  • Diario "El Debate". 3.000 euros por cookies no técnicas sin consentimiento e imposibilidad de revocación. 
    L’AEPD determinó que la empresa Ediciones Católicos y vida pública, S.L.U. vulneró el artículo 22.2 de la LSSI. Concretamente se detectaron irregularidades en el uso de cookies sin consentimiento antes que el usuario interactuara con la página o diera su permiso. Además, la Agencia constató que, aunque el usuario rechazara todas las cookies o revocara su consentimiento a través del banner de configuración, algunas cookies publicitarias y analíticas seguían instaladas en el navegador.

  • Inmo-master. 1.000 euros por deficiencias en la Política de Privacidad. 
    En el caso de la entidad Retsinnal Group, S.L.U que opera el sitio web de www.inmo-master.com, l’AEPD sancionó la empresa por una infracción del artículo 13 del RGPD por deficiencias en la política de privacidad porque no se identificaba correctamente el responsable del tratamiento. En este caso, no se proporcionaba ni el nombre de la empresa, ni el NIF, ni se proporcionaban los datos de contacto requeridas por la normativa cuando se recopilan datos personales a través de formularios. 

Como podemos ver, cinco de estos seis casos giran en torno a las cookies y a la gestión del consentimiento, y el sexto, a una Política de Privacidad mal redactada o incompleta. En definitiva, son incumplimientos que pueden evitarse implementando una estrategia de cumplimiento normativo adecuada desde el primer momento.

Un banner de cookies que cumpla

Uno de los aspectos que más está penalizando la AEPD en 2025 es la forma en que las webs gestionan el consentimiento de cookies. Es por eso que, no basta con tener un banner de cookies sino que la Agencia exige que el consentimiento sea claro y granular. Esto significa, entre otras cosas:

  • Que aceptar y rechazar cookies debe ser igual de fácil
  • Que el usuario pueda revocar su consentimiento en cualquier momento, de forma tan sencilla como lo otorgó.
  • Que se ofrezca información granular sobre las distintas categorías de cookies, sin agruparlas.
  • Que no se instalen cookies no esenciales antes de obtener el consentimiento explícito del usuario.

El caso de Wallapop no solo se sancionó la falta de consentimiento, sino la ineficacia del botón rechazar y la dificultad para revocar el consentimiento, dos elementos de diseño de interfaz que la AEPD está persiguiendo activamente.

Política de Privacidad y Aviso Legal actualizados 

Otro grupo de sanciones recurrente en el sector del comercio electrónico tiene que ver con algo tan elemental como identificar correctamente al responsable del tratamiento y disponer de una Política de Privacidad completa y accesible. 

En el caso de Trueba Sport se le sanciona por no identificar al responsable ni proporcionar un enlace a la Política de Privacidad. Y en el caso de Inmo-master se le sanciona por deficiencias en el contenido de la Política de Privacidad. Estas sanciones nos recuerdan que es esencial informar correctamente al usuario sobre quién trata sus datos, con qué finalidad, el período de conservación y los derechos que puede ejercer. 

Checklist de cumplimiento para 2026: todo lo que un ecommerce debería seguir

Los datos de la memoria de la AEPD nos trasladan un mensaje muy claro, y es que cualquier ecommerce tiene cada vez más probabilidades de recibir una reclamación por parte de un cliente, un competidor o la propia Agencia. 

En este contexto, es muy importante apostar por el cumplimiento normativo de la página web de tu ecommerce y, es por eso, que te aconsejamos:

desmarcada Mantener los textos legales actualizados (Política de Privacidad, Aviso Legal, Condiciones de Uso).

desmarcada Implementar medidas de seguridad técnicas y organizativas adecuadas al riesgo del tratamiento.

desmarcada Realizar revisiones periódicas de la página web, incluyendo auditorías de cookies y trackers de terceros.

desmarcada Disponer de un banner de cookies conforme a la normativa vigente y a los criterios más recientes del Comité Europeo de Protección de Datos.

desmarcada Garantizar la obtención de un consentimiento válido, libre, específico, informado e inequívoco.

desmarcada Cumplir con los requisitos de accesibilidad exigidos a las páginas web.

desmarcada Instalar un botón de desistimiento cuando la actividad lo requiera.

desmarcada Cumplir con el etiquetado del RIA (Reglamento de Inteligencia Artificial) en aquellos tratamientos que incorporen sistemas de IA.

Cómo puede ayudarte Lawwwing

En Lawwwing llevamos años ayudando a los ecommerce, pymes y grandes empresas a poner su web al día en materia de protección de datos, cookies y cumplimiento normativo digital. 

Con nuestro software podrás configurar tu banner de cookies conforme con la normativa y redactar tu Política de Privacidad, Aviso Legal y Condiciones de Uso.

No esperes a recibir una notificación de la Agencia para empezar a tomarte en serio la protección de datos de la página web de tu ecommerce. Las cifras de 2025 nos advierten de que el cumplimiento normativo digital es un factor clave para tu reputación y viabilidad de tu negocio. 

👉 Ponte en contacto con el equipo de Lawwwing y descubre cómo podemos ayudarte a blindar tu ecommerce frente a las sanciones de la AEPD.

⬇️Descarga nuestra infografía gratuita con el resumen de las sanciones de la AEPD en 2025 y ten a mano el checklist para evitar multas en 2026. 

¿En qué podemos ayudarte?
Si tienes dudas, nuestros especialistas te ayudarán siempre que lo necesites.
Chat en vivo
Compartir artículo
Blog

Consulta artículos relacionados

Las empresas confían en Lawwwing para asegurar su cumplimiento legal, manteniendo sus documentos actualizados y evitando sanciones.
cross