Inicio ' Recursos ' Artículos ' WordPress rgpd y el cumplimiento de la CCPA....

RGPD para WordPress y Guía de Cumplimiento de la CCPA para Principiantes

Por: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Actualizado el: 3 de noviembre de 2025

Generar una política de privacidad
WordPress-rgpd-y-CCPA-Compliance-Guía-para-Principiantes-01

Si tienes un sitio web WordPress, especialmente uno que utiliza plugins, debes asegurarte de que cumples con las leyes globales de privacidad de datos. Las dos más importantes son el Reglamento General de Protección de Datos (rgpd) y la Ley de Privacidad del Consumidor de California (CCPA).

En esta guía repasaremos la normativa sobre privacidad de datos que debe cumplir si es propietario de un sitio web en WordPress.

Índice
  1. Requisitos de WordPress rgpd
  2. Requisitos de la CCPA de WordPress
  3. Otros requisitos de conformidad de WordPress
  4. ¿Cumple mi sitio web WordPress con rgpd/CCPA?

Requisitos de WordPress rgpd

rgpd ofrece una serie de derechos a los usuarios. Estos derechos pretenden garantizar que todas las empresas tomen medidas para proteger los datos personales de los usuarios. Los principales derechos de los usuarios en virtud de rgpd son los siguientes:

  • Jurisdicción: La rgpd no sólo se aplica a las empresas que operan dentro del Espacio Económico Europeo (Unión Europea, Noruega, Islandia, Liechtenstein), Reino Unido y Suiza: también se aplica a cualquier empresa que almacene y procese datos personales de personas que vivan en estos países. Los usuarios y visitantes de un sitio web (usuarios) tienen derecho a estar amparados, independientemente de dónde esté ubicado el sitio web.
  • Consentimiento válido u otra razón legal para el tratamiento: Todo usuario cuyos datos se almacenen debe dar su consentimiento claro y explícito mediante una acción positiva. El consentimiento de un usuario no puede ser implícito por el mero hecho de navegar continuamente por un sitio web: debe poder marcar una casilla o hacer clic en un botón para dar su consentimiento expreso al almacenamiento de sus datos. Las empresas deben tratar los datos de los usuarios de forma lícita, basándose en uno de los motivos legales para el tratamiento que figuran en el artículo 6 de la Directiva rgpd.
  • Derechos de acceso: Los usuarios tienen derecho a acceder a cualquiera de sus datos personales que una empresa tenga almacenados. También pueden solicitar información sobre cómo se utilizan esos datos.
  • Derecho de supresión: Los usuarios tienen derecho a pedir a las empresas que borren sus datos personales. También pueden restringir cualquier uso o venta posterior de esos datos.

Directrices del Consejo Europeo de Protección de Datos para un consentimiento válido

El Consejo Europeo de Protección de Datos es un organismo independiente creado para garantizar la aplicación coherente de la rgpd. Ha adoptado directrices que especifican lo que constituye un consentimiento válido para recabar datos. Entre ellas figuran:

  • Sin casillas premarcadas: No debe haber casillas de verificación premarcadas en el banner de cookies de su sitio de WordPress. Aparte de las cookies estrictamente necesarias, las opciones de consentimiento para todos los demás tipos de cookies deben estar desmarcadas para que los usuarios puedan dar su consentimiento explícito.
  • Libre elección: Restringir el acceso a partes de su sitio web si un usuario rechaza sus cookies no constituye un consentimiento válido. Los usuarios deben ser libres de dar a conocer sus preferencias para todas las categorías de cookies de Internet y elegir cuáles desean activar o desactivar.
  • Acción positiva: El consentimiento debe ser explícito y positivo. El consentimiento implícito mediante la navegación continua por el sitio web no constituye un consentimiento válido. Un usuario debe dar activamente su aprobación mediante el uso de una casilla de verificación, un botón o alguna otra acción positiva.

rgpd Cumplimiento integrado en WordPress

WordPress 4.9.6 -lanzada después de la promulgación de la rgpd - hizo que WordPress cumpliera la ley. Para ello, el equipo de WordPress introdujo varias mejoras:

