Is Your Small Business Website GDPR Compliant in 2025?
📅 7 July 2026⏱ 4 min read🌐 Web Design
Most small business websites aren't compliant — and the owners don't know it
You built a website, or someone built it for you, and you haven't thought much about it since. That's normal. But if your site has a contact form, uses Google Analytics, or shows a cookie banner that says nothing more than "We use cookies" with a single OK button, there's a good chance you're not meeting what the law requires in Spain in 2025.
This isn't meant to alarm you. It's meant to give you a clear, practical picture of what's actually required — so you can fix what needs fixing before it becomes a problem.
Two laws you need to know about
In Spain, your website must comply with two overlapping frameworks:
GDPR (General Data Protection Regulation) — the EU-wide regulation that covers how you collect, store, and use personal data.
LSSI-CE (Ley de Servicios de la Sociedad de la Información) — Spain's own law covering information society services, which adds requirements on top of GDPR.
Both apply to you even if you're a one-person business, a holiday rental, a hair salon, or a local restaurant. If your website collects any personal data — a name, an email, an IP address — you're in scope.
What your website must have in 2025
1. A genuine cookie consent banner
Spain's data protection authority, the AEPD, has been very specific about this. A compliant cookie banner must:
Appear before any non-essential cookies are loaded — not after.
Offer a clear "Accept" and a clear "Reject" option at the same level — the reject button cannot be hidden or greyed out.
Not use pre-ticked boxes.
Link to a full cookie policy that names every cookie, its purpose, and who provides it.
A banner that just says "We use cookies. OK" does not comply. The AEPD has issued fines for exactly this. Even small businesses have been caught.
2. A Privacy Policy that actually says something
Your privacy policy isn't just a legal formality — it's a genuine right your visitors have. Under GDPR it must clearly state:
Who is responsible for the data (your name or business name, address, and contact details).
What data you collect and why.
The legal basis for processing it (consent, legitimate interest, contract, etc.).
How long you keep it.
Whether you share it with third parties (Google Analytics counts).
Users' rights: access, rectification, erasure, and how to exercise them.
A copy-pasted generic policy you found online may be missing several of these points. It's worth a proper review.
3. A Legal Notice (Aviso Legal)
This is a specifically Spanish requirement under the LSSI-CE. Every commercial website must display:
The owner's full name or company name.
NIF/CIF (tax ID number).
Registered address.
Contact email.
If applicable, professional registration details or trade licence.
Many websites built outside Spain miss this entirely. If yours doesn't have an Aviso Legal page, it needs one.
4. Compliant contact forms
Every contact form on your site must have an unticked checkbox where the user explicitly accepts your privacy policy before submitting. The link to the policy must be right there, visible. Pre-ticked doesn't count. "By submitting you agree" buried in small print doesn't count either.
5. Secure connection (HTTPS)
If your site still shows "Not Secure" in the browser bar, that's both a trust problem and a compliance red flag. Any site that collects data must use HTTPS. This is also a Google ranking factor — it affects your visibility in search results.
Requirement
Required by
Common mistake
Cookie consent banner
GDPR / AEPD guidelines
No reject option at same level
Cookie policy
GDPR / LSSI-CE
No list of individual cookies
Privacy policy
GDPR
Generic template missing legal basis
Aviso Legal
LSSI-CE (Spain)
Completely absent on non-Spanish builds
Form consent checkbox
GDPR
Pre-ticked or missing entirely
HTTPS
GDPR (data security)
Still on HTTP
What are the actual risks?
The AEPD (Agencia Española de Protección de Datos) actively investigates complaints and carries out its own audits. Fines for SMEs typically range from €1,000 to €20,000 for procedural breaches, and higher for serious ones. Beyond the financial risk, a non-compliant site damages trust — especially with the tech-aware expat community on the Costa Blanca who will notice a dodgy cookie banner.
DIY or get help?
If you're confident with your website platform (WordPress, Wix, Shopify etc.) you can install a reputable cookie consent plugin, update your policies, and add an Aviso Legal page yourself. The AEPD website publishes guidance in Spanish.
But if you're not sure where things stand, or if your site was built by someone else and you have limited access, it's worth having someone audit it properly. A compliance check typically takes less than a couple of hours and can save you significant hassle later.
