La Agencia Española de Protección de Datos cerró 2025 con 299 sanciones por valor de 40 millones de euros, un 14% más que el año anterior.
Lo más llamativo, no obstante, no es la cifra, sino quién paga, pues el 72% de esas multas cayó sobre pymes y autónomos.
¿A que es buen modo de empezar esa guía?, así, en la frente, sin anestesia. Pues es lo que hay, lo siento.
Dentro de los motivos que más se repiten están dos que afectan a casi cualquier WordPress:
- Usar datos sin base legal.
- No ser capaz de demostrar el consentimiento del usuario.
El artículo 7.1 del RGPD lo deja clarito, y es que si tratas datos personales basándote en el consentimiento, tienes que poder demostrar que ese consentimiento existió.
La pelota está en tu tejado, no en el del usuario, y una casilla marcada en una base de datos no es prueba defendible de nada.
En este artículo vamos a ver qué pide la ley exactamente, qué tiene que contener un registro de consentimientos para que aguante una inspección, y qué herramientas hay disponibles en WordPress para evitarnos disgustos.
Vamos a ver opciones gratis, de pago y la combinación que mejor encaje según tu caso.
¿Se te pasó el susto?, ¿esperamos un poco a que se te pase el achuchón o empezamos a poner solución a este tema?
¿Y esto me afecta a mi?
La pregunta más común cuando alguien lee algo del RGPD es la misma: «vale, pero mi web es pequeña, ¿esto va conmigo?».
¡Sorpresa! Resulta que sí, te afecta, casi siempre.
La normativa europea no entiende de tamaños y la AEPD ha demostrado en los últimos años que tampoco le tiembla el pulso con autónomos y pymes (vuelve a mirar arriba).
El criterio que aplica el RGPD para saber si te afecta no es dónde está tu sede ni el tamaño de tu negocio, sino 2 cosas:
- Si estás establecido (oficina, sede, actividad real) en cualquier país de la Unión Europea, te aplica.
- Si estás fuera de la UE pero ofreces bienes o servicios a residentes en la UE, o monitorizas su comportamiento mediante cookies, retargeting o analítica, también te aplica.
Esto significa que un blog WordPress hecho en España con formulario de contacto tiene que cumplir, y una tienda online montada en Estados Unidos que admita pedidos de clientes españoles, también. Da igual dónde tengas el hosting o la empresa.
Algunos casos prácticos para que veas dónde encajas:
- Un blogger que vende un curso online o tiene un formulario de suscripción a newsletter.
- Un autónomo que pasa facturas y guarda contactos en WordPress.
- Una pyme con tienda WooCommerce.
- Una comunidad de vecinos con cámaras de video-vigilancia conectadas a un servidor.
- Un club deportivo con web de socios.
- Una multinacional con varios sitios WordPress (con todas las exigencias añadidas, DPO obligatorio, evaluaciones de impacto y demás).
- … suma y sigue.
Lo que queda fuera son las actividades estrictamente personales o domésticas, como un blog familiar de fotos sin afán comercial, una agenda de móvil, un grupo de WhatsApp con amigos.
En cuanto hay una mínima actividad profesional o comercial, se acabó la exención.
El mito más extendido es que las pymes están exentas, y no, no lo están/mos. El artículo 30.5 del RGPD reduce algunas obligaciones de mantenimiento de registros para empresas con menos de 250 empleados, pero solo en condiciones muy concretas.
Las obligaciones de fondo (consentimiento informado, deber de información, seguridad, derechos de los usuarios) son las mismas para una multinacional que para un autónomo con 50 visitas al mes.
Lo que dice «exactamente» la ley
Por orden de importancia y aplicación, las normas que tienes que conocer si gestionas un WordPress en España son las siguientes.
El Reglamento General de Protección de Datos (Reglamento UE 2016/679, en vigor desde mayo de 2018) es la norma de cabecera europea. Para registro de consentimientos los artículos clave son:
- Artículo 4.11, que define el consentimiento como una manifestación libre, específica, informada e inequívoca, mediante una declaración o una clara acción afirmativa.
- Artículo 6.1.a, que establece el consentimiento como base legal para el tratamiento.
- Artículo 7, el corazón del asunto: condiciones del consentimiento, obligación de demostrarlo y derecho a retirarlo.
- Artículo 8, que regula el consentimiento de menores. En España, el límite legal para que un menor pueda consentir por sí mismo es de 14 años.
- Artículo 9, que prohíbe el tratamiento de categorías especiales de datos como salud, ideología o biometría salvo excepciones tasadas.
- Artículos 13 y 14, que detallan el deber de información cuando recoges datos.
- Artículo 30, que obliga al registro de actividades de tratamiento. No es lo mismo que el registro de consentimientos, pero son piezas del mismo puzzle.
