Artículos · gdpr ·

Checkout GDPR para e-commerce esloveno: lo que realmente hay que hacer

Más allá del banner de cookies — lo que auditores de IP-RS y compliance de Stripe realmente marcan en un checkout WooCommerce esloveno. Siete sistemas, siete decisiones técnicas pequeñas.

  • #gdpr
  • #e-commerce
  • #zvop-2
  • #woocommerce
  • #eslovenia
  • #compliance

En resumen

  • ZVOP-2 (en vigor desde el 2 de febrero de 2023) y el Artículo 7(3) del GDPR: lo que multan es un UI de consentimiento desigual — botón verde grande “Aceptar todo” junto a un enlace gris pequeño “Rechazar” — no un banner que falte. A una boutique le costó una cifra baja de cuatro dígitos.
  • Los DPA de Stripe, PayPal y Klaviyo están versionados. Los comerciantes onboarded antes de septiembre de 2023 (Stripe) o 2022 (Klaviyo) tienen una versión caducada — de ahí las cuentas congeladas, no del fraude.
  • La herramienta “Remove Personal Data” de WooCommerce se salta el objeto Stripe customer, el perfil de Klaviyo, los logs de Mailgun y las notas de pedido. Un derecho al olvido real necesita un flujo de siete pasos vía API, todo en menos de 30 días.
  • La retención FURS de 10 años para facturas gana al derecho al olvido — pero solo para el PDF de la factura. Nombre, email y dirección tienen que salir igual de GA4, Klaviyo, wp_users y de cualquier CRM.
Nota: Los ejemplos de esta sección son composiciones ilustrativas basadas en patrones repetidos en nuestra cartera de clientes y en resoluciones públicas del IP-RS; los detalles identificativos se han anonimizado y las cifras en EUR se han redondeado.

Una boutique que vende ropa de fibras naturales recibió una carta del Informacijski pooblaščenec (IP-RS, la autoridad eslovena de protección de datos) el 14 de octubre de 2024. Importe: una cifra baja de cuatro dígitos. No por falta de banner — lo tenían. La razón: “Aceptar todo” era un botón verde de 240 píxeles de ancho, mientras que “Rechazar” era un enlace de texto gris de 11 píxeles en la esquina inferior izquierda. Entrada de consentimiento desigual. El Artículo 7(3) del GDPR — junto con ZVOP-2, la implementación eslovena en vigor desde el 2 de febrero de 2023 — exige que retirar el consentimiento no sea más difícil que darlo. La misma lógica se aplica a la entrega inicial.

Cuatro casos parecidos este año en nuestra cartera. Un hotel tuvo su cuenta de Stripe congelada porque el equipo de compliance no encontró un DPA firmado de 2024 en archivo — el comerciante todavía tenía la versión de 2019. Un bodeguero recibió una advertencia del IP-RS por guardar la fecha de cumpleaños de cada cliente “para un cupón” — caso de uso legítimo, sin base jurídica. En una librería, una solicitud de borrado tardó bastante más del plazo de 30 días porque la herramienta integrada de WooCommerce se saltó metadatos de pedido en tres sistemas separados.

El cumplimiento en un checkout WooCommerce esloveno en 2026 ya no es “añade un banner”. Es un conjunto de decisiones técnicas pequeñas y aburridas en siete sistemas. De eso va este texto.

Aviso: La boutique del composite anterior sí tenía banner. Lo que multaron fue el estilo — botón verde “Aceptar todo” de 240 píxeles junto a un enlace gris “Rechazar” de 11 píxeles. Bajo el Artículo 7(3) del GDPR, el IP-RS lo lee como entrada desigual de consentimiento. Ambos botones con el mismo peso, o directamente no publiques el banner.

Por qué “pusimos un banner de cookies” no basta

El IP-RS lleva siendo consistente desde que ZVOP-2 entró en vigor. Un banner de cookies es un elemento de UI; el consentimiento es un acto jurídico. El banner es una evidencia de que se dio consentimiento — no es el consentimiento en sí.