At Campoverde Repair we handle web builds and updates for local businesses across the Costa Blanca, including making sure the legal side is covered from the start. If you'd like your site checked, see why a properly built local business website makes a real difference — compliance included.
FAQ
Does GDPR apply to my small business website in Spain?
Yes. GDPR applies to any website that collects personal data from EU residents, regardless of business size. Even a basic contact form collecting an email address brings you into scope.
What's the difference between GDPR and LSSI-CE?
GDPR is the EU-wide data protection regulation. LSSI-CE is Spain's national law for online services and adds requirements specific to Spain, most notably the mandatory Aviso Legal (legal notice) page.
Can I be fined if my cookie banner isn't compliant?
Yes. The AEPD actively enforces cookie regulations and has fined businesses of all sizes. Common violations include not offering a genuine reject option and loading tracking cookies before consent is given.
How do I know if my website is already compliant?
Check for: a cookie banner with equal Accept/Reject options; a cookie policy naming each cookie; a privacy policy covering all GDPR requirements; an Aviso Legal page; consent checkboxes on all forms; and HTTPS across your whole site.
La mayoría de webs de pequeños negocios no cumplen la ley — y sus dueños no lo saben
Tienes una web. La hiciste tú, o la encargaste a alguien, y desde entonces no le has prestado mucha atención. Es lo más normal del mundo. Pero si tu sitio tiene un formulario de contacto, usa Google Analytics, o muestra un banner de cookies que solo dice "Utilizamos cookies" con un botón de Aceptar, hay muchas posibilidades de que no cumplas con lo que exige la ley en España en 2025.
No se trata de asustarte, sino de darte una imagen clara y práctica de lo que realmente se requiere — para que puedas corregirlo antes de que se convierta en un problema.
Dos normativas que debes conocer
En España, tu web debe cumplir con dos marcos normativos que se solapan:
RGPD (Reglamento General de Protección de Datos) — el reglamento europeo que regula cómo recoges, almacenas y usas datos personales.
LSSI-CE (Ley de Servicios de la Sociedad de la Información) — la ley española específica para servicios online, que añade obligaciones propias sobre las del RGPD.
Ambas te afectan aunque seas autónomo, tengas un alquiler vacacional, una peluquería o un restaurante local. Si tu web recoge cualquier dato personal — un nombre, un correo, una dirección IP — estás dentro de su ámbito de aplicación.
Lo que tu web debe tener en 2025
1. Un banner de cookies que de verdad cumpla
La AEPD (Agencia Española de Protección de Datos) ha sido muy concreta al respecto. Un banner de cookies conforme a la ley debe:
Aparecer antes de que se carguen cookies no esenciales — no después.
Ofrecer un botón de "Aceptar" y un botón de "Rechazar" igual de visibles — el de rechazar no puede estar oculto ni en gris.
No incluir casillas premarcadas.
Enlazar a una política de cookies completa que nombre cada cookie, su finalidad y quién la gestiona.
Un banner que solo dice "Usamos cookies. Aceptar" no cumple. La AEPD ha sancionado exactamente por esto. Negocios pequeños también han sido afectados.
2. Una Política de Privacidad que realmente informe
Tu política de privacidad no es solo un trámite legal — es un derecho real de tus visitantes. El RGPD exige que indique con claridad:
Quién es el responsable del tratamiento (tu nombre o el de tu empresa, dirección y datos de contacto).
Qué datos se recogen y con qué finalidad.
La base jurídica del tratamiento (consentimiento, interés legítimo, contrato, etc.).
Cuánto tiempo se conservan.
Si se ceden a terceros (Google Analytics cuenta como tercero).
Los derechos de los usuarios: acceso, rectificación, supresión y cómo ejercerlos.
Una política genérica copiada de internet puede no cubrir varios de estos puntos. Merece la pena revisarla en condiciones.
3. Aviso Legal
Este es un requisito específicamente español establecido por la LSSI-CE. Toda web comercial debe mostrar:
Nombre completo del titular o razón social de la empresa.
NIF o CIF.
Domicilio social.
Correo electrónico de contacto.