- Considerandos 32, 42 y 43, que aclaran cómo debe interpretarse el consentimiento.
A nivel español, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) adapta el RGPD al ordenamiento español, regula los derechos digitales y define el régimen sancionador con tres niveles: leves (artículo 74), graves (artículo 73) y muy graves (artículo 72).
La Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) regula específicamente las cookies, las comunicaciones electrónicas comerciales y la información que tienes que dar en una web profesional.
Por encima de las normas, las dos guías interpretativas que de verdad se usan en una inspección son las Directrices 5/2020 del Comité Europeo de Protección de Datos sobre consentimiento y las Directrices 3/2018 del mismo organismo sobre ámbito territorial. Y en cookies concretamente, la Guía de cookies de la AEPD en su última versión de 2023.
La memoria de actuación de la AEPD de 2024 cifra en 19.000 las reclamaciones recibidas, con la inteligencia artificial, los neurodatos y los espacios de datos como los retos prioritarios para los próximos años. La presión sobre el cumplimiento sube cada año.
Si quieres ir a las fuentes para profundizar, los sitios oficiales son la sección de derechos y deberes de la AEPD, las directrices del Comité Europeo de Protección de Datos (especialmente la 5/2020 sobre consentimiento), la memoria anual de actuación de la AEPD donde se ven las tendencias de sanciones, y el BOE para leer las resoluciones sancionadoras superiores a un millón de euros.
Cuánto te puede caer
No me quiero poner pesado con esto, pero es que este asunto no es broma ni de lejos, y me consta que la mayoría de las webs no cumplen, y el RGPD establece dos tramos máximos de sanción, ambos muy borricos:
- Hasta 10 millones de euros o el 2% del volumen anual global de la empresa por infracciones del primer grupo, donde entran el deber de información, el registro de actividades y la relación con encargados del tratamiento.
- Hasta 20 millones de euros o el 4% del volumen anual global por infracciones del segundo grupo, donde encaja el incumplimiento del consentimiento del artículo 7.
Siempre se aplica la cantidad mayor de las dos.
Estas son las cifras teóricas máximas, pero la AEPD valora cada caso según la naturaleza de los datos, el volumen de afectados, el beneficio económico obtenido, la cooperación durante la inspección y si la empresa tenía un sistema de cumplimiento previo.
La cuantía real para una pyme es raro que se acerque siquiera al máximo, pero las multas de cinco o seis cifras a empresas pequeñas son habituales.
Las sanciones superiores a un millón de euros impuestas a personas jurídicas se publican en el BOE con identificación del infractor y la infracción, según el artículo 76.4 de la LOPDGDD.
Eso significa publicidad pública del incumplimiento, que para muchas empresas duele más que la propia multa.
Un ejemplo claro de sanción por consentimiento mal recabado, por si tienes curiosidad, es la resolución PS/00500/2020 de la AEPD impuso 3 millones de euros a una entidad financiera por realizar perfilado de clientes basándose en un consentimiento que no era específico ni suficientemente informado.
La AEPD aplicó conjuntamente los artículos 6.1 y 7 del RGPD junto con las Directrices 5/2020 del EDPB. El mensaje de fondo fue que el consentimiento genérico para fines comerciales no vale, cada finalidad necesita su propio consentimiento, específico y demostrable.
Para tu WordPress el escenario realista es más modesto, pues nos moveríamos en sanciones de entre 500 y 30.000 euros por incumplimientos típicos, como llamadas comerciales sin consentimiento, formularios sin información clara, fotos publicadas sin permiso o no atender una solicitud de derechos en plazo.
Así que si te sobra el dinero, y no tienes respeto alguno por la privacidad de tus usuarios, nada, deja de leer, este tutorial es para pobres y profesionales con escrúpulos, como un servidor, y la mayoría de los mortales.
Si valoras cada euro que ganas, y valoras la privacidad y decisiones que los usuarios hacen/mos en la red, sigue leyendo, igual te sirve de algo lo que he preparado…
¿Qué hay que guardar?
El RGPD no dice exactamente cómo se demuestra el consentimiento, y la AEPD y el EDPB tampoco fijan un esquema técnico cerrado.
Lo que sí dejan claro es que tienes que poder reconstruir, ante una inspección, las circunstancias exactas en que cada usuario dio su consentimiento.
Un registro que aguante una inspección debería contener, como mínimo:
- Identificación del usuario: Email, identificador interno o, en el caso de cookies, un identificador anónimo de navegador.
- Acción concreta consentida: Qué se aceptó exactamente, no una etiqueta genérica del tipo «aceptó todo».
- Texto íntegro mostrado al usuario: No basta con guardar «aceptó la política de privacidad», hay que poder reproducir el texto exacto que vio en ese momento.