Lo que vemos sobre el terreno:

  • El banner cubre “cookies analíticas” pero la página carga el Meta Pixel 200 ms antes de que aparezca el banner.
  • “Aceptar todo” estilizado ruidosamente, “Personalizar” es un enlace de texto pálido.
  • Sin prueba de consentimiento almacenada — sin marca de tiempo, sin ámbito de elección, sin hash de la versión de la política aceptada.
  • Política de cookies actualizada en abril de 2025 pero los consentimientos existentes de 2023 nunca se re-recopilaron.

El informe anual del IP-RS de 2024 sitúa las quejas relacionadas con banners en la tercera categoría más grande, tras el correo comercial y la videovigilancia en el lugar de trabajo. Multas de 200 EUR para microempresas hasta 50.000 EUR para medianas. No es teórico.

IlustraciónDiagrama del flujo visitante → banner CMP → carrito → checkout → pago → actualización ROPA
Cada flecha es una línea de auditoría. Si no sabes dibujar el rastro de consentimiento del banner al ROPA, el Comisionado esloveno de Información lo dibujará por ti — mal.

Consentimiento: cookies, marketing, analítica

Google Consent Mode v2, obligatorio desde marzo de 2024 para tráfico del EEE, obliga a distinguir cuatro señales: ad_storage, analytics_storage, ad_user_data, ad_personalization. Las tiendas antiguas enrutan todo por un único flag “aceptar todo” y las campañas de Google Ads rinden por debajo en silencio porque los datos de conversión se limitan.

Las cuatro capas de consentimiento que realmente necesitas:

  1. Cookies estrictamente necesarias — carrito, sesión, token CSRF, iframe de pago. Sin consentimiento. Sin toggle.
  2. Analítica — GA4, Matomo, Plausible. Opt-in en la UE. Las IPs anonimizadas por sí solas no eliminan la obligación de consentimiento — la Directiva ePrivacy 2002/58/EC regula la lectura/escritura al terminal, no el contenido.
  3. Marketing y publicidad — Meta Pixel, tag de conversión de Google Ads, tracking de Klaviyo. Opt-in separado.
  4. Preferencias y personalización — productos vistos recientemente, lista de deseos guardada. Opt-in separado si no es estrictamente necesario.

Plugins que hemos desplegado en 2025–2026:

  • Complianz Premium (79 EUR/año, 3 sitios) — el mejor para tiendas que necesitan Consent Mode v2 conectado directamente. Dispara tags de GTM por categoría por sí solo.
  • Iubenda (27–99 EUR/año según nivel) — bien si el cliente ya usa Iubenda para generar la política de privacidad; bundle JS algo más pesado.
  • CookieYes (nivel gratis más 10–55 EUR/mes por auto-scan) — el más barato, UI decente, más débil en integración GA4.
  • WP Cookie Notice — no lo uses para una tienda eslovena; por defecto no registra prueba de consentimiento.

El IP-RS acepta “consentimiento previo informado” cuando la tienda puede producir: marca de tiempo, IP o ID de usuario, categoría elegida, hash de la versión de la política en el momento del consentimiento. Complianz lo guarda de forma nativa. Iubenda en su propio panel. CookieYes necesita configuración manual de exportación.

SistemaConfiguración compliantError habitual
UI de consentimientoBotones “Aceptar” y “Rechazar” del mismo peso; log de marca de tiempo + hash de políticaBotón verde “Aceptar todo” junto a enlace gris “Rechazar”
Analítica (GA4)GTM server-side con señales básicas de Consent Mode v2GA4 client-side disparado antes del consentimiento; IP anonimizada tratada como opt-out
Pagos (Stripe)DPA vigente en archivo, re-firmado tras cada actualización de StripeDPA de 2019 todavía en archivo desde el onboarding original
Marketing (Klaviyo)Región UE (klaviyo.com/eu), DPA firmado, prueba de opt-in por perfilLista antigua importada sin prueba de consentimiento; región EEUU sin SCCs
Residencia de datosHosting UE, SaaS región UE, SCCs para todo tercer paísCRM en EEUU, sin evaluación de impacto de la transferencia

Minimización de datos en el checkout

El checkout WooCommerce esloveno más común pide: nombre, dirección, código postal, ciudad, país, teléfono, email. Bien.

