Cumplimiento del RGPD en Shopify tras migrar desde WooCommerce (2026)

Cuando migras de WooCommerce a Shopify, tu configuración de cumplimiento del RGPD no se transfiere automáticamente. La solución de gestión del consentimiento, los enlaces a la política de privacidad, el banner de cookies y los procedimientos de tratamiento de datos que configuraste en WordPress deben reconstruirse en Shopify. Esta guía explica qué cambia, qué gestiona Shopify de forma nativa y qué necesitarás mediante aplicaciones.

Qué usaba WooCommerce para el cumplimiento del RGPD

La configuración habitual del RGPD en WooCommerce incluye:

• Consentimiento de cookies: Plugins como CookieYes, Complianz, WPGDPR o Cookiebot
• Página de política de privacidad: Página de WordPress enlazada en el pie de página y en el proceso de pago
• Casilla de consentimiento en el proceso de pago: Casilla integrada en WooCommerce o añadida por plugin con enlace a la política de privacidad
• Solicitudes de acceso/eliminación de datos: Herramienta de exportación/borrado de datos personales de WordPress (Herramientas → Exportar datos personales)
• Retención de datos: Configuración de retención de datos de pedidos de WooCommerce
• Consentimiento de marketing: Casilla para correos de boletín/marketing en el proceso de pago

Compatibilidad nativa con el RGPD en Shopify

Shopify dispone de infraestructura RGPD integrada que cubre algunos requisitos de forma nativa:

Webhooks RGPD (para aplicaciones)

Shopify proporciona tres webhooks RGPD obligatorios que todas las aplicaciones deben implementar:

• customers/data_request: Se activa cuando un cliente solicita sus datos
• customers/redact: Se activa cuando un cliente solicita el borrado
• shop/redact: Se activa cuando un comerciante solicita la eliminación de datos de la tienda (tras desinstalar una aplicación)

Estos webhooks garantizan que las aplicaciones de terceros cumplan con las solicitudes de eliminación/exportación. Como comerciante, no necesitas configurarlos: lo hacen los desarrolladores de las aplicaciones. Shopify lo exige en su proceso de revisión de aplicaciones.

Exportación de datos de clientes (nativa)

Shopify Admin → Clientes → seleccionar cliente → hacer clic en "..." → "Exportar datos del cliente" genera un archivo PDF o JSON con todos los datos almacenados. Para las solicitudes de acceso a datos (DSAR), puedes atenderlas directamente desde el panel de administración sin herramientas adicionales.

Eliminación de clientes (nativa)

Shopify Admin → Clientes → seleccionar cliente → "Eliminar cliente". Esto elimina el registro del cliente. Nota: los pedidos completados se conservan (requisito contable), pero la información de identificación personal de los registros de clientes se elimina.

Política de privacidad en el proceso de pago

Shopify enlaza automáticamente a tu política de privacidad en el pie del proceso de pago. Establece la URL en Shopify Admin → Configuración → Políticas → Política de privacidad. El proceso de pago integrado de Shopify ya incluye el enlace a la política de privacidad; no se necesita ningún plugin.

Qué debes configurar en Shopify

1. Banner de consentimiento de cookies

Shopify no proporciona un banner nativo de consentimiento de cookies. Necesitas una aplicación o una implementación personalizada.

Opción nativa — Banner de cookies de Shopify (desde 2024): Shopify incluye ahora un banner de consentimiento de cookies integrado para tiendas que usan la tienda online de Shopify. Actívalo en: Tienda online → Temas → Personalizar → Incrustaciones de aplicaciones → "Banner de cookies". Esto gestiona la ley de cookies de la UE para cookies de análisis/marketing y se integra con la API de privacidad del cliente de Shopify.

Opciones de aplicación (para mayor control):

• CookieYes: Disponible como aplicación de Shopify — mismo proveedor que muchas tiendas WooCommerce ya usan. Reemplaza directamente tu configuración de CookieYes en WooCommerce.
• Cookiebot: Gestión de cookies empresarial, mismo proveedor que el Cookiebot de WooCommerce — transición sencilla si ya pagas por Cookiebot.
• Pandectes GDPR Compliance: Aplicación RGPD específica de Shopify con banner + gestión de solicitudes de datos
• Consentmo: Aplicación RGPD popular para Shopify con consentimiento de cookies + informes de cumplimiento

2. Política de privacidad y páginas legales

Shopify Admin → Configuración → Políticas tiene campos dedicados para:

• Política de privacidad
• Términos de servicio
• Política de devoluciones
• Política de envíos

Shopify proporciona plantillas de políticas generadas automáticamente que puedes personalizar. Actualízalas para reflejar tus prácticas de tratamiento de datos en Shopify (que pueden diferir de WooCommerce, ya que Shopify almacena algunos datos en su infraestructura).

Cambios clave en tu política de privacidad al migrar a Shopify:

• Elimina las referencias a WordPress/WooCommerce como encargados del tratamiento
• Añade Shopify Inc. como encargado del tratamiento (procesa los datos de los clientes)
• Actualiza los períodos de retención de datos para ajustarlos a las prácticas de Shopify
• Revisa todas las aplicaciones de terceros que instales y añádelas como subencargados si aplica

3. Consentimiento de marketing en el proceso de pago

Shopify tiene el consentimiento de marketing por correo electrónico integrado en el proceso de pago: aparece la casilla "Envíame noticias y ofertas por correo electrónico" durante el pago. Esto se integra directamente con el estado de suscripción de marketing por correo electrónico del cliente en Shopify.

Para el cumplimiento del RGPD, el proceso de pago predeterminado de Shopify muestra esta casilla como opción de suscripción (desmarcada por defecto), lo cual es correcto para el RGPD. No actives la suscripción de marketing marcada previamente.

