

La Agencia Española de Protección de Datos (AEPD) ha dejado claro que el cumplimiento normativo en internet tiene que ser una de las principales prioridades de las empresas. La publicación de su Memoria Anual confirma esta tendencia que viene consolidándose desde hace años y es que las reclamaciones aumentan, las inspecciones son más frecuentes y los incumplimientos en las páginas web y de los ecommerce siguen siendo uno de los principales focos de actuación de la autoridad de control.
Antes de entrar en el detalle del comercio electrónico, revisar el contexto general de los procedimientos que ha desarrollado la AEPD durante este año pasado. En 2025, se interpusieron 30.931 reclamaciones, lo que supone un incremento del 64% respecto al año anterior. Este aumento ha llevado a la Agencia a resolver 23.361 reclamaciones, la cifra más alta de su historia.
Además, el importe total de las sanciones impuestas ascendió a 33,9 millones de euros, una cifra que refleja la creciente actividad inspectora y la importancia que la Agencia concede a la protección de los datos personales. Aunque las sanciones de mayor cuantía se concentraron en sectores como el transporte, las telecomunicaciones o las grandes plataformas digitales, los incumplimientos cometidos por ecommerce siguen representando un volumen significativo de expedientes sancionadores.
La normativa de protección de datos no solo afecta a las grandes empresas, sino que afecta a cualquier empresa que disponga de una página web que recopila datos personales. Son muchas las páginas web que hacen uso de formularios de contacto, suscripciones a newsletters, cookies analíticas, píxeles publicitarios, herramientas de remarketing, chats de atención al cliente o procesos completos de compra en caso de ecommerce.
Todos estos tratamientos están sujetos al Reglamento General de Protección de Datos (RGPD), la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), la Ley de Servicios de la Sociedad de la Información (LSSI) y, cada vez más, a nuevos marcos regulatorios europeos relacionados con los servicios digitales y la inteligencia artificial.
Uno de los datos más llamativos de la Memoria es que los servicios de Internet representan el 15% de las áreas más sancionadas por la Agencia. Esta cifra resulta especialmente relevante porque engloba precisamente muchas de las infracciones que afectan al funcionamiento habitual de páginas corporativas, webs profesionales y ecommerce.
En la práctica, la mayoría de estos expedientes tienen un origen muy similar:
Entre los expedientes más representativos del año destacan sanciones que muestran hasta qué punto la AEPD está endureciendo su criterio con los tratamientos de datos en el entorno digital:
Estos casos comparten un denominador común: la falta de medidas técnicas y organizativas adecuadas, la ausencia de evaluaciones de riesgo previas y la escasa diligencia a la hora de proteger los datos de los usuarios.
Los ecommerce son un tipo de negocio que se ve sometido a un elevado grado de cumplimiento normativo por lo que se refiere a la protección de datos personales.
Pero es que un ecommerce no solo instala cookies, también gestiona cuentas de usuario, procesa pedidos, almacena direcciones postales, trata datos bancarios, envía comunicaciones comerciales, utiliza plataformas logísticas, integra pasarelas de pago, conecta herramientas de marketing automatizado y comparte información con múltiples proveedores tecnológicos.
Consecuentemente, cada uno de estos tratamientos debe cumplir las obligaciones impuestas por el RGPD. Y cuantos más tratamientos realiza tu ecommerce, mayor es el riesgo de incumplimiento.
No son pocos los expedientes sancionadores que afectan los ecommerce por incumplimiento normativo en la protección de datos personales. Entre ellos encontramos sanciones por instalar cookies sin consentimiento, por impedir un rechazo efectivo de las cookies, por políticas de privacidad incompletas o por no identificar correctamente al responsable del tratamiento.
Es por eso que destacamos algunos de los expedientes resueltos en 2025 que afectan a ecommerce:
Como podemos ver, cinco de estos seis casos giran en torno a las cookies y a la gestión del consentimiento, y el sexto, a una Política de Privacidad mal redactada o incompleta. En definitiva, son incumplimientos que pueden evitarse implementando una estrategia de cumplimiento normativo adecuada desde el primer momento.
Uno de los aspectos que más está penalizando la AEPD en 2025 es la forma en que las webs gestionan el consentimiento de cookies. Es por eso que, no basta con tener un banner de cookies sino que la Agencia exige que el consentimiento sea claro y granular. Esto significa, entre otras cosas:
El caso de Wallapop no solo se sancionó la falta de consentimiento, sino la ineficacia del botón rechazar y la dificultad para revocar el consentimiento, dos elementos de diseño de interfaz que la AEPD está persiguiendo activamente.
Otro grupo de sanciones recurrente en el sector del comercio electrónico tiene que ver con algo tan elemental como identificar correctamente al responsable del tratamiento y disponer de una Política de Privacidad completa y accesible.
En el caso de Trueba Sport se le sanciona por no identificar al responsable ni proporcionar un enlace a la Política de Privacidad. Y en el caso de Inmo-master se le sanciona por deficiencias en el contenido de la Política de Privacidad. Estas sanciones nos recuerdan que es esencial informar correctamente al usuario sobre quién trata sus datos, con qué finalidad, el período de conservación y los derechos que puede ejercer.
Los datos de la memoria de la AEPD nos trasladan un mensaje muy claro, y es que cualquier ecommerce tiene cada vez más probabilidades de recibir una reclamación por parte de un cliente, un competidor o la propia Agencia.
En este contexto, es muy importante apostar por el cumplimiento normativo de la página web de tu ecommerce y, es por eso, que te aconsejamos:
Mantener los textos legales actualizados (Política de Privacidad, Aviso Legal, Condiciones de Uso).
Implementar medidas de seguridad técnicas y organizativas adecuadas al riesgo del tratamiento.
Realizar revisiones periódicas de la página web, incluyendo auditorías de cookies y trackers de terceros.
Disponer de un banner de cookies conforme a la normativa vigente y a los criterios más recientes del Comité Europeo de Protección de Datos.
Garantizar la obtención de un consentimiento válido, libre, específico, informado e inequívoco.
Cumplir con los requisitos de accesibilidad exigidos a las páginas web.
Instalar un botón de desistimiento cuando la actividad lo requiera.
Cumplir con el etiquetado del RIA (Reglamento de Inteligencia Artificial) en aquellos tratamientos que incorporen sistemas de IA.
En Lawwwing llevamos años ayudando a los ecommerce, pymes y grandes empresas a poner su web al día en materia de protección de datos, cookies y cumplimiento normativo digital.
Con nuestro software podrás configurar tu banner de cookies conforme con la normativa y redactar tu Política de Privacidad, Aviso Legal y Condiciones de Uso.
No esperes a recibir una notificación de la Agencia para empezar a tomarte en serio la protección de datos de la página web de tu ecommerce. Las cifras de 2025 nos advierten de que el cumplimiento normativo digital es un factor clave para tu reputación y viabilidad de tu negocio.
👉 Ponte en contacto con el equipo de Lawwwing y descubre cómo podemos ayudarte a blindar tu ecommerce frente a las sanciones de la AEPD.

⬇️Descarga nuestra infografía gratuita con el resumen de las sanciones de la AEPD en 2025 y ten a mano el checklist para evitar multas en 2026.