¿Cuáles son los requisitos legales de la venta por internet?
Vender online en España exige cumplir la LSSI y el RGPD, a lo que en 2026 se suma el botón de desistimiento obligatorio y, pronto, el reglamento Verifactu. Te mostramos el mapa completo, con fechas y sanciones reales.
Vender por internet en España no se reduce a abrir una web y subir productos. La administración te pide cumplir un puñado de obligaciones que crece cada año y en breve se suman dos cambios que afectan a casi cualquier ecommerce: el botón de desistimiento online (19 de junio) y el reglamento Verifactu para autónomos (1 de julio de 2027).
Este artículo recorre las cinco leyes que afectan a tu tienda online, los trámites previos en Hacienda y la Seguridad Social, los cuatro textos legales que debe publicar tu web, las novedades del año y las sanciones por incumplir.
Si vas a montar una tienda online o ya estás vendiendo por internet, te conviene tenerlo todo en regla antes de la próxima inspección o reclamación, así que apunta el calendario.
El software de gestión de proyectos que te da el control.
Planifica, visualiza, colabora y controla. Gestiona proyectos de manera profesional.
¿Qué normativa legal debe cumplir una tienda online en España?
Toda tienda online en España tiene que respetar cinco bloques normativos. Tres son leyes "clásicas" de comercio electrónico, una protege los datos de los clientes y la quinta regula los pagos y la facturación. Lo relevante en la práctica son las sanciones: cada ley tiene su propio régimen y, en muchos casos, se acumulan sobre la misma infracción.
- LSSI-CE (Ley 34/2002): regula la información obligatoria de la web, las comunicaciones comerciales y el email marketing.
- RGPD (UE 2016/679) y LOPDGDD (Ley 3/2018): protegen los datos personales que recoges de clientes, usuarios y newsletter.
- Ley General para la Defensa de los Consumidores y Usuarios (RDL 1/2007): establece el derecho de desistimiento, la información precontractual y los plazos de entrega.
- Ley de Ordenación del Comercio Minorista (Ley 7/1996): aplica a las ventas a distancia, incluido el comercio electrónico.
- Directiva 2015/2366 PSD2 y reglamento Verifactu: regulan las pasarelas de pago y la facturación.
A modo de resumen rápido, en esta tabla puedes consultar lo que protege cada norma y cuál es el techo de sanción. El apartado de sanciones, más abajo, baja al detalle por gravedad.
| Normativa | Qué regula | Sanción máxima |
|---|---|---|
| LSSI-CE | Información obligatoria, cookies, email comercial | Hasta 600.000 € |
| RGPD y LOPDGDD | Datos personales de clientes y usuarios | Hasta 20 M € o 4 % de facturación global |
| Ley de Consumidores | Derecho de desistimiento, info precontractual | Hasta 1 M € |
| Comercio Minorista | Ventas a distancia | Hasta 600.000 € |
| PSD2 / Verifactu | Pagos seguros y facturación electrónica | Variable + sanciones AEAT |
¿Quién está obligado a cumplir estos requisitos?
Todo el que vende productos o servicios online de forma habitual y con ánimo de lucro. Da igual si lo haces a título personal o a través de una sociedad: si la actividad es continuada, las obligaciones son las mismas. Lo único que cambia es la forma jurídica y el peaje fiscal.
La opción más habitual cuando empiezas es darte de alta como autónomo persona física: tramitas tu alta en el RETA y declaras tus ingresos por IRPF, normalmente en estimación directa simplificada con el modelo 130 trimestral.
A partir de cierto volumen de facturación o cuando hay socios, lo más recomendable es constituir una sociedad limitada (SL). Separa tu patrimonio del negocio y tributa por el Impuesto sobre Sociedades, pero implica más coste fijo y más obligaciones contables.