Lo que seguimos viendo sobre el terreno y no debería estar ahí:

  • Fecha de nacimiento en una venta e-commerce normal
  • Selector de género en una tienda de ropa donde la talla ya te da la respuesta
  • Campo de EMŠO (número de identificación personal esloveno) en checkout B2C — o como campo siempre visible incluso en B2B
  • Davčna številka (número de IVA esloveno) como obligatorio en B2C
  • “Nombre de la empresa” como obligatorio en una tienda B2C

Artículo 5(1)(c) del GDPR. Minimización. Cada campo del checkout debe tener un propósito que puedas defender. Un campo de cumpleaños “para enviarte un descuento” no es base jurídica salvo que el cliente opte in específicamente en el momento en el que introduce la fecha.

El manejo del número de IVA es el campo que más veces vemos mal hecho. Reglas:

  • En B2C, no lo recopiles. Nunca. No hay escenario de facturación que lo requiera.
  • En B2B, es necesario para la factura según las reglas de FURS (la agencia tributaria eslovena) y para validar el reverse-charge de IVA. Guárdalo. No lo muestres en la UI de la cuenta del cliente sin motivo.
  • Nunca envíes el número de IVA a terceros (analítica, marketing) — trátalo como identificador personal.

WooCommerce Germanized y los plugins WooCommerce específicos para Eslovenia alternan estos campos según B2C/B2B. Si tu checkout sigue mostrando davčna številka como campo siempre visible, tienes un problema de minimización.

CapturaMockup de un banner de cookies esloveno con botones rechazar / aceptar seleccionadas del mismo peso
Cómo se ve conforme en esloveno: rechazar es tan visible como aceptar, sin marcar por defecto, consentimiento separado por finalidad, retirada con un clic. Cada elemento que el auditor busca.

El problema del DPA

Todo procesador de datos que no sea empleado tuyo es “encargado” bajo el Artículo 28 del GDPR. Stripe, PayPal, Pošta Slovenije, GLS, Klaviyo, Google (GA4), Meta (Pixel), hosting, freelance con acceso a la base. Cada uno necesita DPA firmado.

Lo que encontramos con más frecuencia en auditorías:

  • DPA con Stripe nunca firmado. Se acepta automáticamente al marcar una casilla durante el onboarding, así que el comerciante asume que está resuelto. Lo está — pero solo para la versión que aceptó. Stripe actualizó su DPA el 12 de septiembre de 2023 y de nuevo el 4 de junio de 2025. Onboardings previos: versión caducada.
  • DPA de PayPal nunca abordado. Enterrado bajo Legal Agreements, requiere aceptación manual.
  • Klaviyo — el DPA vive en klaviyo.com/legal/dpa. Fírmalo. Cuentas anteriores a 2022 no lo tienen en archivo.
  • Pošta Slovenije — los comerciantes firmaron el contrato de envío pero nunca el DPA (obrazec obravnave osebnih podatkov, actualizado enero 2024). La mayoría siguen con la versión 2021.
  • El freelance que construyó la tienda hace tres años y todavía tiene SSH. Casi nunca tiene DPA. Casi siempre tiene las credenciales.

La solución no es glamurosa. Una tarde: lista todos los encargados, descarga el DPA actual de cada uno, fírmalo. PDFs firmados en una carpeta con versión y fecha. Los auditores del IP-RS piden exactamente esa carpeta.

Facturación FURS vs derecho al olvido

El conflicto que la mayoría de comerciantes eslovenos no ven venir.

