Vibe coding y RGPD: por qué tu web hecha con IA puede ser ilegal

Los agentes de código como Claude Code y Codex publican webs que funcionan en cuestión de horas, pero introducen en silencio infracciones del RGPD que nunca pediste: cookies colocadas antes del consentimiento, datos personales guardados para siempre, ninguna forma de que el usuario los borre. Aquí tienes por qué ocurre con todos los agentes, lo que puede costarte y el skill gratuito de Claude Code que escanea tu proyecto en busca de problemas de RGPD y los corrige.

Le describes una aplicación a un agente de código, él escribe el código, despliegas y unas horas más tarde tienes un producto real en línea. Esa es la promesa del vibe coding, y la mayoría de las veces se cumple. La web carga, el registro funciona, el panel se ve limpio. Todo lo que puedes ver está bien.

El problema es todo lo que no puedes ver. Mientras conectaba tus funcionalidades, el agente también tomó decenas de pequeñas decisiones sobre cookies, rastreo, almacenamiento de datos y derechos de los usuarios. Nadie le pidió que pensara en la ley, así que no lo hizo. Para cuando publicas, tu reluciente web nueva puede estar ya asentada sobre un montón de infracciones del RGPD, y no tienes ni idea de que están ahí.

Esto no es un problema de Claude ni de Codex. Es una propiedad estructural de cómo funcionan los agentes de código, y vale para todos ellos. Veamos exactamente qué sale mal, lo que puede costarte y el skill gratuito de Claude Code que encuentra y corrige estos problemas antes de que lo haga un regulador.

Lo que un agente de código se salta en silencio

Un agente de código optimiza una sola cosa: que la funcionalidad funcione. Pídele analítica y mete un script de rastreo. Pídele un formulario de contacto y guarda cada envío en una tabla. Pídele un inicio de sesión y conserva los registros de usuario indefinidamente. Cada decisión es razonable por separado. Juntas, forman la lista de manual de las infracciones que los reguladores sancionan con más frecuencia.

Esto es lo que se cuela en una web típica hecha con vibe coding:

  • Las cookies y rastreadores se disparan antes del consentimiento. La analítica, los mapas integrados, las fuentes, los píxeles sociales y las herramientas de sesión se cargan en el momento en que se abre la página. Bajo el RGPD y la directiva ePrivacy, las cookies no esenciales necesitan un consentimiento previo y libremente otorgado. Una web que las coloca en el primer renderizado ya es no conforme, y un banner de cookies que solo aparece después de que el rastreador se haya disparado no lo arregla.
  • Los datos personales se guardan para siempre. El agente crea una tabla users, una tabla submissions, una tabla logs, y nunca añade una política de conservación. El RGPD exige que conserves los datos personales solo el tiempo que realmente los necesites. "Para siempre, por si acaso" es exactamente la infracción del principio de limitación del plazo de conservación que la ley se escribió para frenar.
  • No hay manera de borrar tus datos. Los usuarios tienen derecho de supresión, el llamado derecho al olvido. Casi ninguna app hecha con vibe coding se publica con un flujo de "eliminar mi cuenta" ni con un procedimiento documentado para atender una solicitud de supresión. Los datos entran y no hay ninguna puerta marcada como salida.
  • Ningún camino de acceso ni de portabilidad. Cualquiera puede pedir una copia de todo lo que tienes sobre esa persona. Si tu única respuesta es una consulta manual a la base de datos que nunca has probado, no estás cumpliendo las obligaciones de acceso y portabilidad.
  • Los datos de terceros salen de la UE en silencio. Ese script de analítica o esa fuente alojada que añadiste en dos segundos puede estar enviando direcciones IP e identificadores a servidores fuera de la UE sin ningún mecanismo legal de transferencia.
  • Ningún registro de lo que recopilas. El RGPD espera que conozcas y documentes tus actividades de tratamiento. Una app cuyos flujos de datos solo viven en el historial de chat olvidado del agente no tiene ningún registro.

Nada de esto aparece en una demo. La app funciona a la perfección. La capa legal sencillamente no está, y sigue sin estar hasta que alguien se queja o un regulador llama a la puerta.