La duda más repetida es si se puede vender sin ser autónomo. La respuesta corta es que no, salvo en supuestos muy concretos: ventas puntuales no habituales, ingresos inferiores al SMI o venta entre particulares de bienes de segunda mano. Si tu actividad es regular, la Seguridad Social puede reclamarte las cuotas atrasadas con un recargo del 20 % más una sanción aparte.
La habitualidad no está definida en la ley. El criterio jurisprudencial más aceptado es el del Tribunal Supremo: se considera habitual la actividad cuyos ingresos superan el Salario Mínimo Interprofesional anual. Por debajo de esa cifra hay margen para discutirlo, pero el riesgo de inspección existe.
¿Qué sanciones existen por incumplir la normativa?
Las sanciones varían mucho según qué ley incumples y la gravedad del hecho. La AEPD multa por incumplimiento del RGPD, la Secretaría de Estado de Digitalización e Inteligencia Artificial vigila la LSSI, las autoridades de consumo aplican la Ley de Consumidores y Hacienda y la Seguridad Social actúan cada una en su parcela. Estas son las cuantías vigentes.
| Normativa | Gravedad | Cuantía |
|---|---|---|
| Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico | Leve | Hasta 30.000 € |
| Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico | Grave | 30.001 a 150.000 € |
| Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico | Muy grave | 150.001 a 600.000 € |
| Directiva Europea de Protección de Datos / Ley de Protección de Datos Personales y Garantía de los Derechos Digitales | Leve | Hasta 40.000 € o 0,5 % facturación |
| Directiva Europea de Protección de Datos / Ley de Protección de Datos Personales y Garantía de los Derechos Digitales | Grave | Hasta 300.000 € o 2 % facturación |
| Directiva Europea de Protección de Datos / Ley de Protección de Datos Personales y Garantía de los Derechos Digitales | Muy grave | Hasta 20 M € o 4 % facturación global |
| Ley de Consumidores | Leve | Hasta 10.000 € |
| Ley de Consumidores | Grave | Hasta 100.000 € |
| Ley de Consumidores | Muy grave | Hasta 1 M € |
| Agencia Tributaria (sin alta IAE) | Fija | 400 € + 200 € por declaración no presentada |
| Seguridad Social (sin alta RETA) | Variable | Entre 3.750 y 12.000 € + cuotas atrasadas con 20 % de recargo |
El RGPD calcula la multa sobre la facturación global del grupo empresarial, no sobre la del ecommerce. Para una pyme local la diferencia da igual, pero para un negocio integrado en un grupo internacional puede convertir una multa asumible en una multa que comprometa la viabilidad de toda la matriz.
Las sanciones de la AEPD son públicas. Puedes consultar las resoluciones recientes en su web para hacerte una idea de las prácticas que más se sancionan: envío de comunicaciones comerciales sin consentimiento, cookies sin botones equivalentes de aceptar y rechazar, y brechas de seguridad no notificadas en plazo.
Trámites previos: alta en Hacienda, RETA y epígrafe IAE
Antes de publicar nada en tu web tienes que formalizar tu actividad. La secuencia habitual es Hacienda, Seguridad Social y, si vendes fuera de España, el Registro de Operadores Intracomunitarios. Toma nota de los cuatro pasos que no puedes saltarte.
Alta censal en Hacienda (modelo 036)
El modelo 036 declara a la AEAT que inicias una actividad económica. Ahí eliges el epígrafe del Impuesto de Actividades Económicas y, si toca, marcas la casilla del ROI para ventas intracomunitarias. Es gratis, telemático y se hace con certificado digital. La fecha de alta marca el inicio del período impositivo.
Alta en el RETA en la Seguridad Social
Tienes 30 días naturales desde el alta en Hacienda para inscribirte en el Régimen Especial de Trabajadores Autónomos. La cuota mensual depende de tus rendimientos netos previstos: hay 15 tramos, desde unos 200 € al mes en el tramo más bajo hasta cerca de 600 € en el más alto. Durante los primeros 12 meses puedes acogerte a la tarifa plana de 87,40 €.