En su caso, datos de colegiación profesional o licencia de actividad.
Muchas webs desarrolladas fuera de España omiten este apartado por completo. Si la tuya no tiene una página de Aviso Legal, necesitas crearla.
4. Formularios de contacto conformes
Cada formulario de contacto de tu web debe incluir una casilla sin marcar en la que el usuario acepte expresamente tu política de privacidad antes de enviar el formulario. El enlace a la política debe estar visible junto a la casilla. Una casilla premarcada no vale. Un "Al enviar aceptas..." en letra pequeña tampoco.
5. Conexión segura (HTTPS)
Si tu web todavía muestra "No es seguro" en la barra del navegador, es a la vez un problema de confianza y una señal de alarma en materia de cumplimiento. Cualquier sitio que recoja datos debe usar HTTPS. Además, es un factor de posicionamiento en Google — afecta directamente a tu visibilidad en los resultados de búsqueda.
Requisito
Exigido por
Error habitual
Banner de cookies
RGPD / directrices AEPD
Sin opción de rechazo al mismo nivel
Política de cookies
RGPD / LSSI-CE
Sin listado individualizado de cookies
Política de privacidad
RGPD
Plantilla genérica sin base jurídica
Aviso Legal
LSSI-CE (España)
Inexistente en webs creadas fuera de España
Casilla de consentimiento en formularios
RGPD
Premarcada o ausente
HTTPS
RGPD (seguridad del dato)
Aún en HTTP
¿Cuáles son los riesgos reales?
La AEPD investiga activamente las denuncias y realiza sus propias auditorías. Las sanciones para pymes por incumplimientos formales suelen oscilar entre 1.000 y 20.000 €, y pueden ser superiores en casos graves. Más allá del riesgo económico, una web que no cumple daña la confianza — especialmente entre la comunidad extranjera de la Costa Blanca, que suele detectar enseguida un banner de cookies chapucero.
¿Lo hago yo mismo o pido ayuda?
Si manejas bien tu plataforma web (WordPress, Wix, Shopify, etc.) puedes instalar un plugin de consentimiento de cookies de confianza, actualizar tus políticas y añadir una página de Aviso Legal por tu cuenta. La AEPD publica guías detalladas en su web.
Pero si no tienes claro en qué punto está tu web, o si la desarrolló otra persona y tienes acceso limitado, vale la pena que alguien la revise en profundidad. Una auditoría de cumplimiento lleva pocas horas y puede ahorrarte muchos quebraderos de cabeza.
En Campoverde Repair desarrollamos y actualizamos webs para negocios locales de toda la Costa Blanca, incluyendo el cumplimiento legal desde el primer momento. Si quieres que revisemos tu web, descubre por qué una web local bien construida marca la diferencia — con el apartado legal incluido.
Preguntas frecuentes
¿Se aplica el RGPD a mi pequeño negocio con web en España?
Sí. El RGPD se aplica a cualquier web que recoja datos personales de residentes en la UE, independientemente del tamaño del negocio. Un simple formulario de contacto que capture un correo electrónico ya te incluye en su ámbito.
¿Qué diferencia hay entre el RGPD y la LSSI-CE?
El RGPD es el reglamento europeo de protección de datos. La LSSI-CE es la ley española de servicios online y añade obligaciones propias, especialmente el Aviso Legal, que es exclusivo de España.
¿Me pueden sancionar por un banner de cookies incorrecto?
Sí. La AEPD aplica activamente la normativa de cookies y ha sancionado a negocios de todos los tamaños. Los incumplimientos más habituales son no ofrecer una opción real de rechazo y cargar cookies de seguimiento antes de obtener el consentimiento.
¿Cómo sé si mi web ya cumple la normativa?
Comprueba: que el banner de cookies tenga opciones de Aceptar y Rechazar equivalentes; que la política de cookies liste cada cookie individualmente; que la política de privacidad cubra todos los requisitos del RGPD; que exista una página de Aviso Legal; que los formularios tengan casillas de consentimiento sin marcar; y que toda la web use HTTPS.
Computer trouble on the Costa Blanca?
30+ years of repair experience — on-site within 30 km and remote worldwide. Tell me what's wrong and I'll sort it.