  • Comentarios de validación: Generalmente, WordPress almacena la información de un usuario para validar un comentario. Los comentarios suelen requerir que los usuarios se registren y proporcionen una dirección de correo electrónico. La nueva versión ha añadido un cuadro de texto opt-in que obtiene el consentimiento del usuario para almacenar esa información mediante el uso de cookies.
  • Página de política de privacidad de WordPress: WordPress incluye ahora una página de política de privacidad prediseñada que es esencialmente una serie de plantillas que proporcionan la información esencial que necesita dar a los usuarios para cumplir con la rgpd. Los administradores tienen la opción de editar estas plantillas para asegurarse de que sus sitios web cumplen plenamente con la normativa.
  • Almacenamiento de datos: WordPress ha añadido una función de "Exportación de datos personales" que permite a los usuarios descargar o eliminar cualquiera de sus datos almacenados por su sitio web. Esta función es accesible desde la pestaña Herramientas del panel de administración de WordPress.

¿Qué tengo que hacer para cumplir la normativa rgpd?

Para asegurarse de que su sitio WordPress cumple la normativa rgpd, deberá hacer lo siguiente:

  • Notificar a los usuarios sobre las cookies: Es necesario proporcionar a los usuarios un mensaje de notificación de cookies que incluya un enlace a una completa política de cookies con información clara sobre las distintas cookies que utiliza su sitio web WordPress. Esto incluye el tipo de datos que almacenan y procesan, la finalidad del almacenamiento y el destino de esos datos. Además, la información sobre privacidad debe ser de fácil acceso.
  • Tenga un plan para el uso y consentimiento de cookies: Antes de activar o habilitar cualquier cookie no esencial, debe implementar una forma para que su sitio de WordPress obtenga consentimiento de cookies.
  • Llevar un registro de datos: Los sitios web deben llevar un registro de todos los consentimientos obtenidos de los usuarios. Es práctica habitual eliminar todas las copias de seguridad al cabo de tres meses y todos los registros financieros al cabo de un determinado número de años.
  • Ofrezca opciones reales: Los usuarios deben poder ver una lista de todas las cookies que se utilizan en su sitio de WordPress y seleccionar cuáles aceptan o rechazan. Por supuesto, el sitio debe seguir siendo funcional a pesar de que el usuario rechace las cookies.
  • Permitir a los usuarios cambiar sus preferencias: Los usuarios deben poder cambiar su configuración de cookies y sus preferencias en cualquier momento.
  • Proteger los datos: Cualquier dato personal que almacene la empresa debe estar seguro.
  • Proporcionar alertas de violación: Las empresas deben notificar a las autoridades cualquier violación de datos a menos que no se considere un riesgo para los datos personales. Entre las violaciones de datos más comunes se encuentran los ciberataques, el robo de datos por parte de empleados, los errores humanos y la pérdida de activos. Disponer de un plan de protección contra las filtraciones es esencial para el cumplimiento de la normativa. El plan debe incluir una lista actualizada periódicamente de los correos electrónicos de los usuarios y un plan para informar a las autoridades competentes y a los usuarios en las 72 horas siguientes a la violación.

El incumplimiento de la rgpd se arriesga a una cuantiosa multa de hasta 20 millones de euros o el 4% del volumen de negocios anual de su empresa, según cuál sea la cantidad más elevada.

Requisitos de la CCPA de WordPress

La CCPA es la ley de privacidad de California que regula las empresas que almacenan y procesan datos personales. Se promulgó para proteger la privacidad de los ciudadanos californianos y les otorga los siguientes derechos:

  • Derecho a saber qué datos personales se almacenan
  • Derecho a saber si los datos personales se venden o envían a terceros y, en caso afirmativo, a quién.
  • Derecho a rechazar la venta de datos personales
  • Derecho a solicitar la supresión de datos personales
  • Derecho de acceso a los datos personales almacenados en el sitio web

Según la CCPA, las organizaciones no necesitan obtener el consentimiento expreso para utilizar cookies. Sin embargo, existe la obligación de proporcionar una advertencia sobre cookies que informe a los usuarios de los datos recogidos por cualquier cookie utilizada en su sitio web - y cómo esos datos pueden ser distribuidos posteriormente. Las empresas también están obligadas a ofrecer a los usuarios una forma sencilla de rechazar el uso de cookies no esenciales y la venta de sus datos.