Epígrafe IAE: el 665 y sus alternativos
El epígrafe 665 ("comercio al por menor por correo o catálogo de productos diversos") es el más usado por las tiendas online. Si vendes algo más específico te interesa añadir también el epígrafe de tu producto. Por ejemplo, el 6515 para textiles y confección o el 6471 para alimentación. Darte de alta en varios epígrafes no tiene coste si facturas menos de 1 millón de euros al año, ya que estás exento del IAE.
Inscripción en el ROI si vendes a otros países de la UE
Si vas a comprar a proveedores o vender a clientes en otros países de la Unión Europea, te conviene inscribirte en el Registro de Operadores Intracomunitarios. Se solicita en el mismo modelo 036, marcando la casilla 582. Con el ROI obtienes un NIF-IVA con prefijo ES que te permite emitir y recibir facturas intracomunitarias sin IVA cuando ambas partes son empresas.
Una vez superas los 10.000 € de ventas anuales B2C dentro de la UE, tienes que repercutir el IVA del país del cliente. Para no darte de alta en cada Hacienda nacional, puedes usar la ventanilla única OSS (One Stop Shop), que te permite declarar y pagar todo desde España.
¿Qué textos legales debes publicar en tu web?
El cumplimiento que el usuario ve se reduce a cuatro páginas enlazadas desde el footer, la parte inferior de la página. Cada una responde a una ley distinta y tiene contenidos mínimos obligatorios. Si copias una plantilla genérica de internet sin adaptarla a tu actividad real, estás incumpliendo igual.
¿Qué son las condiciones generales de contratación?
Las condiciones generales de contratación (CGC) son el contrato a distancia entre tu tienda y el cliente. Tienen que estar accesibles desde cualquier punto del proceso de compra y deben recoger, como mínimo:
- Precio final con IVA incluido y gastos de envío antes del pago.
- Plazo de entrega (máximo 30 días si no especificas otro).
- Derecho de desistimiento de 14 días naturales desde la recepción.
- Formulario de desistimiento accesible y, desde junio de 2026, botón online directo.
- Política de devoluciones y reembolso (14 días para devolver el importe).
- Garantía legal de conformidad (3 años para bienes muebles desde 2022).
- Procedimiento de reclamaciones y enlace a la plataforma ODR de la UE.
El botón de pago tiene que dejar claro que el clic obliga al pago. Etiquetas como "Continuar" o "Confirmar" sin más contexto pueden invalidar la compra si el cliente la reclama después.
¿Qué debe incluir la política de cookies?
La política de cookies identifica todas las cookies que usa tu web (propias y de terceros), su finalidad (técnicas, analíticas, publicitarias o de personalización) y su duración. La Guía de Cookies de la AEPD obliga además a:
- Mostrar un banner con tres opciones equivalentes en visibilidad: "aceptar todas", "rechazar todas" y "configurar".
- Eliminar los dark patterns, es decir, los botones de rechazo en gris, más pequeños o escondidos en un submenú.
- No considerar la navegación como aceptación: el consentimiento debe ser activo.
- Permitir revocar el consentimiento con la misma facilidad con la que se dio.
Las cookies técnicas están exentas del consentimiento, pero las analíticas y publicitarias no. Si usas Google Analytics, Meta Pixel o cualquier herramienta de remarketing, tienes que esperar al consentimiento expreso del usuario antes de cargarlas.
¿Qué información obligatoria recoge la política de privacidad?
La política de privacidad informa al usuario de cómo tratas sus datos. Los artículos 13 y 14 del RGPD exigen incluir:
- Identidad y datos de contacto del responsable del tratamiento (y del DPO si lo tienes).
- Finalidades del tratamiento y base legal de cada una (consentimiento, contrato, interés legítimo u obligación legal).
- Destinatarios de los datos, incluidos proveedores como hosting, pasarela de pago o email marketing.
- Transferencias internacionales, si las hay, y garantías aplicadas.
