Requisitos legales de una tienda online: checklist LSSI y RGPD

·

Poner en marcha una tienda online en España es más sencillo que nunca desde el punto de vista técnico, pero la parte legal sigue siendo un muro contra el que chocan muchos comerciantes. La Ley de Servicios de la Sociedad de la Información (LSSI-CE), el Reglamento General de Protección de Datos (RGPD), la Ley General para la Defensa de los Consumidores y Usuarios (TRLGDCU) y la Ley de Ordenación del Comercio Minorista conforman un marco normativo que obliga a cualquier empresa que venda por internet en España, con independencia de su tamaño o de si es autónomo o sociedad. En este artículo te explicamos qué documentos necesitas, qué información debes publicar y qué consecuencias tiene no cumplir, con datos actualizados a 2026.

¿Qué leyes regulan una tienda online en España?

Antes de detallar los requisitos uno a uno, conviene tener claro el mapa normativo. No se trata de una ley única: son al menos cuatro normas que se solapan y que afectan a distintos aspectos del negocio digital:

A estas normas se añaden las Directivas europeas que España ha transpuesto: la Directiva Omnibus (UE 2019/2161, en vigor desde mayo de 2022) refuerza los derechos del consumidor digital; la Directiva de Servicios Digitales (DSA, Reglamento UE 2022/2065) impone nuevas obligaciones de transparencia para plataformas.

Aviso legal: la tarjeta de identidad de tu negocio online

El aviso legal es el primer documento obligatorio según el artículo 10 de la LSSI. Debe estar accesible en todo momento desde cualquier página de la web y debe incluir como mínimo:

El incumplimiento del artículo 10 LSSI se considera una infracción leve sancionable con hasta 30.000 € según el artículo 38.1 de la misma ley. En la práctica, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) —que ha asumido competencias en esta materia— ha elevado el número de expedientes instruidos en los últimos años.

Política de privacidad y RGPD: más que un texto copiado

Cualquier tienda online recoge datos personales desde el primer momento: al crear una cuenta, al procesar un pedido, al suscribirse al boletín o simplemente al instalar Google Analytics. El artículo 13 del RGPD exige informar al usuario antes de recoger sus datos sobre:

Un aspecto que muchas tiendas online ignoran es la base jurídica del tratamiento. No todo se puede amparar en el consentimiento; en la mayoría de los casos, el tratamiento de datos para ejecutar un contrato de compraventa se basa en el artículo 6.1.b del RGPD (ejecución contractual), lo que significa que no hace falta pedir consentimiento expreso para esos datos, pero sí para el envío de comunicaciones comerciales posteriores.

Para la gestión integral de la protección de datos en tu tienda, nuestro equipo de consultoría LSSI y ecommerce elabora la documentación adaptada a tu modelo de negocio y te acompaña en la implantación.

Política de cookies: la norma más incumplida

La Guía sobre el uso de las cookies publicada por la AEPD en 2023 (revisada en 2024) establece que toda web que instale o lea cookies no estrictamente necesarias debe:

  1. Mostrar un banner en la primera visita que permita aceptar, rechazar o configurar las cookies antes de instalarlas.
  2. Dar la misma prominencia al botón de «rechazar» que al de «aceptar».
  3. No usar dark patterns que dificulten el rechazo (botones ocultos, colores engañosos, opciones preseleccionadas).
  4. Mantener una política de cookies accesible desde el banner y desde el pie de página con la lista completa de cookies, su finalidad y duración.
  5. Registrar el consentimiento y poder acreditarlo ante la AEPD si es requerido.

La AEPD puede sancionar el incumplimiento en materia de cookies como infracción del RGPD, con multas que pueden alcanzar los 10 millones de euros o el 2 % del volumen de negocio global (artículo 83.4 del RGPD), aunque en la práctica las sanciones a pymes se sitúan entre los 3.000 € y los 150.000 € según la gravedad.