Cumplimiento de la CCPA

Para garantizar el cumplimiento de la CCPA al utilizar WordPress, debe hacer lo siguiente:

  • Permitir la exclusión voluntaria: Debe proporcionar a sus usuarios una función de exclusión voluntaria a través de una opción de "No vender mi información personal" en su sitio web. En virtud de la Ley de Derechos de Privacidad de California (CPRA, por sus siglas en inglés), que modifica la CCPA, los usuarios ahora tienen derecho a optar no solo por la venta, sino también por el uso compartido de sus datos personales para fines como la publicidad conductual de contexto cruzado.
  • Notifique a los usuarios los datos personales que recopila y vende: Ya sea durante o antes del punto de recogida, debe proporcionar un aviso al usuario haciéndole saber qué tipo de información personal almacena su empresa y por qué se almacena.
  • Dejar de vender a terceros cuando lo soliciten: si un usuario solicita que no se vendan sus datos personales, debes hacerlo en un plazo de 15 días. También debes informar a todos los terceros a los que hayas vendido datos en los últimos 90 días de que deben eliminarse.
  • Permitir que los menores den su consentimiento: Para los usuarios menores de 16 años, las empresas deben obtener el consentimiento expreso para vender sus datos personales. Además, se requiere el consentimiento de los padres o tutores legales para cualquier usuario menor de 13 años.

El incumplimiento de los requisitos de la CCPA puede dar lugar a una multa de 2500 $ por infracción o de 7500 $ por infracción intencionada.

Otros requisitos de conformidad de WordPress

Otras leyes de privacidad como el PECR también afectan a cómo debe diseñar y gestionar su sitio WordPress y cómo debe mantener las cookies en su sitio WordPress.

Además, aunque no es estrictamente un requisito, realizar una auditoría periódica de su recopilación de datos y del rendimiento de las cookies de WordPress es útil para mantenerse en cumplimiento legal.

PECR (Reglamento sobre privacidad y comunicaciones electrónicas)

El Reglamento sobre la privacidad y las comunicaciones electrónicas(PECR, por sus siglas en inglés) trabaja conjuntamente con la web rgpd. Aplica la Directiva europea 2002/58/CE, cuyo objetivo es establecer normas específicas relativas a la comunicación y la privacidad.

Mientras que el rgpd regula el tratamiento de los datos personales que recoge su sitio web, el PECR regula cuándo puede activar determinadas cookies.

Si tiene su sede en el Reino Unido, la normativa PECR tiene prioridad sobre la rgpd. Todo esto significa que para garantizar el cumplimiento de las cookies de WordPress, debe confirmar el cumplimiento tanto de la PECR como de la rgpd.

Afortunadamente, el PECR deriva la mayoría de sus normas fundamentales de rgpd.

Por ejemplo, la norma para el consentimiento con arreglo al PECR es idéntica a la de rgpd : acción positiva mediante una casilla de verificación o un botón. Al igual que en rgpd, no se considera válido el uso de casillas premarcadas para el permiso.

El PECR también exige la aprobación de las cookies no esenciales, incluidas las de terceros utilizadas para publicidad dirigida o análisis.

Auditorías

Una de las formas de garantizar el cumplimiento de la legislación rgpd y otras leyes es realizar auditorías periódicas sobre cómo su sitio de WordPress -y sus cookies- recopilan y procesan datos personales.

Sus auditorías deben ayudar a determinar:

  • Finalidad del tratamiento de datos personales en su sitio web
  • El tipo de datos que se almacenan y procesan
  • Las salvaguardias establecidas para garantizar la protección de datos
  • Cuánto tiempo se almacenan los datos personales de un usuario y cuándo se eliminan.
  • El proceso mediante el cual se notifica y actualiza a los usuarios el almacenamiento y uso de sus datos.
  • Qué terceros tienen acceso a los datos personales recogidos

Garantizar el cumplimiento no es una lucha de una sola vez. Requiere una evaluación, revisión, planificación y aplicación continuas. Todas las personas implicadas en su empresa deben conocer las leyes pertinentes y cómo afectan a su negocio, de modo que no se modifique nada de su sitio web que pueda hacer que no cumpla la normativa.