Comparación en dos columnas titulada lo que se publica frente a lo que exige la ley. La columna izquierda enumera lo que entrega un agente de código con marcas de verificación verdes: la autenticación funciona, la interfaz está pulida, los pagos están activos, el build está limpio. La columna derecha enumera lo que exige el RGPD con marcas de alerta rojas que aparecen una a una: consentimiento antes de las cookies, un límite de conservación de datos, el derecho de supresión, una base legal documentada. Una ranura de puntos baja por el centro para mostrar el espacio invisible entre una web que funciona y una web que cumple.

El agente llena la columna izquierda sin fallos. La columna derecha es la parte que nadie le pidió que construyera, así que se queda vacía.

Por qué todos los agentes de código hacen esto, no solo Claude

Es tentador culpar a una sola herramienta, pero la causa va más hondo. Los agentes de código aprenden de código público, y la mayor parte del código público nunca se escribió pensando en el RGPD. Cuando un modelo ha visto diez mil ejemplos de "añadir Google Analytics" que meten el script directamente en el <head>, ese es el patrón que reproduce. Los datos de entrenamiento codifican el mal hábito, así que la salida lo hereda.

Hay datos sólidos sobre la versión más amplia de este problema. El informe 2025 de Veracode sobre la seguridad del código generado por IA analizó la salida de más de 100 grandes modelos de lenguaje en decenas de tareas de programación y encontró que el 45% del código generado por IA introducía una vulnerabilidad de seguridad. El mismo estudio halló que el código escrito por IA arrastraba 2,74 veces más vulnerabilidades que el código escrito por humanos y, de forma reveladora, que los modelos más nuevos y más grandes no lo hacían mejor. Es estructural, no un bug que la próxima versión parchea.

El cumplimiento de la privacidad tiene exactamente la misma forma que la seguridad. Ambos son requisitos invisibles que el objetivo de "que funcione" se salta de largo. Así que da igual si pilotas Claude Code o Codex, Antigravity CLI, Cursor o cualquier otro agente: estás expuesto al mismo punto ciego. La herramienta cambia, el hueco no.

Lo que puede costar de verdad una infracción del RGPD

Aquí es donde deja de ser abstracto. Las multas del RGPD tienen un tope en el importe más alto entre 20 millones de euros o el 4% de la facturación anual mundial, y los reguladores han empezado a apuntar a la parte alta de ese rango.

Solo en 2025, la autoridad francesa de protección de datos, la CNIL, impuso 486 millones de euros en multas, casi diez veces su total de 2024. Dos resoluciones de un mismo día de septiembre concentraron la mayor parte: 325 millones de euros contra Google por fallos en cookies y en transparencia publicitaria, y 150 millones de euros contra Shein por rastreadores colocados sin consentimiento. Las categorías exactas de error que un agente de IA publica por defecto son las mismas que se llevan sanciones de nueve cifras.

Es fácil leer esas cifras y suponer que los reguladores solo van a por los gigantes. No es así. La CNIL aplica un procedimiento simplificado pensado precisamente para los casos pequeños y de hechos concretos: un banner de cookies no conforme, una solicitud de acceso ignorada, una política de contraseñas débil. Esos son los hallazgos del día a día de una pequeña empresa, y son exactamente lo que una web hecha con vibe coding hace mal. El tamaño de tu empresa cambia el tamaño de la multa, no si te pueden multar o no.

Gráfico de barras verticales titulado dónde cayeron las multas del RGPD en 2025. Tres barras suben desde una línea de base a medida que aparecen animadas: 150 millones de euros contra Shein por rastreadores colocados sin consentimiento, 325 millones de euros contra Google por fallos en cookies y transparencia, y la barra más alta en 486 millones de euros, el total impuesto por el regulador francés en 2025, casi diez veces el del año anterior. Una insignia en la esquina señala el tope legal de 20 millones de euros o el 4 por ciento de la facturación mundial por infracción.

Las multas de portada golpean a las grandes empresas, pero las infracciones que hay detrás, cookies sin consentimiento y falta de transparencia, son las mismas que un agente de código publica en una web pequeña por defecto.