- Fecha y hora: Marca temporal (
timestamp) con precisión, idealmente en UTC para evitar líos de zonas horarias. - Origen: URL desde la que se dio el consentimiento (formulario, banner, checkout, comentario).
- Versión del documento: Si tu política de privacidad cambia, tienes que poder demostrar qué versión aceptó cada usuario y cuándo.
- IP y agente de usuario: Aportan trazabilidad técnica adicional. Son datos personales, así que conviene aplicar criterios de minimización.
- Mecanismo de integridad: Un hash que demuestre que el registro no se ha modificado desde el momento en que se creó. Esto es lo que más se ignora y lo que más cuenta cuando hay una disputa.
El último punto merece atención especial, pues si un cliente niega haber dado un consentimiento y tú sacas un registro de tu base de datos, lo primero que hará la otra parte es alegar que ese registro pudo modificarse después. Sin un sello criptográfico que demuestre lo contrario tu prueba pierde casi todo su valor.
Ojo también con la IP y el User-Agent, porque son datos personales según el RGPD, y si los guardas, tienes que justificar la base legal (interés legítimo en demostrar el consentimiento), informar al usuario y aplicar plazos razonables de retención. No es difícil, no pasa nada grave, pero debes tenerlo en cuenta.
Algunas implementaciones leen solo la IP del servidor (REMOTE_ADDR) e ignoran cabeceras como X-Forwarded-For, que se pueden falsear, lo que es una buena práctica salvo que tengas un proxy inverso bien configurado.
No, esto no es solo lo de las cookies
Un error muy frecuente es confundir el banner de cookies con el registro de consentimientos contractuales, y son cosas distintas, con normativas distintas, y exigen herramientas distintas.
Consentimiento de cookies y rastreo
Lo regula la directiva ePrivacy a nivel europeo y la LSSI-CE en España, y aquí entra el banner de aceptación de cookies, la categorización (necesarias, funcionales, estadísticas, marketing) y la aceptación por categorías.
Este tipo de consentimiento dura entre 6 y 12 meses según la guía de la AEPD, después hay que volver a pedirlo, y para esto hay un ecosistema enorme de plugins de tipo CMP (Consent Management Platform).
Consentimiento contractual
Cuando un usuario hace un pedido en WooCommerce, se registra en una plataforma o firma una aceptación de términos online lo que se registra es la aceptación de un acuerdo/contrato concreto, con condiciones generales, política de privacidad, términos del servicio.
La duración es la del contrato/acuerdo más los plazos legales de conservación, normalmente cinco años para acciones civiles y hasta seis para temas mercantiles.
Consentimiento de marketing y comunicaciones
La suscripción a newsletter, el alta en una lista de promociones o la autorización para recibir comunicaciones comerciales por SMS o email.
Aquí varias autoridades europeas como la CNIL francesa, la autoridad neerlandesa o la austríaca exigen explícitamente doble aceptación. La AEPD lo recomienda y considera buena práctica probatoria, y en todos los casos la revocación tiene que ser tan fácil como la suscripción.
Otros consentimientos específicos
La aceptación al dejar un comentario en un blog, al descargar un ebook, al inscribirse en un evento, al abrir una cuenta de usuario, cada uno con su contexto, su texto y su finalidad, casi siempre se gestionan con el mismo enfoque que los contractuales.
Cada tipo genera su propio rastro, va a su propio sitio en la base de datos y cumple normas ligeramente diferentes, y lo más razonable es montar herramientas distintas para cada caso, no intentar que un único plugin cubra todo.
Plugins para registrar el consentimiento de cookies
Aquí la oferta es muy amplia, pero voy a quedarme con las opciones que de verdad merece la pena tener en cuenta actualmente.
Complianz
Es probablemente la solución mejor y más sencilla ahora mismo para WordPress, por varias razones que vas a entender, hazme caso.
Y lo sé, muchas veces he recomendado otros plugins, pero también sabes que siempre tiro por lo gratis, ahora verás.
La versión gratuita incluye banner, escaneo de cookies, política de cookies generada automáticamente y bloqueo de scripts, lo que no incluye es el registro de consentimientos, reservado a Complianz Premium (89 € al año), pero…
Aquí entra una pieza del puzzle interesante, y es que hay un plugin gratuito llamado Record of Consent Extension for Complianz, hecho por davidevalerio, que añadido al Complianz Free te da exactamente eso:
- Registro individual con sello
SHA-256. - Detección multi-cabecera de IP (Cloudflare, X-Forwarded-For, Client-IP).
- Filtrado de bots y exportación.
La integridad criptográfica que ofrece supera a la del propio Complianz Premium, y todo gratis, una auténtica maravilla, que sorprende las pocas instalaciones que tiene.