Davčno potrjevanje računov (confirmación fiscal de facturas, en vigor desde el 2 de enero de 2016) exige que cada factura se transmita a FURS en tiempo real y se conserve 10 años según la Ley del IVA. El Artículo 17 del GDPR da al cliente derecho al borrado.

Las dos reglas no se anulan. El Artículo 17(3)(b) del GDPR exime “el cumplimiento de una obligación jurídica” — gana la retención de 10 años. Pero no puedes simplemente rechazar la solicitud. Tienes que:

  • Confirmar la recepción de la solicitud en un mes (Artículo 12(3))
  • Borrar todo excepto lo que la obligación de retención de la factura conserva
  • Explicar en la respuesta qué datos específicos se retienen, bajo qué base jurídica y por cuánto tiempo
  • Restringir el uso de los datos retenidos — ya no aptos para marketing, analítica o profiling

El IP-RS publicó una guía el 18 de mayo de 2022 específicamente sobre este conflicto. El cliente conserva el registro de la factura, pero su nombre, email y dirección se eliminan de Klaviyo, del mapeo user-ID de GA4, de la tabla wp_users y de cualquier CRM. Solo quedan el PDF de la factura y el log de transmisión a FURS.

La herramienta integrada de WooCommerce para borrar datos personales no hace esto correctamente por defecto. Borra al usuario, deja huérfanas las facturas y rompe la trazabilidad FURS. Necesitas un hook eraser personalizado que redacte la identidad del cliente en los sistemas vivos mientras conserva el PDF de la factura como documento fiscal.

Envíos y transferencias a terceros países

Cuando Pošta Slovenije le pasa tu paquete a DHL para entrega en Serbia, el nombre y la dirección del cliente acaban de salir del EEE. Transferencia del Capítulo V.

Para paquetes a direcciones UE esto no importa — Pošta Slovenije mantiene los datos en la UE. En el momento en que envías a Serbia, Bosnia, Reino Unido, EEUU, o pasas por un hub de DPD Balkan en Belgrado, es una transferencia internacional.

Lo que debe estar en su sitio:

  • El DPA del transportista necesita un anexo de Cláusulas Contractuales Tipo (plantilla SCC 2021, Módulo Two: Responsable-a-Encargado).
  • Para Reino Unido: un UK IDTA o un addendum a las SCC de la UE.
  • Para EEUU: nada automático desde Schrems II; o el destinatario está certificado bajo el Data Privacy Framework, o usas SCCs más una evaluación de impacto de la transferencia.
  • La política de privacidad tiene que nombrar el país y la salvaguarda.

Aramex, DPD Balkan y algunos transportistas regionales más pequeños tienen DPAs finos. Léelos. Si el DPA no menciona SCCs, no envíes internacional con ellos.

Derecho al olvido en WooCommerce

La herramienta integrada bajo WooCommerce → Status → Tools → “Remove Personal Data” elimina:

  • Nombre, email, dirección del cliente en el pedido (reemplazado por “Anonymous”)
  • Fila del usuario en wp_users
  • Direcciones de facturación y envío en usermeta

No elimina:

  • El PDF de la factura (correcto — véase FURS arriba)
  • El objeto Stripe customer del lado de Stripe (requiere llamada a la API; el plugin no lo hace)
  • Emails en el log de correo transaccional (Mailgun, Postmark, SendGrid)
  • La fila del cliente en Klaviyo/Mailchimp (requiere llamada API separada)
  • Metadatos de WooCommerce Subscriptions si el cliente tenía una suscripción
  • Notas de pedido con el nombre, teléfono o comentarios del cliente
  • Envíos de Gravity Forms desde la página de contacto

Un flujo de derecho al olvido de verdad necesita un checklist. Usamos uno de siete pasos:

  1. Ejecutar el eraser de datos personales de WooCommerce
  2. Borrar vía API el objeto Stripe customer
  3. Borrar vía API o meter en lista de supresión el perfil de Klaviyo/Mailchimp
  4. Borrar los logs de Mailgun de más de 30 días para ese email
  5. Redactar las notas de pedido (pequeña función personalizada)
  6. Borrar los envíos de Gravity Forms desde el mismo email
  7. Registrar el borrado en un ledger de compliance (fecha, solicitante, sistemas tocados, elementos retenidos)

Todo en menos de 30 días. El reloj empieza cuando llega la solicitud.

