AgenciaE
¿Tomamos café?

¿Tu tienda online cumple con la ley? Guía práctica 2025 + checklist

  • Aprende más, Publicidad, Puro marketing
Ilustración en tonos magenta con un portátil y símbolos legales y de seguridad que representan el cumplimiento normativo en tiendas online, acompañada del texto “Cumplimiento legal Ecommerce 2025 – Guía + Checklist”.

¿Tu tienda online cumple con la ley? Guía práctica 2025 + checklist

Vender online no es solo “subir productos y activar el checkout”. También implica cumplir normas que protegen a tus clientes (y a tu negocio): información transparente, protección de datos, cookies, consumo, fiscalidad, accesibilidad y seguridad. Aquí te lo explicamos sin jerga y con una lista de verificación.

Actualizado: 17 de octubre de 2025

En AgenciaE ayudamos a que los ecommerce cumplan desde el primer día. Si ya tienes tienda, esta guía te sirve para auditar y corregir. Si estás lanzando, úsala como hoja de ruta.

1. LSSI-CE: la “base legal” del ecommerce en España

La Ley 34/2002 (LSSI-CE) regula la información que debes mostrar, la contratación por vía electrónica y el régimen sancionador, entre otros.

Obligaciones clave

  • Aviso legal visible: nombre o razón social, NIF/CIF, domicilio, email y datos registrales (si aplica).
  • Precios siempre finales e incluyendo IVA antes de pagar.
  • Condiciones de contratación claras, accesibles y descargables.
  • Información previa y posterior al contrato (confirmación por email con detalles del pedido).
  • Comunicaciones comerciales solo con base jurídica válida (consentimiento o interés legítimo justificado).

2. Cookies: consentimiento válido (nada de instalar antes de aceptar)

La AEPD exige consentimiento expreso para cookies no esenciales (analíticas, publicidad, terceros). Consulta la Guía de Cookies de la AEPD.

Imprescindible para cumplir

  • Banner con opciones equivalentes: “Aceptar”, “Rechazar” y “Configurar”.
  • Panel de configuración por categorías + listado de terceros.
  • No instales cookies no técnicas antes del consentimiento.
  • Política de cookies clara y enlazada desde el footer.
  • Retirada del consentimiento fácil y efectiva.

3. Protección de datos: RGPD + LOPDGDD

Tratando datos de clientes, RGPD y LOPDGDD son obligatorios.

Lo mínimo que debes tener

  • Política de privacidad clara, visible y entendible.
  • Formularios con casillas no premarcadas y capas informativas.
  • Contratos de encargo con proveedores (hosting, email marketing, pasarela de pago, etc.).
  • Registro de actividades (según el caso) y gestión de derechos de las personas usuarias.
  • Seguridad técnica: HTTPS, control de accesos, cifrado, backups y plan de brechas.
  • Notificación de incidentes dentro de plazo cuando proceda.

4. Consumidores y Usuarios: información y desistimiento

El TRLGDCU (Real Decreto Legislativo 1/2007) fija derechos y deberes en compras online.

  • Desistimiento estándar: 14 días naturales (con excepciones legales).
  • Información clara sobre precios, gastos de envío, plazos, garantías y devoluciones.
  • Atención al cliente sin sobrecoste: líneas 902/901 no válidas como único canal; ofrece línea de coste básico o gratuita. Ver resumen divulgativo en OCU y Comunidad de Madrid.
  • Confirmación de pedido por email con condiciones y datos esenciales.
  • Formulario de desistimiento descargable.

5. Fiscalidad e IVA (UE): usa OSS cuando toque

Si vendes a consumidores de otros países de la UE, el sistema One-Stop Shop (OSS) simplifica la declaración del IVA.

  • Infórmate en la Agencia Tributaria y sobre el Modelo 369 (OSS).
  • Conserva facturas y justificantes al menos 4 años (España).
  • Valora IOSS para importaciones de bajo valor y ventas a distancia extracomunitarias (info UE aquí).