Para muchos casos, esta combinación resuelve el consentimiento de cookies con registro defendible sin pagar nada.
CookieYes
Este plugin es otra opción bastante popular, con más de 1,5 millones de instalaciones activas y la versión gratuita incluye registro de consentimientos básico.
Las funciones avanzadas de geo-targeting y traducción automática están en la versión Pro, desde 10 dólares al mes.
WPConsent
La opción del equipo de WPForms y Awesome Motive. Su versión gratuita es muy decente y la Pro arranca en 49 dólares al año.
WebToffee GDPR Cookie Consent
Certificado por Google como CMP, es compatible con IAB TCF v2.3 y mantiene registro con ID de consentimiento, IP y marca temporal en la versión gratuita.
La Pro cuesta 89 dólares al año.
Moove GDPR Cookie Compliance
De este ya sabes que siempre he sido muy fan, ofrece registro de consentimientos, pero solo en la versión de pago, por unos 49 dólares.
Cookiebot
Funciona como SaaS, gratis hasta 100 páginas al mes, después 12 € al mes. Los datos se almacenan en sus servidores no en tu WordPress, y esto en sí mismo ya es un inconveniente.
Tabla resumen para que te sea más fácil valorar las distintas opciones:
| Solución | Coste anual | Registro individual | Hash de integridad | Datos en… |
|---|---|---|---|---|
| Complianz Free | 0 € | No | — | Tu WordPress |
| Complianz Free + Record of Consent Extension | 0 € | Sí | SHA-256 | Tu WordPress |
| Complianz Premium | 89 € | Sí | No | Tu WordPress |
| CookieYes Pro | Desde 120 $ | Sí | No | Tu WordPress |
| WPConsent Pro | Desde 49 $ | Sí | No | Tu WordPress |
| WebToffee Pro | 89 $ | Sí | No | Tu WordPress |
| Moove GDPR Cookie Compliance | Gratis (Pro 49 $ pago único) | Sí (en gratis) | No | Tu WordPress |
| Cookiebot | Gratis hasta 100 vistas/mes, después 12 €/mes | Sí | No | Servidores externos |
Registro de la aceptación de términos y condiciones en WooCommerce
WooCommerce trae de serie un casillas para los términos y condiciones en el pago, pero solo guarda un registro booleano. Marca o no marca, punto, y eso no demuestra absolutamente nada ante una inspección.
Terms & Conditions Tracker
La opción disponible en el mercado de plugins oficial de Automattic es un plugin de pago a 79 dólares al año disponible en WooCommerce.com.
Registra marca temporal, IP, User-Agent y un hash MD5 del documento aceptado. Es compatible con checkout clásico y de bloques, compatible con HPOS y permite múltiples casillas (privacidad, marketing, verificación de edad). El registro es exportable a CSV.
Tiene un detalle técnico discutible, y es que el hash que usa el plugin oficial es MD5, un algoritmo criptográficamente roto desde 2008. Para una prueba defendible ante una inspección no es lo ideal, SHA-256 sería el estándar mínimo aceptable hoy.
Additional Terms Pro
Otra opción de pago, también en WooCommerce.com a 79 dólares al año. Este aporta lógica condicional para mostrar casillas diferentes según los productos del carrito o el día de la semana, y registra la aceptación en el pedido.
Útil para tiendas con surtido variado, donde diferentes productos requieren diferentes aceptaciones.
Terms & Conditions Consent Log
Plugin gratuito disponible en GitHub, próximamente también en wordpress.org, que me tocó preparar, en vista de que no había soluciones ni gratis ni completas.
Va mucho más allá de WooCommerce porque cubre también formularios, comentarios y dispone de API pública, pero centrémonos aquí en para qué sirve en tiendas online.
En el pago captura la casilla de aceptación nativa de términos y condiciones sin tener que configurar nada. Guarda marca temporal en UTC, IP, User-Agent, versión del documento, URL de origen y el texto exacto que vio el cliente.
Cada registro se sella con SHA-256 del texto aceptado, así que si alguien lo modifica en la base de datos después, la verificación de integridad lo detecta y lo marca como MANIPULADO.
Es compatible con HPOS, genera un certificado A4 imprimible de cada registro que el navegador exporta a PDF, sin librerías externas, y se integra con las herramientas de privacidad integradas en WordPress (anonimiza en lugar de eliminar al recibir una solicitud de borrado).
El registro de cada consentimiento queda enlazado al pedido y aparece como columna en el listado de pedidos y como caja meta en la pantalla de edición de cada pedido, con toda la información y enlaces al consentimiento y a un PDF exportable, por si lo pide un cliente.
En la siguiente sección te cuento todo lo que cubre fuera de WooCommerce, que es mucho.
¿Y no hay un código de copiar y pegar?