FAQ

¿Necesito un DPO (delegado de protección de datos)? Solo si supervisas de forma regular y sistemática a interesados a gran escala, o procesas datos de categoría especial como actividad principal. Una tienda e-commerce normal no necesita DPO. Una clínica privada que vende citas por internet — sí.

¿Cuánto tiempo puedo guardar los datos de clientes? Consentimiento de marketing: mientras sea válido. Datos de pedido: 10 años para la factura según la Ley del IVA, 5 años para la garantía. Analítica: 14 meses en GA4 por defecto. Logs de engagement de marketing: mientras la campaña los necesite, y no más de 24 meses sin re-consentimiento.

¿Puedo enviar promociones a clientes pasados? Para clientes existentes aplica el “soft opt-in” del Artículo 13(2) de la Directiva 2002/58/EC — puedes escribirles sobre productos similares si tuvieron opt-out claro en la compra y cada email lleva baja sencilla. Para no-clientes — hard opt-in y punto.

¿Tengo que traducir mi política de privacidad al inglés si vendo por toda la UE? Sí, si diriges activamente a clientes en mercados que no hablan esloveno. El GDPR exige que el aviso sea comprensible para la audiencia a la que se dirige.

¿Y si un cliente pide todos sus datos (SAR)? Responde en un mes. Formato común (JSON, PDF). Incluye historial de pedidos, preferencias de marketing, registros de consentimiento de cookies, transcripciones de chat si las guardas, y cualquier nota libre del equipo de soporte. Gratis — no se cobra la primera solicitud.

¿Es Klaviyo compatible con GDPR? Klaviyo es adecuado en la UE como encargado, tiene DPA firmado disponible, y la región UE (klaviyo.com/eu) guarda los datos en Irlanda. Klaviyo en sí está bien. Donde caen la mayoría de tiendas eslovenas: importan listas antiguas de clientes sin evidencia de opt-in, o usan funciones de “profile enrichment” de Klaviyo que tiran de fuentes externas sin base jurídica.

¿Tengo que notificar al IP-RS si hay una brecha de datos? En 72 horas desde que te enteras, si la brecha probablemente entraña riesgo para derechos y libertades. Sí para una base de datos de clientes filtrada, no para un intento de bruteforce que se bloqueó. Lleva un registro interno de brechas aunque no notifiques — el IP-RS lo va a pedir durante una auditoría.

Consentimiento GA4 — server-side o client-side? GTM server-side vía Consent Mode v2 con señales básicas de consentimiento es la mejor práctica actual. Solo client-side significa que un ad-blocker o una elección estricta de cookies te reducen la analítica a cero. Server-side con señales básicas da conversiones modeladas respetando la elección del cliente.


El cumplimiento no es una historia de marketing. Es un conjunto de decisiones técnicas pequeñas en siete sistemas, revisadas una vez al trimestre. Si tu tienda WooCommerce eslovena necesita una auditoría de cumplimiento contra ZVOP-2 y las guías actuales del IP-RS, la hacemos como parte de nuestro servicio Tiendas y del soporte de cumplimiento continuo. Preguntas límite sobre DPO y revisiones trimestrales van bajo CTO fraccional.

Hablemos

¿Listo para arreglar, construir
o escalar?

30 minutos, conmigo personalmente. Leo tu sistema como un archivo de logs y te digo qué haría primero. Sin presentaciones, sin embudo de ventas.

Davor Majc, fundador, Numen

Qué obtienes en la llamada
→ un diagnóstico de una página
→ 2–3 formas de solución, ordenadas por impacto
→ coste aproximado + plazo para cada una
→ sí/no — ¿soy la elección adecuada?
+386 40 828 474 · Blejska Dobrava, SI