Verificación de edad conforme al RGPD para vape shops en PrestaShop (2026)

Vender vape, e-liquid u otros productos con restricción de edad desde una tienda PrestaShop en la UE significa que tienes que satisfacer a dos reguladores que se solapan:

• El regulador de restricción de edad en cada país al que envías — normalmente el ministerio de sanidad o una autoridad de productos del tabaco. A ellos les preocupa si los menores pueden comprar.
• La autoridad de protección de datos (bajo el RGPD + tu implementación nacional). A ellos les preocupa cómo recoges la información que has usado para verificar la edad.

Estos dos reguladores a veces se contradicen entre sí (uno quiere más verificación, el otro quiere menos datos). Este artículo recorre lo que cada uno comprueba realmente y cómo satisfacer a ambos sin acoplar un SaaS de terceros para la verificación.

1. Qué significa realmente la «verificación de edad» en la práctica de la UE en 2026

Para los productos de vape, la postura de cumplimiento dominante en la práctica de la UE en 2026 es la autodeclaración más un bloqueo duro del escaparate:

• El escaparate no se puede navegar hasta que el visitante hace clic en «Tengo ≥ X», donde X es la edad mínima específica del país (18 en la mayor parte de la UE, 21 en algunos países, umbral más bajo para cerveza/vino en DE).
• La respuesta de verificación se almacena en una cookie / localStorage para que no se le vuelva a preguntar al usuario en cada carga de página (la cadencia de repreguntar es configurable, normalmente 30 días).
• Para los pedidos pagados, el transportista valida el DNI en la entrega (en algunas jurisdicciones). Tu escaparate no es la última línea de defensa.
• Los bots de los motores de búsqueda saltan el modal — los resultados de búsqueda necesitan ser indexables.

Esto es lo que cubre una auditoría típica de un regulador. Por lo general no te piden hacer cotejo biométrico de identidad en el paso del escaparate (eso es para integraciones de DigitalID / Yoti, que recogen más datos de los que el regulador realmente exige para la mayoría de los productos de vape).

2. El lado del RGPD: ¿cuál es la base jurídica?

La base jurídica para almacenar la respuesta «sí, ≥18» en una cookie es una de estas:

• Obligación legal (RGPD Art. 6.1.c) cuando la ley nacional te obliga a verificar la edad antes de mostrar contenido de tabaco/vape;
• Interés legítimo (RGPD Art. 6.1.f) en otros casos.

En cualquier caso: se aplica la minimización de datos. Almacena solo la respuesta booleana y una marca de tiempo. No captures fecha de nacimiento, número de DNI ni nada más a menos que realmente lo necesites para la comprobación posterior del transportista (la mayoría de los transportistas no lo piden).

La regla general apta para auditorías: si no puedes justificar el almacenamiento de un campo señalando una obligación específica, no lo almacenes.

3. La checklist real que recorren los auditores

Consolido a partir de tres auditorías en las que hemos ayudado a comerciantes de PrestaShop entre 2024 y 2026 (un minorista de vape belga, uno francés y uno español):

4. Fallos habituales de auditoría (no seas estos)

Los tres fallos más habituales que hemos visto, por orden de frecuencia:

1. Modal que se puede saltar. El modal se renderiza, pero al hacer clic fuera se cierra. El auditor abre las devtools, lo cierra y navega libremente. Suspenso. Solución: overlay duro sin clic fuera, el clic en el fondo no hace nada.
2. La cookie sobrevive a la justificación de minimización de datos. Algunos módulos establecen una cookie de 1 año o incluso permanente. Eso va más allá de la minimización de datos. Quédate con 30 días.
3. Motores de búsqueda bloqueados. El modal también se renderiza para Googlebot, así que el escaparate no se indexa y el tráfico orgánico de la tienda se muere. Solución: detectar el user-agent de los bots buenos conocidos y saltarles el modal. La indexación no se ve afectada.

5. Opciones de implementación

Tres vías para PrestaShop:

• Código a medida en tu tema. Lo más barato, lo más frágil. Se rompe con las actualizaciones del tema. No recomendado a menos que tu tema también sea a medida y tengas un desarrollador en plantilla.
• Verificador SaaS de terceros (Yoti, OneID, etc.). Pesado. Útil para sectores de alto riesgo (juego, adulto). Excesivo para vape, y añade un encargado del tratamiento difícil de justificar bajo la minimización.
• Módulo de PrestaShop. El tamaño adecuado para vape / alcohol / CBD. NP AgeVerify es nuestra propuesta para esto — umbrales por país, cookie apta para el RGPD, salto de bots, sin SaaS externo.

6. Después de la auditoría: conserva la documentación

Los auditores normalmente quieren:

• Una nota de una página que describa el flujo del modal, el nombre de la cookie, el periodo de retención y la base jurídica (cita la implementación local de la directiva del tabaco).
• Una captura de pantalla del modal tal como lo ve el cliente.
• Una captura de pantalla de los ajustes de administración que muestre los umbrales de edad por país, si corresponde.
• Una declaración sobre la indexación (los bots saltan el modal, se preserva el tráfico orgánico).

Proporcionamos una versión con plantilla de esta documentación a los clientes de NP AgeVerify. Ponte en contacto a través de contacto si la necesitas.

En resumen

La verificación de edad para vape en PrestaShop es un problema resuelto si no lo sobreingenierizas. Autodeclaración + umbral por país + cookie de 30 días + salto de bots + no almacenar nada más cubre al regulador y al DPO al mismo tiempo.

Si quieres un módulo enfocado que haga exactamente esto, consulta NP AgeVerify. €49 pago único, sin dependencia de SaaS, listo para auditoría.