- Plazo de conservación de cada categoría de datos.
- Derechos del usuario: acceso, rectificación, supresión, oposición, limitación y portabilidad.
- Derecho a reclamar ante la AEPD.
Lo recomendable es enlazarla desde el footer y desde cada formulario en el que captes datos: registro, checkout, newsletter, contacto. El consentimiento se documenta por separado, idealmente con marca de tiempo y casilla sin premarcar.
¿Qué datos identifica el aviso legal?
El aviso legal cubre el artículo 10 de la LSSI-CE: identifica al titular de la web y permite al usuario contactar de forma directa. Datos obligatorios:
- Nombre o denominación social completa.
- NIF o CIF.
- Domicilio social.
- Datos de inscripción en el Registro Mercantil cuando proceda (número, tomo, folio, hoja).
- Email de contacto y otro medio de comunicación directa.
- Códigos de conducta a los que estés adherido.
- Autorizaciones administrativas previas si tu sector las requiere y datos del colegio profesional si aplica.
Si tu web envía comunicaciones comerciales, el aviso legal o la política de privacidad tienen que identificarlas claramente como "publicidad" y ofrecer un mecanismo sencillo para oponerse al envío futuro.
¿Tengo que inscribirme en el Registro de Empresas de Venta a Distancia?
Si tu actividad se realiza exclusivamente a través de internet no es obligatorio. El Registro de Empresas de Venta a Distancia, regulado por la Ley de Ordenación del Comercio Minorista, solo obliga a quienes venden por canales "tradicionales": catálogo postal, teléfono, televisión o radio. En la práctica, casi ningún ecommerce puro necesita inscribirse.
Sí debes inscribirte, en cambio, si combinas tu tienda online con un catálogo en papel o con compras por teléfono. El trámite se realiza ante el Ministerio de Industria, Comercio y Turismo a través del modelo correspondiente y, una vez aprobado, recibes un número de registro que debes mencionar en tus comunicaciones comerciales.
¿Qué obligaciones fiscales tiene un ecommerce?
Una tienda online tributa igual que cualquier otro negocio físico y, además, suma algunas obligaciones específicas del comercio electrónico. Estas son las cuatro que tienes que controlar.
IVA. Repercutes el tipo aplicable a cada venta (21 %, 10 %, 4 % o 0 % según el producto), presentas el modelo 303 trimestral y el resumen anual 390. Para ventas B2C dentro de la UE por encima de 10.000 € al año se declara a través del sistema OSS. Si tienes dudas sobre el IVA del comercio electrónico y cómo aplicar el OSS, te conviene revisarlo antes de empezar a vender fuera.
IRPF (si eres autónomo persona física). Tus facturas a empresas españolas llevan retención del 15 % (7 % los dos primeros años si es tu primera actividad). Presentas el modelo 130 (estimación directa) o el 131 (módulos) trimestralmente, y haces la declaración anual con el modelo 100.
Impuesto sobre Sociedades (si eres SL). Pagas el 25 % sobre el beneficio (el 23 % los dos primeros años si cumples requisitos), presentas el modelo 200 anual y los pagos fraccionados con el 202 en abril, octubre y diciembre.
Facturación y Verifactu. Emites factura cada vez que el cliente la pide, en B2B o cuando vendes fuera de la UE. En B2C basta con ticket o factura simplificada. Desde el 1 de julio de 2026 tienes que usar un software de facturación homologado que cumpla el reglamento Verifactu, con código QR y hash de encadenamiento en cada factura.
¿Y si vendes muy poco? Si la actividad es habitual, la AEAT espera que la declares igual. Para los casos límite tenemos un artículo dedicado a si hay que declarar las ventas por internet que cubre los supuestos donde no está tan claro.
¿Qué es el nuevo botón de desistimiento online obligatorio?
La Directiva UE 2023/2673 obliga a incluir en la web una función visible y directamente accesible que permita al cliente ejercer su derecho de desistimiento con la misma facilidad con la que compró.