Para casos muy básicos sigue siendo válido el clásico fragmento de código que pegas en el functions.php del tema hijo o en un mu-plugin.
Es lo mínimo del mínimo, pero al menos te queda algo guardado por pedido:
// Guardar aceptación de términos en el meta del pedido (compatible con HPOS).
add_action( 'woocommerce_checkout_create_order', 'ayudawp_save_terms_acceptance', 10, 2 );
function ayudawp_save_terms_acceptance( $order, $data ) {
if ( ! empty( $data['terms'] ) ) {
$ip = isset( $_SERVER['REMOTE_ADDR'] )
? sanitize_text_field( wp_unslash( $_SERVER['REMOTE_ADDR'] ) )
: '';
$order->update_meta_data( '_terms_accepted', 'yes' );
$order->update_meta_data( '_terms_accepted_date', current_time( 'mysql' ) );
$order->update_meta_data( '_terms_accepted_ip', $ip );
}
}
Lo que hace es guardar tres campos en cada pedido, lo que aceptó (booleano), la fecha y la IP, pero no guarda el texto que vio el cliente, ni la versión del documento, ni tiene hash de integridad, así que no es prueba defendible ante una inspección ni medio seria.
Si tu web es muy pequeña, no quieres instalar plugins y necesitas «algo» mejor que la nada absoluta de WooCommerce por defecto, este código te saca del paso, para todo lo demás vete a una solución con las garantías que se han descrito antes.
Resumen de opciones específicas para WooCommerce:
| Solución | Coste anual | Hash | Certificado | Anonimización | Compatible HPOS |
|---|---|---|---|---|---|
| WooCommerce por defecto | 0 € | No | No | No | Sí |
| Terms & Conditions Tracker (oficial) | 79 $ | MD5 |
No | No | Sí |
| Additional Terms Pro | 79 $ | No | No | No | Sí |
| Terms & Conditions Consent Log | 0 € | SHA-256 |
Sí | Sí | Sí |
| Snippet de código | 0 € | No | No | No | Sí |
Registro de consentimiento en formularios, comentarios y el resto del WordPress
Las tiendas no son el único sitio donde se piden consentimientos. Cualquier WordPress con un poco de actividad tiene formularios de contacto, suscripciones, comentarios, descargas de ebooks, inscripciones a webinars, alta de usuarios, y cada uno de esos puntos genera un consentimiento que tienes que poder demostrar.
Lo típico es tener un plugin distinto para cada cosa. Consentimiento de cookies por un lado, registro del pago de WooCommerce por otro, registro de consentimiento de de formularios en otro, y los comentarios … ah, eso se me olvidó.
Todo repartido en tres o cuatro tablas distintas, con formatos diferentes y sin manera fácil de exportarlo todo cuando llega una reclamación. No es lo ideal, está claro.
En fin, vamos al tema, que esto hay algunas opciones, de todo tipo y pelaje…
WPForms Pro
Si ya usas WPForms en su versión Pro tienes un campo nativo llamado GDPR Agreement que añade una casilla de consentimiento al formulario.
La aceptación se guarda con cada envío junto con marca temporal y datos del usuario. Lo tienes desde 49,50 dólares al año.
La pega es que el registro queda dentro de WPForms, no en una tabla común con el resto de consentimientos del sitio, así que si combinas con otras fuentes (pago, comentarios) tendrás que exportar y cruzar a mano.
The GDPR Framework (Data443)
Plugin gratuito en wordpress.org, con extensiones de pago opcionales, que se puede integrar con Contact Form 7, Gravity Forms, Ninja Forms, Formidable Forms, WooCommerce y Easy Digital Downloads.
Además del registro de consentimiento, gestiona también solicitudes de derechos de los usuarios (DSAR), permite exportar y borrar datos, y cubre buena parte del cumplimiento RGPD básico.
No usa hash de integridad ni genera certificados, pero al cubrir muchos plugins distintos en una sola herramienta es una opción interesante para quien usa varios tipos de formulario en la misma web.
Terms & Conditions Consent Log
Como ya he comentado en la sección anterior este plugin no se queda solamente en cubrir todos los consentimientos de tiendas online WooCommerce.
Es una solución muy completa para todos los consentimientos del sitio, con una tabla única indexada (wp_tccl_consents) donde caen los registros vengan de donde vengan, no en la habitualmente ya saturada wp_postmeta.
Reconoce automáticamente cuatro fuentes de consentimiento, sin tener que configurar nada, además del pago de WooCommerce que ya vimos en la sección anterior, o sea, que son cinco.
La primera fuente aparte de WooCommerce es Contact Form 7, ya que cualquier formulario de CF7 que incluya un campo [acceptance] y que el visitante marque genera automáticamente un registro.
