Tabla de Contenido
- 1. 1) Qué exige el RGPD en una web de despacho (visión rápida)
- 2. 2) Textos y capas legales que no pueden faltar
- 3. 3) Formularios y consentimiento: que sea válido (y usable)
- 4. 4) Cookies y medición: banner bien hecho y Consent Mode
- 5. 5) Proveedores y terceros: contratos y seguridad
- 6. 6) ¿Necesitas DPO? Cuándo y cómo declararlo en tu web
- 7. 7) Plantilla rápida: privacidad, cookies y formularios “cumplidores”
- 8. 8) Casos y aprendizajes desde proyectos reales
- 9. 9) Tabla de mapeo (requisito → acción WP → evidencia)
- 10. Checklist final
- 11. Siguiente paso
- 12. FAQs
1) Qué exige el RGPD en una web de despacho (visión rápida)
Lo mínimo que debe cumplir tu sitio:
- Documentación legal visible: Aviso legal, Política de privacidad y Política de cookies claras y accesibles (enlaces siempre en el footer y, si cabe, en el menú).
- Consentimiento explícito y granular:
- Formularios con casillas no premarcadas, capas informativas por finalidad y prueba de consentimiento.
- Banner de cookies que permita aceptar, rechazar y configurar antes de instalar no esenciales.
- Gestión de derechos (acceso, rectificación, supresión, limitación, oposición y portabilidad) con mecanismos desde la web.
- Seguridad: medidas técnicas y organizativas (control de accesos, copias, hardening, cifrado, logs).
- Registro de consentimientos y trazabilidad de cambios.
- Contratos con encargados (hosting, CRM, chat/WhatsApp Business, analítica).
- Revisión/auditoría periódica (al menos anual) de textos, flujos y terceros.
En mi día a día, dejo constancia de cada cambio y su motivo. En webs de despachos aplico lo mismo: una mejora, una evidencia. Esa trazabilidad te salva en auditorías.
2) Textos y capas legales que no pueden faltar
Aviso legal, Privacidad y Cookies (ubicación y estructura)
- Footer: enlaces permanentes y legibles; añade fecha de última actualización.
- Privacidad: qué datos recoges, finalidades, bases jurídicas, plazos de conservación/bloqueo, destinatarios/encargados, transferencia internacional (si la hay), derechos y cómo ejercerlos, identidad y contacto del responsable y, si aplica, del DPO.
- Cookies: inventario (nombre, proveedor, finalidad, duración, tipo), política de consentimiento y cómo retirarlo.
Cláusulas en formularios (capas informativas)
Pon bajo cada formulario:
- Responsable y contacto.
- Finalidad específica (p. ej., “responder a tu consulta”).
- Base jurídica (“ejecución de medidas precontractuales” / “consentimiento” para newsletter).
- Destinatarios/encargados (p. ej., proveedor de email/CRM).
- Derechos y enlace a Privacidad.
- Casilla(s) de consentimiento explícito cuando la base no sea contractual (newsletter, envíos comerciales, descarga con suscripción, etc.).
Siempre hago un inventario de formularios (contacto, newsletter, descargas, cita). A cada uno le asigno finalidad + base jurídica + texto. Evita copiar/pegar genérico: confunde y no cubre.
Conservación y bloqueo
Indica tiempos orientativos (p. ej., “consultas: 12 meses”; “clientela: plazos legales”) y proceso de bloqueo cuando toque.
3) Formularios y consentimiento: que sea válido (y usable)
Reglas de oro
- Nada premarcado. El usuario elige, y puede retirar el consentimiento en cualquier momento.
- Una casilla por finalidad (no mezcles “contacto” con “comercial”).
- Copy claro, sin jerga técnica.
- Botón de enviar no deshabilitado por defecto por culpa de scripts de cookies (revísalo).
Derechos ARSULIPO desde la web
- Página “Gestiona tus datos” con formulario para derechos y verificación de identidad mínima.
- Email dedicado (p. ej., privacidad@tudespacho.com) y mención de plazos de respuesta.
Errores típicos que penalizan
- “Todo en uno”: una casilla para todo.
- Forzar cookies para poder usar el sitio (cookie wall).
- No guardar prueba de consentimiento (marca de tiempo, versión de texto, IP/ID).
He visto formularios bloqueados por scripts mal cargados. Al limpiar dependencias y ordenar el consentimiento, sube la tasa de envío… y baja soporte.
4) Cookies y medición: banner bien hecho y Consent Mode
Inventario y categorías
- Necesarias (sesión, seguridad), preferencias, analítica/medición, marketing.
- No instales analítica ni marketing hasta que el usuario lo acepte.
Implementación en WordPress (paso a paso)
- Inventaria cookies (extensión + documentación de tus plugins).
- Elige un gestor de consentimiento compatible con rechazo/aceptación/configuración y registro de consentimientos.
- Bloquea scripts hasta el consentimiento (Google/Meta/Hotjar).
- Activa Consent Mode y etiqueta eventos con respeto a la elección del usuario.
- Añade enlace “Cambiar cookies” en el footer para revocar fácilmente.
Tras configurar bien el banner y Consent Mode, pude mantener analítica sin fricción legal. La clave: bloquear antes y registrar después.
5) Proveedores y terceros: contratos y seguridad
Hosting, CDN, backups y logs (hardening WP)
- Contratos de encargo con hosting/CDN y copia de seguridad externa cifrada.
- Hardening: actualizaciones, WAF, login protegido (2FA), roles mínimos, bloqueo de /wp-admin y API donde proceda, TLS actualizado.
