Diferencia entre Aviso Legal, Política de Privacidad y Política de Cookies
Si tienes una página web en España, necesitas tres documentos legales obligatorios: el aviso legal, la política de privacidad y la política de cookies. Aunque los tres forman parte de los textos legales de tu web, cada uno cumple una función distinta y se rige por una normativa diferente. Confundirlos o copiar uno genérico de internet puede costarte una sanción de la AEPD. Aquí te explicamos exactamente en qué se diferencian y qué debe incluir cada uno.
El aviso legal es el documento que identifica al titular de la página web. Lo exige el artículo 10 de la Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE), y es obligatorio para cualquier web con actividad en España, independientemente de si vendes productos, recopilas datos o simplemente publicas contenido.
El aviso legal debe incluir, como mínimo:
El incumplimiento de la LSSI-CE puede acarrear multas de hasta 150.000 euros en los supuestos más graves.
Lo que el aviso legal NO es: no regula el tratamiento de datos personales, ni informa sobre el uso de cookies. Para eso existen los otros dos documentos.
La política de privacidad es el documento que informa a los usuarios sobre cómo tratas sus datos personales. Es obligatoria en cualquier web que recoja datos, aunque sea solo una dirección de correo electrónico a través de un formulario de contacto.
Su base legal son el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
La política de privacidad debe informar de:
La AEPD sancionó en 2025 con un total de 40 millones de euros en 299 resoluciones, muchas de ellas por políticas de privacidad inexistentes, incompletas o copiadas sin adaptación al negocio real. Una política genérica descargada de internet no cumple con los requisitos del RGPD si no refleja fielmente cómo tratas los datos tú.
La política de cookies informa a los usuarios sobre qué cookies utiliza tu web, para qué sirven y cómo pueden gestionarlas. Es obligatoria en virtud del artículo 22.2 de la LSSI-CE y debe estar alineada con la Guía sobre el uso de las cookies publicada por la AEPD (última versión vigente).
La política de cookies no es lo mismo que el banner de cookies, aunque ambos están relacionados:
La política de cookies debe incluir:
La AEPD ha sancionado casos con multas de hasta 90.000 euros por instalar cookies sin consentimiento previo, y ha establecido que el simple uso de Google Analytics sin configuración adecuada puede constituir una infracción.
| Característica | Aviso Legal | Política de Privacidad | Política de Cookies |
|---|---|---|---|
| ¿Para qué sirve? | Identificar al titular de la web | Informar sobre el tratamiento de datos personales | Informar sobre el uso de cookies |
| Normativa base | LSSI-CE (art. 10) | RGPD + LOPDGDD | LSSI-CE (art. 22) + Guía AEPD |
| ¿Obligatorio siempre? | Sí, para toda web | Solo si se recogen datos personales | Solo si la web usa cookies |
| ¿Requiere consentimiento activo? | No | No (salvo para el tratamiento) | Sí, para cookies no técnicas |
| Multa máxima por incumplimiento | Hasta 150.000 € (LSSI) | Hasta 20 M€ o 4% facturación (RGPD) | Hasta 20 M€ o 4% facturación (RGPD) |
| ¿Se actualiza automáticamente? | Solo si cambian los datos del titular | Con cada cambio en el tratamiento de datos | Con cada cambio en las cookies usadas |
No existe una obligación legal de que sean páginas separadas, pero la práctica recomendada y la más habitual es tenerlos como páginas independientes o al menos claramente diferenciadas. La AEPD exige que la información sea fácilmente accesible, legible y comprensible.
Algunos gestores de contenidos como WordPress o Shopify agrupan la política de privacidad y la de cookies en una sola página. Esto es válido siempre que el contenido de ambos documentos esté completo y bien diferenciado.
Lo que no es válido es:
¿Mi web de blog personal también necesita estos tres documentos? Sí. Si tu blog usa cookies (casi todas las webs lo hacen, incluso por el simple hecho de usar WordPress o Google Analytics), y si tienes un formulario de contacto o suscripción a newsletter, necesitas los tres documentos. El aviso legal es obligatorio siempre, independientemente del tipo de web.
¿Qué pasa si copio los textos legales de otra web? Copiar los textos de otra web es un error grave en dos sentidos: jurídicamente, los datos del titular no coincidirán con los tuyos, lo que es una infracción directa de la LSSI-CE; y técnicamente, si la otra web usa herramientas distintas a las tuyas, la política de cookies no será válida. La AEPD puede sancionar incluso si tienes los documentos, si estos no son verídicos o están desactualizados.
¿Con qué frecuencia debo actualizar estos documentos? Deberías revisar tus textos legales cada vez que:
(1) cambies o añadas herramientas que recojan datos o instalen cookies (CRM, pixel de publicidad, chat en vivo…),
(2) haya una actualización normativa relevante (nueva guía de la AEPD, novedades del RGPD), o
(3) cambien los datos del titular de la empresa. Como mínimo, una revisión anual es recomendable.
¿El banner de cookies sustituye a la política de cookies? No. Son dos cosas complementarias. El banner recoge el consentimiento; la política de cookies es el documento detallado al que debe enlazar el banner. Sin la política, el banner no cumple con los requisitos de la AEPD.
¿Qué diferencia hay entre política de privacidad y política de cookies en relación con el RGPD? Ambas están relacionadas con el RGPD, pero tratan aspectos distintos. La política de privacidad regula el tratamiento de datos personales en general (formularios, pedidos, registros de usuario…). La política de cookies se centra específicamente en el tratamiento de datos derivado de la instalación de cookies, que también puede incluir datos personales si las cookies son identificativas o de seguimiento. En la práctica, muchas webs las fusionan en un único documento de "Política de Privacidad y Cookies".
El aviso legal, la política de privacidad y la política de cookies son obligaciones distintas que responden a normativas diferentes, pero todas tienen el mismo propósito: garantizar que los usuarios de tu web conozcan sus derechos y cómo gestionas su información.
En 2026, con la AEPD endureciendo su política sancionadora —299 resoluciones y 40 millones de euros en multas solo en 2025—, tener estos textos desactualizados o copiados es un riesgo real para cualquier negocio, grande o pequeño.
La buena noticia es que no tienes que escribirlos tú desde cero ni contratar a un abogado para cada actualización. Lawwwing genera automáticamente el aviso legal, la política de privacidad y la política de cookies personalizados para tu web, los mantiene actualizados cuando cambia la normativa y los integra con tu cookie banner en WordPress, Shopify, Wix y más plataformas. Pruébalo gratis y ten tu web en regla en menos de 10 minutos.
Fuentes: LSSI-CE - BOE | RGPD - EUR-Lex | Guía de cookies AEPD | LOPDGDD - BOE