Sin código, sin integración manual, sin tocar functions.php, cada formulario tiene su propio consent_type con el ID del formulario, así que los registros se filtran por origen.
La segunda son los comentarios de WordPress. La casilla de aceptación de «Guarda mi nombre, correo y web…» que WordPress añade bajo el formulario de comentarios también se puede registrar.
Cada comentario con la casilla marcada queda guardado como evidencia, con el email del usuario, la URL y la fecha exacta. Útil para blogs donde los comentarios son una fuente importante de datos personales.
La tercera es el shortcode [tccl_consent_box] y su bloque Gutenberg equivalente. Lo pones donde quieras, ya sea una página, una entrada, un widget de barra lateral, un footer o el campo HTML de un plugin de formularios.
Tiene atributos para personalizar el texto, el tipo, la versión y el botón. Al enviarse se registra el consentimiento sin recargar la página. Muy útil para casos como cuando ofreces la descarga de un ebook, la inscripción a un sorteo o el alta en una lista de espera.
La cuarta es una API pública con la función tccl_save_consent() para registrar consentimientos desde cualquier sitio.
Si tu formulario está hecho con Gravity Forms, WPForms, Fluent Forms, Forminator o personalizados, puedes engancharte al hook que ese plugin exponga y dejar el consentimiento registrado con tres líneas de código. Lo mismo con altas de usuarios (user_register), variables REST propias o cualquier otro enpoint.
Todos los registros se sellan con SHA-256 del texto aceptado en el momento del consentimiento.
Si alguien modifica el texto en la base de datos después, la verificación de integridad lo marca como MANIPULADO en el listado, en el certificado y en la caja meta del pedido.
Hay certificado de cada registro de consentimiento, que puedes exportar a PDF o imprimir sin que tengas que instalar nada ni código adicional en el plugin, pues usa la funcionalidad disponible en tu navegador.
El plugin se integra con las herramientas de privacidad nativas de WordPress, así que en Herramientas > Exportar datos personales y Herramientas > Borrar datos personales aparecen los consentimientos del usuario solicitante.
El borrado anonimiza en lugar de eliminar, porque el propio registro es la base legal más que de sobra para conservar la prueba.
Otros detalles que también son importantes:
- Compatible con HPOS.
- Retención configurable con anonimizado por filtro desde la pestaña de registros.
- Exportación CSV con cabecera de metadatos.
- Opción de añadir una línea de consentimiento en los emails de WooCommerce, tanto admin como cliente.
- Por defecto no destruye datos al desinstalar, así la prueba sobrevive a la desinstalación salvo que actives explícitamente el borrado total.
Plataformas de email marketing
Si tu plataforma de email marketing es Mailchimp, Brevo, ActiveCampaign o similar hay buenas noticias porque casi todas guardan ya el registro de suscripción internamente con marca temporal, IP y origen.
Pídele a tu plataforma que te exporte el registro si tienes una reclamación o inspección. La mayoría también permite exigir doble aceptación, que es la práctica más sólida desde el punto de vista probatorio, y obligatoria en montones de países.
Comparativa de opciones para formularios, comentarios y demás necesidades de WordPress:
| Solución | Formularios | Comentarios | Hash | Certificado | Coste |
|---|---|---|---|---|---|
| WPForms Pro (campo GDPR Agreement) | Sí (solo WPForms) | No | No | No | Desde 49,50 $ |
| The GDPR Framework (Data443) | Sí (casi todos los. principales) | No | No | No | Gratis con extras de pago |
| Terms & Conditions Consent Log | Sí (Contact Form 7 + API) | Sí | SHA-256 |
Sí | 0 € |
Por qué es tan importante eso del HASH
Imagínate que un cliente reclama haber recibido emails comerciales sin haber dado su consentimiento ¿vale?
Tú vas a tu base de datos, encuentras el registro y lo enseñas. La otra parte, lógicamente, alega que ese registro pudo añadirse o modificarse después de la queja, ¿cómo demuestras lo contrario?
Aquí entra el sello criptográfico.
Cuando se crea un registro se calcula lo que se llama un hash (una huella digital única) del contenido completo, que graba el texto aceptado, la fecha y el identificador del usuario.
Ese hash se guarda con el propio registro, y si alguien modifica cualquier cosa después, el hash deja de coincidir y la manipulación se detecta automáticamente.
Protege la decisión de consentimiento de tus usuarios o clientes, y también te protege a ti de posibles intentos de manipulación, por parte de empleados, o incluso de denuncias falsas de clientes.
El estándar de hash que se usa hoy es SHA-256, que genera huellas de 256 bits y no se ha encontrado todavía ningún ataque práctico para producir colisiones.
MD5, en cambio, está roto desde 2008, e investigadores han demostrado que se pueden generar dos contenidos diferentes con el mismo hash MD5, lo que hace que su uso para integridad probatoria sea cuestionable. SHA-1, que fue su evolución, también está abandonado desde 2017.