6. Textos legales que tu ecommerce debe mostrar

  • Aviso legal
  • Política de privacidad
  • Política de cookies
  • Condiciones de venta/contratación
  • Política de devoluciones
  • Información sobre pagos, envíos y garantías

Consejo: enlázalos siempre en el footer y en el checkout.

7. Novedades 2025 que no puedes ignorar

7.1. Accesibilidad digital (European Accessibility Act)

Desde el 28 de junio de 2025 la ley española que transpone la Directiva (UE) 2019/882 exige accesibilidad en webs y apps de ecommerce nuevas. Las existentes disponen de plazo hasta 2029–2030 según supuestos (referencias y divulgación: Level Access, Dept, EDF).

  • Objetivo práctico: alinear tu ecommerce con WCAG 2.1 AA (navegación por teclado, contraste, textos alternativos, formularios, focus visible, etc.).
  • Prepara declaración de accesibilidad y evidencias (auditoría, plan de remediación, pruebas).

7.2. Ciberseguridad (Directiva NIS2)

La transposición en España va con retraso, pero llegará. Mantente atento a INCIBE-CERT y a las fuentes de la Comisión. Si tu negocio entra en sectores “esenciales” o “importantes”, habrá obligaciones de gestión de riesgos, notificación de incidentes y gobernanza.

  • Empieza ya: inventario de activos, MFA, backups 3-2-1, parches, registro de eventos, plan de respuesta a incidentes y security by design.

8. Checklist rápida de cumplimiento

Área Qué revisar Estado
(Cumple / No / Pendiente)		 Notas
LSSI-CE Aviso legal, precios con IVA, condiciones visibles, confirmación post-compra
Cookies Banner Aceptar/Rechazar/Configurar; no instalar antes; política actualizada
Privacidad Política, contratos de encargo, derechos, seguridad técnica, brechas
Consumo Desistimiento 14 días, info clara, atención sin 902/901
Fiscalidad OSS/IOSS si aplica, modelo 369, archivo 4 años
Accesibilidad WCAG 2.1 AA; declaración y evidencias
Ciberseguridad MFA, backups, parches, logs, respuesta a incidentes

¿Quieres el checklist en Excel con casillas? Escríbenos y te enviamos la plantilla editable.

¿Tienes dudas o quieres una auditoría express?

En AgenciaE revisamos tu tienda (legal + UX + accesibilidad + seguridad) y te damos un plan de acción priorizado. Contáctanos.

Preguntas frecuentes

¿Qué pasa si no tengo política de cookies o instalo cookies antes del consentimiento?

La AEPD sanciona el uso de cookies no esenciales sin consentimiento y los banners que no permiten rechazar de forma equivalente. Revisa la guía oficial y corrige cuanto antes.

¿Necesito Delegado de Protección de Datos (DPO)?

Solo en supuestos previstos por RGPD/LOPDGDD (tratamientos a gran escala, categorías especiales, monitorización sistemática, etc.). En todo caso debes designar responsable del tratamiento y documentar tus tratamientos.

¿Cómo sé si mi tienda cumple todo?

Haz una auditoría legal + cookies + privacidad + accesibilidad + seguridad. Usa el checklist, registra evidencias y vuelve a revisar al menos una vez al año o tras cambios normativos.

¿Debo registrar el ecommerce en Andalucía u otras CCAA?

Si además de la web tienes tienda/almacén en la comunidad, pueden existir registros y hoja de reclamaciones (también electrónica). Consulta la normativa autonómica de consumo aplicable a tu actividad.

¿Cada cuánto reviso los textos legales?

Al menos anual. En 2025 añade revisión por accesibilidad (EAA) y prepara medidas de seguridad alineadas con NIS2.

¿Puedo usar líneas 902 para atención al cliente?

No como único canal. Debes ofrecer una línea gratuita o de coste básico para atención al cliente, conforme a las reformas de consumo publicitadas en 2020–2021 y criterios de autoridades y asociaciones de consumidores.

Compártelo:

Facebook
Twitter
Pinterest
LinkedIn
Imagen de JAM

JAM

Entradas recientes

También te puede gustar

AgenciaE
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.