¿La casilla de aceptar la privacidad puede venir marcada?

No. La casilla de consentimiento debe estar siempre desmarcada por defecto. El consentimiento requiere una acción afirmativa del usuario: marcar la casilla. Una casilla premarcada no es consentimiento válido según el RGPD y el Comité Europeo de Protección de Datos.

¿Puedo usar una sola casilla para el servicio y para enviar publicidad?

No. Son finalidades distintas y necesitan consentimientos separados. Vincular en una sola casilla la prestación del servicio y el envío de comunicaciones comerciales invalida el consentimiento. La publicidad necesita su propia casilla, también desmarcada.

¿Qué tengo que poder demostrar sobre el consentimiento?

El principio de responsabilidad proactiva del RGPD exige que puedas demostrar cuándo y cómo el usuario consintió: fecha, hora, versión del texto legal aceptado y, habitualmente, la IP. Si tu gestor no registra esto, no puedes probar que cumpliste.

Volver al blog

AEPD6 min de lectura

Formularios web y RGPD: cómo recoger datos sin riesgo

Cómo debe ser un formulario de contacto o reservas conforme al RGPD: casilla de consentimiento, trazabilidad y errores que invalidan la recogida.

Publicado el 20 de mayo de 2026

Un formulario de contacto, de reservas o de alta de newsletter es, a ojos del RGPD, un punto de recogida de datos personales. Y si está mal configurado, invalida el consentimiento de cada dato que recoge. No es un detalle menor: es uno de los incumplimientos que la AEPD sanciona con más frecuencia. Aquí tienes cómo debe ser un formulario para no exponerte.

Qué falla en los formularios de webs antiguas

Los formularios de webs desarrolladas hace años suelen arrastrar tres vicios:

No hay casilla de consentimiento. Se asume que enviar el formulario equivale a aceptar — y no es así.
La casilla viene premarcadao vincula servicio y publicidad en un solo “sí”.
No queda registro de cuándo se prestó el consentimiento. Sin trazabilidad, no puedes demostrar nada.

Cómo debe ser un formulario conforme

La casilla de consentimiento

Una casilla desmarcada por defecto, específica para aceptar la política de privacidad, con un enlace directo a ese documento. El usuario tiene que marcarla activamente. Si recoges datos para enviar publicidad después, necesitas una segunda casilla independiente, también desmarcada — son finalidades distintas.

La información mínima

Junto al formulario (o enlazada de forma clara), el usuario debe poder saber: quién es el responsable del tratamiento, con qué finalidad se recogen los datos, cuál es la base legal y cómo ejercer sus derechos. Es el deber de información del RGPD.

La trazabilidad

Aquí falla la mayoría. El RGPD exige responsabilidad proactiva: no basta con cumplir, hay que poder demostrarlo. Tu sistema debe registrar, por cada envío, la fecha y hora, la versión del texto legal aceptado y habitualmente la IP. Los gestores antiguos simplemente no guardan esto.

Cuidado especial con datos sensibles

Si tu formulario recoge datos de categorías especiales —salud en una clínica, preferencias que revelen ideología, etc.— el nivel de exigencia sube. Estos datos necesitan una base legal reforzada y medidas de seguridad acordes. Un formulario de clínica sin HTTPS que pregunta el motivo de consulta es un caso de manual de incumplimiento grave.

Cómo arreglar tus formularios

Añade la casilla de privacidad desmarcada con enlace a la política.
Separa el consentimiento de publicidad en su propia casilla.
Incluye la información mínima sobre el tratamiento.
Implementa el registro de trazabilidad (fecha, versión, IP).
Verifica que la página del formulario usa HTTPS.

Los pasos 1-3 son accesibles. El paso 4 —la trazabilidad— suele requerir tocar el backend, y es donde conviene criterio técnico. Es parte de la auditoría completa de los 7 puntos de tu web.

En resumen

Un formulario mal configurado invalida el consentimiento de todos los datos que recoge.
Casilla desmarcada por defecto, específica, con enlace a la política de privacidad.
Servicio y publicidad necesitan casillas separadas.
Debes poder demostrar cuándo y cómo se prestó el consentimiento.
Los datos sensibles (salud, etc.) exigen un nivel de protección reforzado.

Preguntas frecuentes

¿La casilla de aceptar la privacidad puede venir marcada?: No. La casilla de consentimiento debe estar siempre desmarcada por defecto. El consentimiento requiere una acción afirmativa del usuario: marcar la casilla. Una casilla premarcada no es consentimiento válido según el RGPD y el Comité Europeo de Protección de Datos.
¿Puedo usar una sola casilla para el servicio y para enviar publicidad?: No. Son finalidades distintas y necesitan consentimientos separados. Vincular en una sola casilla la prestación del servicio y el envío de comunicaciones comerciales invalida el consentimiento. La publicidad necesita su propia casilla, también desmarcada.
¿Qué tengo que poder demostrar sobre el consentimiento?: El principio de responsabilidad proactiva del RGPD exige que puedas demostrar cuándo y cómo el usuario consintió: fecha, hora, versión del texto legal aceptado y, habitualmente, la IP. Si tu gestor no registra esto, no puedes probar que cumpliste.