El plugin de pago que hay en WooCommerce.com que te he comentado antes sigue usando MD5, y Complianz Premium no aplica siquiera un hash a sus registros, que es aún peor.
Únicamente los plugins Record of Consent Extension for Complianz (mi recomendación para el registro de consentimiento de cookies) y Terms & Conditions Consent Log (para todos los demás consentimientos) usan SHA-256, lo que añade protección frente a modificaciones silenciosas.
Además del hash hay otro detalle importante, que es la posibilidad de generar un certificado por registro, con todos los datos, el texto aceptado, el hash y un código de verificación, en formato listo para imprimir o guardar como PDF, marca la diferencia entre tener una hoja de cálculo defendible y tener un dossier judicial.
Un PDF firmado con el hash dentro y una marca temporal (timestamp) clara es lo que pediría cualquier abogado para defender un caso.
Esta funcionalidad solo la incorpora el plugin Terms & Conditions Consent Log, y hace falta porque además no la cubre ningún otro plugin.
Qué hay que hacer con los registros viejos
El RGPD obliga a aplicar el principio de minimización de datos, de que guardes solo lo necesario y durante el tiempo necesario, sea lo que sea que esto signifique, dada la imprecisión. Esto crea un problemón interesante con el registro de consentimientos.
Si un cliente cancela su cuenta y pide el borrado de sus datos, ¿qué pasa con el registro de consentimiento que demuestra que en su día aceptó tus condiciones?
La interpretación más razonable es que el registro de consentimiento no se borra, se anonimiza, porque el propio registro es la base legítima para que conserves esa prueba.
Si borras el registro pierdes la capacidad de demostrar el consentimiento posteriormente, lo que vulnera el artículo 7.1.
La forma correcta de cumplir es:
- Sustituir los datos identificativos (email, IP, nombre) por valores anonimizados o
hash. - Mantener el resto del registro (fecha, texto aceptado, versión del documento,
hashde integridad). - Documentar la operación de anonimización con su propio
timestamp.
Esto encaja con la política de no guardar datos personales más allá de lo necesario, y también con la rendición de cuentas, pues sigues pudiendo demostrar que en su día se obtuvo un consentimiento válido.
Las herramientas que distinguen entre borrado total y anonimización son las que mejor encajan con esta interpretación, y lo malo es que no todos los plugins cumplen con estos principios.
El plugin disponible en WooCommerce.com, por ejemplo, permite borrar registros uno a uno, sin opción de anonimización.
Las únicas opciones que sí incluyen anonimización con un clic, tanto individual como por filtro, son Record of Consent Extension for Complianz (para el consentimiento de cookies) y Terms & Conditions Consent Log (para todos los demás).
Sobre los plazos de retención no hay una cifra mágica, la AEPD recomienda aplicar plazos razonables alineados con la finalidad del tratamiento.
Para consentimientos contractuales la práctica sensata es conservarlos al menos cinco años desde la finalización del contrato (alineado con plazos de prescripción civil), para consentimientos de marketing y newsletter la mayoría aplica entre uno y tres años desde la última interacción.
Qué te conviene según tu tipo de web
No todas las webs necesitan lo mismo. Te dejo un resumen rápido para que encuentres tu sitio.
Blog informativo o de contenidos sin tienda y sin formularios complejos
Lo que necesitas es banner de cookies con registro básico y, si tienes formulario de suscripción a newsletter, doble aceptación. Con Complianz Free + Record of Consent Extension cumples el artículo 7.1 sin gastar nada.
Si tu newsletter está en Mailchimp o Brevo, el propio servicio te guarda el registro de la suscripción.
Si quieres además registrar el consentimiento de los usuarios que dejen comentarios entonces necesitas Terms & Conditions Consent Log, lo hace usando la casilla que ya incorpora WordPress, no añade nada.
Tienda WooCommerce pequeña o mediana
Aquí tienes tarea doble, pues por un lado volvemos a lo anterior, al banner de cookies (Complianz Free + extensión de davidevalerio) y además necesitas el registro potente de la casilla de términos y condiciones en el pago.
Para lo segundo solo hay dos opciones válidas, o Terms & Conditions Tracker si prefieres un plugin de pago, o Terms & Conditions Consent Log si quieres SHA-256, certificado imprimible y, ya de paso, registrar también los formularios de contacto y los comentarios sin instalar nada más, tú verás.
Si tienes newsletter, pues súmale lo suyo.
Web profesional con captación por formularios
Lo importante aquí es el registro del consentimiento del formulario.
Las opciones son estas:
- WPForms Pro con campo GDPR Agreement, si ya usas WPForms.