Consideraciones durante la planificación del sitio web

La creación y el diseño de un sitio web en WordPress que cumpla con rgpd, CCPA y PECR requiere que trabaje en los siguientes aspectos durante la fase de planificación del sitio web:

  • Interfaz fácil de usar: Tu sitio WordPress debe tener un diseño de interfaz fácil, accesible y sencillo para que los usuarios puedan navegar fácilmente por las opciones de privacidad y la información.
  • Política de privacidad: Debe investigar y generar una política de privacidad para integrarla en su sitio web.
  • Cumplimiento de los plugins de terceros: Todos los aspectos de tu sitio web deben cumplir la legislación sobre privacidad de datos, incluidos los plugins de terceros que utilices.
  • Revisión periódica: Su sitio WordPress debe revisarse y actualizarse periódicamente para garantizar el cumplimiento de todas las leyes de privacidad de datos pertinentes.
  • Uso de cookies: Si utiliza plugins para mejorar el diseño o el funcionamiento de su sitio de WordPress, utilizará cookies adicionales aparte de las cookies predeterminadas de WordPress. Eso significa que probablemente tendrás que tomar las medidas técnicas adecuadas para garantizar que las cookies de tu sitio de WordPress solo almacenan los datos que pretendes recopilar.

¿Cumple mi sitio web WordPress con rgpd/CCPA?

Para saber si su sitio de WordPress cumple o no las leyes de protección de la privacidad de los datos, debe conocer qué partes de su sitio web pueden verse afectadas.

Cosas en su sitio de WordPress que se ven afectados por la rgpd

En lo que respecta a rgpd, como propietario de un sitio web WordPress, deberá tener en cuenta lo siguiente:

  • Cómo recopila y trata los datos de los usuarios
  • Las distintas formas en que se utilizan las cookies en su sitio web

Además de tenerlas en cuenta, las siguientes áreas de su sitio web también se ven afectadas por rgpd:

Analítica

Si utilizas alguna herramienta analítica como Google Analytics, tu sitio web puede almacenar datos como la dirección IP de los usuarios, cookies, identificadores, etc. Si utiliza plugins de terceros para la analítica, debe informar a sus usuarios. Como buena práctica, evite utilizar la analítica para rastrear las direcciones IP de los usuarios.

Formularios de información de contacto

Casi todos los sitios web utilizan formularios de contacto. Por ello, si su sitio web utiliza alguno de los datos personales almacenados para publicidad dirigida, es necesario informar a sus usuarios. Una casilla de consentimiento con una explicación sencilla suele ser suficiente en rgpd. Esta explicación debe revelar por qué solicita datos y cómo los utilizará.

Formularios de inscripción

Al igual que los formularios de contacto, los formularios opt-in de marketing por correo electrónico requieren el consentimiento del usuario antes de utilizar sus datos personales con fines de marketing. Puedes obtener este consentimiento opt-in exigiendo un opt-in doble -enviando un correo electrónico de validación con un enlace en el que deben hacer clic para autorizar el uso de sus datos personales tras recibir su dirección de correo electrónico- o añadiendo una casilla de verificación.

Afiliación y comercio electrónico

Si su sitio web es de comercio electrónico o de afiliación, tendrá que tener en cuenta algunas cosas. Si su sitio web utiliza datos personales obtenidos durante las ventas para marketing por correo electrónico o publicidad, debe informar a sus usuarios y darles la opción de excluirse. Si recopila datos financieros, es una buena idea obtenerlos a través de servicios de terceros como PayPal. Si se produce una brecha en tu sitio web y se pierden o roban datos personales, es más grave cuando se trata de datos financieros.

Medios de comunicación

La incrustación de contenidos como imágenes puede permitir a terceros recopilar datos personales de los usuarios de su sitio web -incluidas sus direcciones IP- y recuperar cookies que almacenen sus datos. Además, esto también puede permitir a terceros incrustar cookies de seguimiento adicionales o software en los navegadores de sus usuarios. Esto significa que si incrusta contenido de terceros, esa información debe incluirse en su política de privacidad.