Condiciones generales de venta: el contrato con tu cliente

Las condiciones generales de contratación son el documento que regula la relación comercial entre tu tienda y el cliente. Para los contratos a distancia (que incluyen las compras online), el TRLGDCU exige facilitar al consumidor, antes de que realice el pedido, la siguiente información precontractual:

Si no informas del derecho de desistimiento, el plazo se amplía automáticamente a 12 meses según el artículo 105 del TRLGDCU. Este detalle, desconocido para muchos comerciantes, supone un riesgo legal considerable si un cliente reclama pasados los 14 días.

Tabla comparativa: documentos obligatorios según la normativa

Documento Norma de referencia Obligatorio para Sanción máxima por incumplimiento
Aviso legal LSSI art. 10 Toda web con actividad económica 30.000 € (infracción leve)
Política de privacidad RGPD art. 13 / LOPDGDD Toda web que trate datos personales Hasta 20 M € o 4 % volumen global
Política de cookies RGPD + Guía AEPD 2023 Toda web que use cookies no esenciales Hasta 10 M € o 2 % volumen global
Condiciones generales de venta TRLGDCU + Ley 7/1998 Tiendas que vendan a consumidores finales Hasta 100.000 € (TRLGDCU art. 49)
Información precontractual TRLGDCU arts. 97-99 Todo contrato a distancia B2C Hasta 100.000 € + ampliación desistimiento
Enlace plataforma ODR Reglamento UE 524/2013 Tiendas que vendan a consumidores UE Infracción administrativa variable por CCAA

Requisitos específicos para la venta de determinados productos

Además del marco general, ciertos sectores tienen requisitos adicionales que la tienda online debe cumplir:

Alimentación y bebidas

El Reglamento UE 1169/2011 sobre información alimentaria obliga a proporcionar en la ficha de producto los 14 alérgenos, la información nutricional, la lista de ingredientes y el país de origen en determinados productos. Las bebidas alcohólicas con más de 1,2 % vol. deben indicar el grado alcohólico.

Productos eléctricos y electrónicos

La ficha de producto debe incluir la etiqueta energética (Reglamento UE 2017/1369 y sus reglamentos delegados de producto) y la información sobre el sistema de gestión de residuos RAEE (Real Decreto 110/2015). Desde 2024, los distribuidores online están obligados a informar al consumidor sobre el punto de recogida más cercano.

Cosméticos y productos sanitarios

Regulados por el Reglamento UE 1223/2009 (cosméticos) y el Reglamento UE 2017/745 (productos sanitarios), exigen información específica en la ficha: lista INCI, número de lote, fecha de caducidad y, en el caso de productos sanitarios, el número CE y el organismo notificado.

Comunicaciones comerciales y email marketing

El artículo 21 de la LSSI prohíbe el envío de comunicaciones comerciales por correo electrónico sin el consentimiento previo del destinatario. Este consentimiento debe ser:

La excepción del artículo 21.2 LSSI permite enviar comunicaciones comerciales a clientes existentes sobre productos o servicios similares a los que ya compraron, siempre que les hayas dado la posibilidad de oponerse en cada comunicación.

Obligaciones fiscales y facturación

La tienda online debe emitir factura a cualquier cliente que la solicite y a todos los clientes empresariales (B2B). Para ventas a consumidores finales (B2C) es obligatorio emitir al menos un ticket de compra o simplificada. Si la tienda vende a clientes de otros países de la Unión Europea y supera los 10.000 € anuales en ventas intracomunitarias a distancia, debe registrarse en el régimen de la Ventanilla Única (OSS) de la AEAT para liquidar el IVA en el país del consumidor.

Si tu sistema de facturación debe adaptarse a Verifactu o a la factura electrónica B2B obligatoria derivada de la Ley Crea y Crece, desde Summum Consultoría coordinamos el análisis legal y técnico junto con el equipo de sistemas.