Lo que el RGPD pide realmente (en lenguaje claro)

No necesitas convertirte en abogado para cerrar la mayor parte del hueco. El grueso del cumplimiento cotidiano se reduce a un puñado de comportamientos concretos que tu código tiene o no tiene:

  • Consentimiento antes de las cookies no esenciales. Nada que rastree, perfile o mida debería ejecutarse hasta que el usuario haya aceptado activamente. Las cookies estrictamente necesarias son la única excepción.
  • Una base jurídica para cada dato que recopilas. Consentimiento, contrato o interés legítimo, decidido antes de almacenar nada, no después.
  • Minimización de datos. Recopila solo lo que la funcionalidad necesita de verdad. El instinto del agente de registrarlo todo es justo lo contrario.
  • Límites de conservación. Cada categoría de dato personal necesita una vida útil definida y una forma de borrarlo cuando ese plazo vence.
  • Los derechos de las personas. Acceso, rectificación, supresión y portabilidad necesitan todos un camino real y funcional, no una promesa en una política de privacidad.
  • Un aviso de privacidad claro y un registro de tratamientos. Las personas deben poder ver qué recopilas y por qué, y tú debes poder demostrarlo.

Vuelve a leer esa lista frente al apartado sobre lo que los agentes hacen mal y el solapamiento es casi perfecto. La buena noticia es que, como son comportamientos concretos a nivel de código, una herramienta puede escanearlos.

La solución: un skill gratuito de Claude Code que escanea y repara

Aquí está la parte que la checklist manual no te puede dar: una pasada automática sobre tu código real. Un desarrollador llamado Jeremy Longshore publicó un skill de Claude Code gratuito y de código abierto llamado scanning-for-gdpr-compliance (listado en algunos catálogos como GDPR Compliance Scanner) que hace exactamente eso. Vive en el repositorio claude-code-plugins-plus y se ejecuta por completo dentro de Claude Code, así que no hay ningún servicio externo en el que darse de alta.

El skill lee tu proyecto como lo haría un auditor de privacidad. Inspecciona los flujos de datos, las ubicaciones de almacenamiento, las actividades de tratamiento, los mecanismos de consentimiento, las políticas de conservación, los controles de acceso y cómo gestionas los derechos de las personas. Luego hace tres cosas que importan:

  1. Detecta. Comprobaciones basadas en reglas marcan los patrones de arriba: rastreadores que se disparan antes del consentimiento, datos personales sin límite de conservación, caminos de supresión ausentes, tratamientos no documentados.
  2. Clasifica por gravedad. Los hallazgos vuelven puntuados y priorizados, de modo que un rastreador que filtra identificadores pasa por delante de una línea que falta en tu aviso de privacidad. Corriges primero lo peligroso en lugar de ahogarte en una lista plana.
  3. Repara en tu código. Como se ejecuta dentro del agente, no se limita a producir un informe sobre el que tengas que actuar más tarde. Puede implementar directamente los cambios recomendados, convirtiendo "aquí tienes un problema" en una edición real en la misma pasada.

Instalarlo cabe en una línea. Con la marketplace de plugins añades la fuente e instalas el skill:

/plugin marketplace add jeremylongshore/claude-code-plugins-plus

Luego lanzas un escaneo en lenguaje natural. El skill responde a frases como:

scan GDPR compliance
check data privacy
validate GDPR

También puedes instalarlo dejando la carpeta del skill en el directorio .claude/skills/ de tu proyecto, la manera estándar en que Claude Code descubre los skills. En ambos casos, el escaneo corre sobre tu repositorio real, no sobre una checklist en abstracto.

Diagrama de pipeline de izquierda a derecha titulado escanear, clasificar, corregir. Una caja titulada tu código alimenta una caja titulada el skill de RGPD escanea, que alimenta una pila de tres niveles de gravedad titulados crítico, alto y medio que se iluminan en secuencia, que luego desemboca en una caja titulada corrección aplicada en el código, y termina en una caja verde titulada más cerca de cumplir. Un pequeño marcador recorre el camino para mostrar un proyecto avanzando por el flujo.

Código a la entrada, hallazgos priorizados en el medio, ediciones de código reales a la salida. El mismo bucle que ya usas para las funcionalidades, apuntado al cumplimiento.

Una advertencia honesta, porque la confianza se juega aquí: un escaneo no es un visto bueno jurídico. El skill atrapa las infracciones mecánicas a nivel de código que componen la mayor parte del riesgo cotidiano, las cookies, la conservación, el flujo de supresión ausente, y te acerca de forma notable al cumplimiento en cuestión de minutos. No sustituye a un abogado especializado en protección de datos para nada sensible, una Evaluación de Impacto relativa a la Protección de Datos o el tratamiento de datos de salud. Tómalo como la primera pasada técnica que elimina las infracciones evidentes, y luego incorpora una revisión humana para los casos límite.