El botón debe etiquetarse "desistir del contrato aquí" o con una fórmula equivalente igual de inequívoca. Tras pulsarlo, tu sistema tiene que enviar un acuse de recibo automático con fecha y hora. También quedan prohibidos los obstáculos típicos: pop-ups disuasorios o formularios extensos como filtro. La sanción se mueve en la franja de la Ley de Consumidores y la LSSI, que en infracciones muy graves alcanzan los 600.000 €.
Te interesa: ¿Es necesario ser autónomo para abrir una tienda online?
El software de gestión de proyectos que te da el control.
Planifica, visualiza, colabora y controla. Gestiona proyectos de manera profesional.
Preguntas frecuentes
¿Cuánto cuesta cumplir con los requisitos legales de una tienda online?
El coste mínimo para cumplir con los requisitos legales básicos ronda entre 200 y 800 € al año, sin contar la cuota de autónomos. Se reparten en certificado SSL (0–100 € si no es gratuito), redacción de los cuatro textos legales por un abogado o servicio especializado (50–300 €), asesoría fiscal y software de facturación homologado (100–400 € al año) y, si tu actividad lo exige, los honorarios de un delegado de protección de datos (0–100 € al mes en pymes).
¿Necesito SSL/HTTPS sí o sí para vender online?
Sí. Sin certificado SSL no puedes tramitar pagos cumpliendo PSD2 y los navegadores marcan tu web como "no segura". Además, el RGPD considera que transmitir datos personales sin cifrado es una medida de seguridad insuficiente y eso, en caso de incidente, agrava la sanción. Un certificado Let's Encrypt cubre el mínimo legal a coste cero, aunque para tiendas con datos sensibles conviene un certificado OV o EV.
¿El botón de desistimiento obligatorio aplica a productos personalizados?
No. El derecho de desistimiento tiene excepciones tasadas en el artículo 103 de la Ley de Consumidores, entre las que están los bienes confeccionados conforme a las especificaciones del consumidor o claramente personalizados, los productos perecederos, los precintados de higiene una vez abiertos y los contenidos digitales descargados con consentimiento expreso.
Si vendes productos con personalización, te conviene declararlo en la ficha del producto y en las condiciones generales para evitar reclamaciones.
¿Puedo enviar emails comerciales a clientes que ya me compraron sin pedir un nuevo consentimiento?
Sí, pero con condiciones. El artículo 21.2 de la LSSI permite el envío de comunicaciones comerciales sobre productos o servicios similares a clientes que te facilitaron su email en el marco de una compra previa. Tienes que informar en el momento de la recogida del email y ofrecer un sistema sencillo y gratuito de baja en cada envío.
Para todo lo demás (prospectos, suscriptores de newsletter, leads de redes sociales) sigue siendo necesario el consentimiento expreso del RGPD.
¿Tengo que registrar mi base de datos de clientes en la AEPD?
No desde 2018. El RGPD eliminó la obligación de inscribir ficheros en la AEPD que venía de la antigua LOPD. En su lugar te toca llevar un Registro de Actividades de Tratamiento (RAT) interno, que es un documento donde describes qué datos tratas, con qué finalidad, quién accede y qué medidas de seguridad aplicas. La AEPD puede pedirlo en una inspección y debe estar actualizado.
Isabel Rubio
Redactora de Contenidos
Isabel Rubio es redactora de contenidos en Holded, enfocada en emprendimiento y estrategias empresariales para pymes.
Recibe cada semana lo mejor del blog en tu bandeja
Consejos de facturación, contabilidad y gestión para pymes. Únete a más de 200.000 suscriptores.
Últimos artículos
Los autónomos podrán conservar su antiguo programa de facturación si ya no lo usan para emitir facturas
¿Cuándo entra en vigor la Ley Crea y Crece y qué obligaciones conlleva?
¿Cómo se calculan las retenciones en una nómina paso a paso?