Accesibilidad web: obligación real desde 2025

La Ley 11/2023, de 8 de mayo (BOE-A-2023-11022), que transpone la Directiva Europea de Accesibilidad (EAA, Directiva 2019/882), exige que los servicios de comercio electrónico cumplan los requisitos de accesibilidad AA (WCAG 2.1) para los nuevos servicios prestados a consumidores desde el 28 de junio de 2025. Esta obligación afecta a cualquier tienda online que venda a consumidores en la UE, con independencia de su tamaño. El Real Decreto 1112/2018 (Directiva UE 2016/2102) es de aplicación al sector público; el ámbito privado queda cubierto por la Ley 11/2023 y la EAA. El incumplimiento puede suponer sanciones de hasta 600.000 € en los casos más graves.

Checklist rápido antes de lanzar tu tienda

Resumimos en diez puntos las comprobaciones mínimas que debes hacer antes de activar las ventas:

  1. Aviso legal visible y completo (art. 10 LSSI).
  2. Política de privacidad actualizada al RGPD con base jurídica de cada tratamiento.
  3. Banner de cookies conforme a la Guía AEPD 2023 con opción de rechazo igualmente visible.
  4. Condiciones generales de venta con derecho de desistimiento de 14 días claramente informado.
  5. Precios con IVA incluido e indicación de gastos de envío antes de finalizar el pedido.
  6. Formulario de desistimiento disponible para descargar (exigido por TRLGDCU art. 102).
  7. Enlace a la plataforma ODR de la Comisión Europea en el pie de página.
  8. Email de suscripción al boletín con consentimiento explícito y sin casilla premarcada.
  9. Registro de actividades de tratamiento (art. 30 RGPD) documentado internamente.
  10. Contrato con encargados del tratamiento (pasarela de pago, plataforma logística, herramienta de email marketing).

Preguntas frecuentes

¿Una tienda online pequeña o de autónomo tiene las mismas obligaciones que una gran empresa?

Sí, en lo esencial. La LSSI, el RGPD y el TRLGDCU aplican con independencia del tamaño del negocio. La única diferencia relevante es que el RGPD establece umbrales para algunas obligaciones adicionales (como el Delegado de Protección de Datos o la evaluación de impacto), que en la mayoría de las tiendas online pequeñas no se alcanzan. Pero el aviso legal, la política de privacidad, las cookies y las condiciones de venta son obligatorias desde el primer día, para cualquier comerciante.

¿Qué pasa si copio los textos legales de otra tienda?

Es un error habitual y tiene dos consecuencias. La primera es que los textos copiados probablemente no se ajustan a tu modelo de negocio concreto (tus productos, tus plazos de envío, tus proveedores de pago). La segunda es que si la otra tienda tenía sus textos mal, heredes también sus incumplimientos. Ante una inspección o una reclamación de cliente, los textos genéricos o copiados no acreditan que hayas cumplido con las obligaciones de información. Además, puede haber una infracción de derechos de autor sobre los textos copiados.

¿Con qué frecuencia hay que actualizar los textos legales?

Siempre que cambien las circunstancias que documentan: nuevos proveedores de servicios que traten datos, cambio en la política de cookies al añadir nuevas herramientas de analítica o publicidad, modificaciones en las condiciones de envío o devolución, cambios normativos. En la práctica, una revisión anual es mínimo razonable; en un entorno digital activo, conviene revisarlos cada seis meses. La AEPD publica guías y resoluciones de manera periódica que pueden afectar a la redacción de la política de privacidad y de cookies.

¿Necesito un DPO (Delegado de Protección de Datos) para mi tienda online?

En la mayoría de las tiendas online pequeñas y medianas, no es obligatorio designar un DPO. El artículo 37 del RGPD lo exige cuando el tratamiento de datos es a gran escala, cuando se tratan categorías especiales de datos (salud, ideología, religión…) de forma sistemática, o cuando la actividad principal implica la monitorización sistemática de personas. Sin embargo, si tu tienda opera en sectores como salud, alimentación para colectivos sensibles o productos de suscripción con perfilado intensivo, conviene analizar si se supera el umbral. Puedes ampliar la información en nuestra guía sobre DPO externo.