- Control de acceso: solo accede quien lo necesita; desactiva usuarios inactivos.
CRM, chat y WhatsApp Business
- Firma acuerdos de tratamiento y verifica países de tratamiento.
- Si usas WhatsApp, explica su uso en Privacidad y limita datos sensibles en ese canal.
Brechas de seguridad
- Ten un procedimiento: detección → evaluación → contención → notificación (AEPD y afectados si procede) → documentación.
- Página breve para comunicación a usuarios si alguna vez es necesario (enlace desde privacidad).
6) ¿Necesitas DPO? Cuándo y cómo declararlo en tu web
- Valora DPO si tratas datos sensibles en volumen, observación sistemática o por obligación sectorial.
- Si tienes DPO, indica nombre o rol y contacto en la Política de privacidad y, opcionalmente, en la página de “Gestiona tus datos”.
7) Plantilla rápida: privacidad, cookies y formularios “cumplidores”
Módulos editables (resumen):
- Privacidad: Responsable; Finalidades; Bases; Conservación; Destinatarios/Encargados; Transferencias; Derechos; DPO (si aplica); Cómo reclamar (AEPD).
- Cookies: Qué son; Tipos; Lista (nombre, proveedor, finalidad, duración); Cómo configurar/retirar; Enlace a “Cambiar cookies”.
- Formulario de contacto (capa corta):
“Responsable: [Nombre del despacho]. Finalidad: responder a tu solicitud. Base jurídica: medidas precontractuales. Destinatarios: proveedores tecnológicos (alojamiento/email) bajo contrato. Derechos: acceso, rectificación, supresión, etc. Info adicional: [Privacidad].”
- Newsletter (capa corta): añade casilla “Acepto recibir comunicaciones” (consentimiento).
8) Casos y aprendizajes desde proyectos reales
Lo que más falla en webs jurídicas
- Enlaces legales escondidos en el footer con bajo contraste.
- Banners sin opción Rechazar o sin configurar por categorías.
- Formularios con texto genérico y sin base jurídica.
- Plugins que inyectan cookies antes del consentimiento.
Antes/después al ordenar formularios y cookies
- Antes: banner informativo sin bloqueo; analytics y píxel cargando siempre; formulario de contacto con casilla única.
- Después: bloqueo previo, Consent Mode, registros de consentimiento y doble capa por finalidad. Resultado: cumplimiento, menos incidencias y datos de analítica fiables.
Cuando limpio cookies no necesarias y fortalezco seguridad, disminuyen los avisos de usuarios y aumenta la confianza percibida. La conversión lo nota.
9) Tabla de mapeo (requisito → acción WP → evidencia)
| Requisito RGPD/LSSI | Acción en WordPress | Evidencia / Cómo guardarla |
| Políticas visibles | Enlaces en footer + fecha actualización | Captura + commit/registro de cambios |
| Consentimiento explícito (formularios) | Casillas por finalidad + capas informativas | Registro del envío (timestamp, IP/ID, versión de texto) |
| Cookies con elección | Gestor con Aceptar/Rechazar/Configurar + bloqueo previo | Log de consentimientos + listado de scripts bloqueados |
| Derechos ARSULIPO | Página “Gestiona tus datos” + flujo de verificación | Ticket interno con plazos y resolución |
| Contratos con encargados | DPA con hosting/CRM/chat/analytics | Carpeta de encargos firmados (PDF) |
| Seguridad y control de acceso | 2FA, roles mínimos, backups cifrados | Informe mensual de accesos y cambios |
| Auditoría anual | Revisión de textos, cookies, terceros | Checklist firmada + changelog |
Checklist final
- Footer con Aviso legal, Privacidad, Cookies (visible y accesible).
- Políticas actualizadas (fecha) y alineadas con tus flujos reales.
- Formularios con capas informativas y casillas por finalidad.
- Registro de consentimientos activo (formularios + cookies).
- Banner con Aceptar/Rechazar/Configurar y Consent Mode.
- Página Gestiona tus datos + email dedicado.
- Encargos de tratamiento firmados con todos los proveedores.
- Hardening WP (actualizaciones, 2FA, WAF, backups).
- Procedimiento de brechas documentado.
- Auditoría anual programada (texto, cookies, terceros).
Siguiente paso
¿Quieres que lo implemente en tu nuevo sitio? Contáctame y nos ponemos con el diseño de tu web para abogados (enlace)
Adaptar la web de un despacho al RGPD no es “pegar un texto”. Es dar control al usuario, pedir consentimiento de forma honesta, asegurar los datos y demostrarlo con evidencias. Con textos claros, un banner bien configurado, formularios transparentes y terceros bajo contrato, cumples la norma y ganas confianza.
FAQs
¿Dónde coloco los textos legales?
En el pie de página (y accesibles desde cualquier página). Añade fecha de actualización y, si puedes, un enlace “Cambiar cookies”.
¿Puedo impedir el acceso si no aceptan cookies?
No. Deben poder navegar sin instalar cookies no necesarias.
¿Cómo registro el consentimiento?
Tu gestor debe guardar marca temporal, estado y versión del banner; en formularios, guarda la versión del texto y la IP/ID del envío.
¿Necesito DPO?
Valóralo si tratas datos sensibles a gran escala o por obligación sectorial. Si lo tienes, menciónalo y facilita contacto.
¿Cada cuánto reviso la web?
Haz una auditoría anual (o tras cambios relevantes de plugins, CRM, analítica o proveedor).
Artículos relacionados
