RGPD: Auditoría web — Checklist completa

Tu sitio web es la principal superficie de exposición al RGPD. Formularios, cookies, analítica, newsletters, pasarelas de pago — cada elemento recoge datos personales y debe cumplir con la normativa. La AEPD realiza inspecciones tanto proactivas como reactivas, y un sitio web no conforme es un blanco fácil.

Esta checklist cubre los 15 puntos clave que debes verificar.

Información legal obligatoria

1. Aviso legal (LSSI)

• [ ] Nombre o razón social del titular
• [ ] NIF/CIF
• [ ] Domicilio social
• [ ] Email de contacto
• [ ] Datos de inscripción en el Registro Mercantil (si aplica)
• [ ] Número de colegiado (profesiones reguladas)

2. Política de privacidad

• [ ] Identidad y datos de contacto del responsable
• [ ] Datos del DPD (si existe)
• [ ] Finalidades del tratamiento con base legal para cada una
• [ ] Categorías de datos tratados
• [ ] Destinatarios o categorías de destinatarios
• [ ] Transferencias internacionales y garantías
• [ ] Plazos de conservación por finalidad
• [ ] Derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad, limitación)
• [ ] Derecho a reclamar ante la AEPD
• [ ] Existencia de decisiones automatizadas (si aplica)

3. Política de cookies

• [ ] Qué son las cookies (definición)
• [ ] Lista completa de cookies (nombre, proveedor, finalidad, duración)
• [ ] Categorías utilizadas (técnicas, analíticas, marketing)
• [ ] Cómo aceptar, rechazar o configurar preferencias
• [ ] Cómo retirar el consentimiento

Consentimiento y formularios

4. Banner de cookies

• [ ] Se muestra antes de activar cookies no esenciales
• [ ] Botón de aceptar visible
• [ ] Botón de rechazar igual de visible que el de aceptar
• [ ] Opción de configurar por categorías
• [ ] No hay casillas premarcadas
• [ ] No es un cookie wall (no bloquea contenido)

5. Formularios de contacto

• [ ] Checkbox de aceptación no premarcado
• [ ] Enlace a la política de privacidad
• [ ] Información en primera capa: responsable, finalidad, derechos básicos
• [ ] El formulario no recoge más datos de los necesarios (minimización)

6. Newsletter / suscripciones

• [ ] Doble opt-in (confirmación por email)
• [ ] Checkbox de consentimiento separado (no vinculado a otros servicios)
• [ ] Enlace de baja en cada email
• [ ] Registro del consentimiento (fecha, hora, IP, texto aceptado)

7. Área de clientes / registro

• [ ] Consentimiento informado en el registro
• [ ] Opción de eliminar cuenta (derecho de supresión)
• [ ] Acceso a los datos personales almacenados (derecho de acceso)
• [ ] Contraseñas hasheadas (bcrypt, argon2), nunca en claro

Seguridad técnica

8. HTTPS

• [ ] Certificado SSL/TLS válido y vigente
• [ ] Redirección automática HTTP → HTTPS
• [ ] TLS 1.2 como versión mínima (TLS 1.3 recomendado)
• [ ] HSTS habilitado

9. Headers de seguridad

• [ ] Strict-Transport-Security (HSTS)
• [ ] X-Content-Type-Options: nosniff
• [ ] X-Frame-Options: SAMEORIGIN
• [ ] Content-Security-Policy configurada
• [ ] Referrer-Policy configurada

10. Cookies seguras

• [ ] Flags Secure y HttpOnly en cookies de sesión
• [ ] Flag SameSite=Lax o Strict
• [ ] Duración razonable (no cookies de sesión que duren años)

Terceros y transferencias

11. Servicios de terceros

• [ ] Google Analytics: consentimiento previo, anonimización IP, contrato encargado
• [ ] Google Fonts: alojadas localmente (evitar llamadas a servidores Google)
• [ ] Mapas embebidos: consentimiento previo si cargan cookies
• [ ] Redes sociales: botones de compartir con protección (no cargar scripts sin consentimiento)
• [ ] Chat en vivo: informar del tratamiento de datos en la conversación

12. Transferencias internacionales

• [ ] Identificar proveedores fuera del EEE (USA principalmente)
• [ ] Verificar mecanismo de transferencia: Cláusulas Contractuales Tipo (SCT), decisión de adecuación
• [ ] Documentar en la política de privacidad
• [ ] Documentar en el RAT

Derechos de los interesados

13. Ejercicio de derechos

• [ ] Canal accesible para ejercer derechos (email, formulario, dirección postal)
• [ ] Plazo de respuesta: 1 mes máximo (ampliable a 3 en casos complejos)
• [ ] Verificación de identidad antes de proporcionar datos
• [ ] Registro de solicitudes y respuestas

14. Derecho al olvido en web

• [ ] Posibilidad de solicitar eliminación de datos
• [ ] Proceso documentado para eliminar datos de todas las bases de datos y backups
• [ ] Comunicación a terceros que hayan recibido los datos

Monitorización continua

15. Revisión periódica

• [ ] Auditoría de cookies trimestral (verificar que no se han añadido nuevas sin consentimiento)
• [ ] Revisión de política de privacidad ante cambios de proveedores
• [ ] Verificación de certificado SSL (alerta antes de expiración)
• [ ] Test de formularios (consentimiento funcional)
• [ ] Verificación de enlaces a políticas legales (no rotos)

Puntuación de conformidad

| Puntos completados | Nivel | Riesgo | |-------------------|-------|--------| | 55-60 | Excelente | Bajo | | 45-54 | Bueno | Moderado | | 35-44 | Mejorable | Alto | | Menos de 35 | Crítico | Muy alto — acción inmediata necesaria |

Cómo WarDek automatiza esta auditoría

WarDek escanea tu sitio web y verifica automáticamente la mayoría de estos puntos:

• Certificado SSL: validez, versión TLS, configuración
• Headers de seguridad: presencia y configuración correcta
• Cookies: detección, clasificación, flags de seguridad
• Política de privacidad: presencia y enlaces funcionales
• Formularios: detección de campos y checkboxes de consentimiento
• Puntuación RGPD: score global con recomendaciones priorizadas

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.