Por qué esto se complica cuando manejas una flota de agentes

Un desarrollador con un agente tiene un único código que mantener honesto. En el momento en que pones varios agentes en paralelo, cada uno publicando funcionalidades en el mismo producto, la superficie de infracciones silenciosas se multiplica. Un agente añade un script de analítica, otro levanta una tabla de logs, un tercero conecta un widget de terceros, y ningún humano llegó a revisar las implicaciones de privacidad del conjunto.

Esta es la misma razón por la que el contexto y la coherencia cuestan a escala, un tema al que volvemos una y otra vez, hablemos de ejecutar agentes de código en paralelo o de vibe coding sin ahogarse. La solución tiene la misma forma: hacer que el estándar forme parte de la configuración compartida en lugar de algo que te acuerdas de comprobar al final.

En AgentsRoom, el cockpit multiagente, los skills y las reglas que configuras una vez se aplican a todos los agentes de la sala, en Claude Code, Codex y los demás proveedores que pilotas desde un solo lugar. Conecta una pasada de cumplimiento a tu flujo una vez y cada agente la hereda, en vez de confiar en que cada uno recuerde por su cuenta una regla que nadie le enseñó. La disciplina que mantiene limpia una sola sesión es la que mantiene a toda una flota lejos de los problemas regulatorios.

Una checklist de cumplimiento práctica para webs hechas con IA

Antes de dar por terminada cualquier web hecha con IA, pásala por esta lista. La mayoría la pillará el escáner, pero saber qué estás buscando hace el informe legible:

  • Ninguna cookie ni rastreador no esencial se dispara antes de que el usuario dé su consentimiento.
  • Cada almacén de datos personales tiene un plazo de conservación definido y un mecanismo de borrado.
  • Los usuarios pueden solicitar y recibir una copia de sus datos.
  • Los usuarios pueden eliminar su cuenta y hacer que sus datos se borren.
  • Un aviso de privacidad explica qué recopilas, por qué y sobre qué base jurídica.
  • Los scripts de terceros y las transferencias de datos fuera de la UE tienen un mecanismo lícito.
  • Puedes producir un registro de tus actividades de tratamiento si te lo piden.

Si no puedes marcar todas las casillas, tu web hecha con IA arrastra riesgo de RGPD, y una sola reclamación basta para sacarlo a la luz.

En resumen

El vibe coding es de verdad rápido, y esa velocidad es la trampa. El agente rellena todo lo que puedes ver y se salta todo lo que no puedes ver, que es justo donde vive el RGPD. Cookies antes del consentimiento, datos guardados para siempre, ninguna forma de borrarlos: no son casos exóticos, son la salida por defecto de todos los agentes de código, y son los mismos fallos que los reguladores multaron por cientos de millones de euros en 2025.

La solución no es dejar de usar agentes. Es añadir la pasada que falta. Pasa el skill gratuito scanning-for-gdpr-compliance por tu proyecto, deja que clasifique y repare las infracciones evidentes, y luego que un humano revise lo que quede. Unos minutos de escaneo salen mucho más baratos que descubrir el hueco por la carta de un regulador.

¿Construyes con más de un agente? Descarga AgentsRoom para pilotar Claude Code, Codex y más desde un solo cockpit, mira qué admite cada uno en la matriz de compatibilidad de proveedores y lee cómo seguir avanzando rápido en vibe coding sin ahogarse.

Descargar AgentsRoom

Ejecuta tus agentes Claude en todos tus proyectos, desde una sola ventana.

GratisDescargar AgentsRoom

App complementaria: supervisa tus agentes en movimiento

Descargar en
App Store
Disponible en
Google Play

Usa Claude, Codex, Antigravity CLI u otro proveedor de IA.

Instalar la extensión
Chrome Web Store

Envía bugs y peticiones directamente a tu backlog público.

Un vistazo a AgentsRoom en acción.

Multi-proyectos
Multi-proveedor
Multi-agentes
Estado en vivo
Diff y commit
App móvil
Vista previa
Equipos de agentes
Pruebas en navegador
Dev guiada por backlog
Biblioteca de prompts
Biblioteca de skills
Ver todas las funcionalidades