Publicidad

Si su sitio web utiliza publicidad dirigida que se basa en la recogida de datos personales de sus usuarios, éstos deben ser informados.

Elementos de su sitio WordPress afectados por la CCPA

La CCPA afecta principalmente a la política de privacidad de su sitio WordPress.

Le exige que su política de privacidad incluya información sobre qué, por qué y cómo se recopila y procesa la información personal. Esta política también debe contener información sobre cómo los usuarios pueden cambiar, eliminar o solicitar acceso a cualquier dato que su sitio web haya recopilado.

También tendrá que disponer de un método para verificar la identidad de la persona que realiza las solicitudes.

Otros aspectos a tener en cuenta

Todas las cookies, temas y plugins que utilices en tu sitio de WordPress podrían tener que cumplir con la rgpd, la CCPA u otras leyes de protección de la privacidad de los datos. Por lo tanto, necesitas saber cómo afectan estas cosas al uso de cookies de tu sitio WordPress.

Dado que existen muchas consideraciones y complicaciones a la hora de garantizar que el uso de las cookies en WordPress se ajusta a la legislación, puede utilizar plugins que automaticen algunos aspectos del cumplimiento de rgpd y la CCPA.

Algunos plugins de WordPress recomendados para el cumplimiento de la rgpd y la CCPA son los siguientes:

  • El plugin WordPress consentimiento de cookies deTermly garantiza el cumplimiento de las leyes y normativas sobre privacidad de datos como la rgpd, CCPA, PECR y la Directiva ePrivacy (también conocida como la Ley de Cookies de la UE).
  • Cuentas compartidas es un botón para compartir en redes sociales que no utiliza cookies ni almacena datos personales de ningún usuario.
  • Borrarme permite a los usuarios eliminar todos los datos almacenados por un sitio web sin solicitarlos previamente. Los desarrolladores tienen la opción de mostrarlo donde quieran.
  • WPForms es un plugin de formularios de contacto para WordPress compatible con rgpd.
Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor

Artículos Relacionados

  1. Política de privacidad para anuncios de Facebook-01
    Política de privacidad para anuncios de Facebook: cómo crear una
    Artículos

    19 de diciembre de 2025
    Natasha Piirainen
  2. Política de privacidad para React 01
    Política de privacidad para React: cómo crear una
    Artículos

    19 de diciembre de 2025
    Natasha Piirainen
  3. Política de privacidad para Next.js 01
    Política de privacidad para Next.js: cómo crear una
    Artículos

    18 de diciembre de 2025
    Natasha Piirainen
  4. 9-Tipos-de-datos-más-comúnmente-recogidos-01
    Los 9 tipos de datos más recopilados y lo que debes saber sobre ellos
    Artículos

    16 de diciembre de 2025
    Natasha Piirainen
  5. Las 7 violaciones más comunes de la privacidad de los datos-01
    Las 7 infracciones más comunes en materia de privacidad de datos y cómo evitarlas
    Artículos

    15 de diciembre de 2025
    Natasha Piirainen
  6. Política de privacidad para TikTok Shop 01
    Política de privacidad para TikTok Shop: cómo crear una
    Artículos

    15 de diciembre de 2025
    Hanna De La Garza
  7. Los 10 conceptos erróneos másrgpd sobre el RGPD-01
    Los 10 rgpd más comunes sobre rgpd y la verdad que se esconde tras ellos
    Artículos

    10 de diciembre de 2025
    Natasha Piirainen
  8. Respuestas positivas frente a negativas al DSAR-01
    Respuestas adecuadas e inadecuadas a las solicitudes de acceso a datos personales: cómo se reconocen
    Recursos

    9 de diciembre de 2025
    Hanna De La Garza
  9. Política de privacidad para una empresa SaaS 01
    Política de privacidad para una empresa SaaS: cómo crear una
    Artículos

    4 de diciembre de 2025
    Hanna De La Garza

Explore más recursos