4. Consentimiento de marketing por SMS

Si recopilas números de teléfono para marketing por SMS: el proceso de pago de Shopify incluye un campo opcional "Envíame noticias y ofertas por SMS" que captura el consentimiento para SMS. Esto cumple con los requisitos de consentimiento TCPA (EE. UU.) y RGPD (UE) cuando se configura correctamente.

Solicitudes de derechos de los interesados (DSAR)

El RGPD exige que gestiones las solicitudes de los clientes para acceder, exportar o eliminar sus datos en un plazo de 30 días. En Shopify:

Solicitudes de acceso a los datos

1. Shopify Admin → Clientes → encontrar el cliente
2. Hacer clic en "..." → "Exportar datos del cliente"
3. Esto genera un archivo con todos los datos del cliente almacenados en Shopify
4. Enviar al cliente por correo electrónico

Nota: Esto solo cubre los datos nativos de Shopify. Si usas aplicaciones de terceros (Klaviyo, aplicaciones de fidelización, etc.), debes solicitar exportaciones de datos a cada aplicación por separado.

Solicitudes de supresión (derecho al olvido)

1. Shopify Admin → Clientes → encontrar el cliente
2. Hacer clic en "..." → "Eliminar cliente"
3. Shopify suprimirá la información personal pero conservará los registros de pedidos anonimizados (requisito legal para contabilidad)

Aplicaciones de terceros: envía solicitudes de supresión a cada aplicación por separado. Las aplicaciones que implementen el webhook customers/redact de Shopify recibirán notificación automáticamente cuando elimines un cliente.

Datos de clientes migrados: estado del consentimiento

Cuando migras datos de clientes de WooCommerce a Shopify, el estado de consentimiento de marketing de WooCommerce no se transfiere. En Shopify, los clientes importados mediante CSV tienen por defecto "no suscrito" al marketing por correo electrónico.

Cómo gestionarlo:

• Enfoque conservador (recomendado): Importa todos los clientes como "no suscritos". Solo añade de nuevo a los clientes que tengan confirmación de suscripción en tu exportación de WooCommerce.
• Si tienes registros de consentimiento: Exporta tu lista de suscriptos de WooCommerce (de tu plataforma de correo electrónico — Klaviyo, Mailchimp), y etiqueta a estos clientes en Shopify. Establece su consentimiento de marketing por correo electrónico en Shopify Admin → Clientes → Editar (o actualización masiva mediante CSV con la columna correcta "Email Marketing Consent").
• No asumas que el consentimiento se transfiere automáticamente: El consentimiento es específico de la plataforma y el contexto. El consentimiento de WooCommerce no cubre legalmente el tratamiento de Shopify.

Acuerdo de tratamiento de datos con Shopify

Shopify es un encargado del tratamiento de los datos de clientes de tu tienda. Para el cumplimiento del RGPD, necesitas un Acuerdo de Tratamiento de Datos (DPA) con Shopify:

• El DPA de Shopify está disponible en help.shopify.com → Recursos RGPD de Shopify
• No necesitas firmar un nuevo DPA: está incluido en los Términos de Servicio de Shopify por referencia para comerciantes de la UE
• Para necesidades específicas de DPA (comerciantes de mayor tamaño, empresas), solicítalo a través del equipo de privacidad de Shopify

Aplicaciones y cumplimiento del RGPD

Cada aplicación que instales en Shopify potencialmente procesa datos de clientes. Shopify exige a todas las aplicaciones de su App Store que:

• Declaren qué datos recopilan
• Implementen los tres webhooks RGPD
• Dispongan de una política de privacidad

Como comerciante, eres responsable de revisar las aplicaciones que instalas. Consulta las políticas de privacidad de las aplicaciones antes de instalarlas, especialmente las que gestionan datos de clientes (Klaviyo, aplicaciones de fidelización, aplicaciones de reseñas, análisis).

Lista de comprobación de cumplimiento del RGPD para la migración a Shopify

• Activa el banner de cookies integrado de Shopify (Tienda online → Temas → Personalizar → Incrustaciones de aplicaciones) o instala una aplicación de consentimiento de cookies (CookieYes, Cookiebot, Consentmo)
• Actualiza la política de privacidad en Shopify Admin → Configuración → Políticas (elimina WooCommerce, añade Shopify como encargado del tratamiento)
• Verifica que la casilla de suscripción de marketing en el proceso de pago esté desmarcada por defecto (el RGPD exige opt-in, no opt-out)
• Importa clientes con el estado correcto de consentimiento de marketing por correo electrónico (no asumas que el consentimiento de WooCommerce se transfiere)
• Prueba el flujo de exportación de datos: solicita tus propios datos de cliente para verificar que la exportación funciona
• Prueba el flujo de eliminación: elimina una cuenta de cliente de prueba para verificar la anonimización
• Revisa todas las aplicaciones de Shopify instaladas para el cumplimiento del RGPD y las declaraciones de datos
• Actualiza tu política de retención de datos para reflejar las prácticas de Shopify
• Documenta los subencargados del tratamiento: Shopify + todas las aplicaciones que procesan datos de clientes
• Establece un proceso DSAR: ¿cómo enviarán los clientes sus solicitudes? (Correo electrónico, formulario de contacto, página dedicada)
• Actualiza tu política de cookies para enumerar las cookies de Shopify (Shopify publica su lista de cookies)

El RGPD en Shopify es generalmente más sencillo que en WooCommerce porque Shopify mantiene la infraestructura: no gestionas almacenamiento de datos en servidor, plugins de WordPress ni copias de seguridad de la base de datos. Pero las obligaciones de cumplimiento (consentimiento, solicitudes de supresión, transparencia) son idénticas. Actualiza tus procesos, no solo tus plugins.