- The GDPR Framework de Data443 si usas Contact Form 7, Gravity, Ninja o Formidable.
- Terms & Conditions Consent Log con su integración nativa para Contact Form 7 (automática) o con su API pública si usas otro plugin de formularios.
Suma banner de cookies y newsletter si la tienes, que no se te olvide.
Plataforma con suscripción de pago, LMS o membresía
En este caso el consentimiento contractual es fundamental porque hay un contrato y dinero de por medio, así que necesitas registro con integridad criptográfica, certificado imprimible y trazabilidad total.
Aquí tienes que aplicar la combinación de banner de cookies (Complianz + extensión de davidevalerio) más registro de consentimientos contractuales (Terms & Conditions Consent Log o Terms & Conditions Tracker) y lo cubres al completo.
Multinacional o web con datos sensibles (salud, biometría, ideología, datos de menores)
Aquí no estamos en escenario de plugins, estamos en escenario de consultoría especializada y soluciones empresariales como Iubenda, OneTrust, Usercentrics o equivalentes. Y además un DPO (Delegado de Protección de Datos) profesional revisando todo.
Consejos y recomendaciones finales
El registro de consentimientos no es opcional ni una formalidad, es la prueba de que cumples el artículo 7.1 del RGPD y la herramienta que más vas a echar en falta el día que recibas una reclamación o una inspección.
La buena noticia es que el ecosistema de plugins libres y de pago en WordPress da hoy soluciones para todos los casos, y la mala es que la mayoría de webs todavía siguen confiando en una casilla sin registro, que ante cualquier disputa se queda menos que nada.
Estos son los 7 consejos que te doy para ir terminando:
- El consentimiento es una prueba, no una etiqueta: Captura el texto exacto que vio el usuario, séllalo con
SHA-256y guárdalo en un sitio donde lo puedas reproducir años después tal cual era ese día. - No confundas cookies con consentimiento contractual: Son normas distintas, plugins distintos y registros distintos. Mezclarlos da una prueba ambigua que no aguanta una inspección seria.
- Las combinaciones gratuitas bien hechas cumplen mejor que muchas soluciones de pago: Complianz Free + Record of Consent Extension para cookies y un plugin libre con
SHA-256como Terms & Conditions Consent Log para el resto te dejan más cubierto que muchas tiendas grandes que pagan licencias caras sinhashrobusto. - Doble aceptación obligatoria para marketing: La AEPD lo recomienda y las autoridades europeas y el RGPD lo exigen. Es la práctica más sólida para defender un alta en lista de comunicaciones comerciales.
- Anonimiza, no borres: Cuando un usuario pida la supresión de sus datos, sustituye los IDs por valores anonimizados pero mantén el resto del registro y el
hash. La prueba sobrevive y tú sigues cumpliendo. - Versiona tus textos legales: Si cambias la política de privacidad o las condiciones, cambia también la versión que se guarda en el registro. Sin versión no puedes demostrar qué aceptó cada usuario.
- Documenta los plazos de retención: Define por escrito cuánto tiempo guardas cada tipo de consentimiento y por qué. La AEPD valora positivamente que tengas esto pensado y registrado.
Y este es el resumen práctico de lo mínimo y lo recomendable para una web normal:
| Qué registrar | Mínimo aceptable | Recomendable |
|---|---|---|
| Cookies y rastreo | Banner con aceptación por categorías y registro básico | + Registro individual con SHA-256 |
| Pedidos en WooCommerce | Texto de la casilla de aceptación guardado en el pedido | + hash, certificado y versión del documento |
| Formularios y suscripciones | Casilla de aceptación con fecha y email | + Texto exacto y hash |
| Comentarios | Casilla de aceptación nativa de WordPress activa | + Registro automático del consentimiento |
| Marketing y newsletter | Aceptación simple con registro de la plataforma | Doble aceptación con registro propio |
| Borrado a petición | Anonimizar manteniendo el registro | Idem + registro de la operación |
| Plazo de retención | Definido por escrito | 1-3 años marketing, +5 años contractual |
Si tienes una web pequeña y quieres empezar bien sin gastar la receta es que instales Complianz Free + Record of Consent Extension for Complianz para cookies, y que montes un registro de consentimientos para todo lo demás (pago, formularios, comentarios, descargas) con Terms & Conditions Consent Log. Cumples más que nadie y 100% gratis.
Con eso cumples el artículo 7.1 mejor que muchas tiendas grandes. Y si tu negocio crece ya valorarás soluciones de pago con soporte profesional.
Lo importante es ponerse a ello, pues cualquier registro defendible, por básico que sea, es infinitamente mejor que un casilla de aceptación sin registro alguno del consentimiento, y cualquier hora invertida hoy en montar esto bien te ahorrará días de papeleo el día que toque defenderlo.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
