Cumplimiento Cookies: Consentimiento Real, No Solo un Banner

El cumplimiento en materia de cookies y tecnologías de rastreo en España se rige por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), el Reglamento General de Protección de Datos (RGPD) y la Guía sobre el uso de las cookies publicada por la Agencia Española de Protección de Datos (AEPD, actualización de 2023). La normativa exige que el consentimiento para instalar o acceder a cookies no esenciales sea libre, específico, informado e inequívoco, lo que implica que el rechazo debe ser tan fácil y accesible como la aceptación, sin que el diseño del banner pueda orientar al usuario hacia una opción determinada (dark patterns). El futuro Reglamento ePrivacy europeo, en fase de negociación, reforzará estas obligaciones. La AEPD ha sancionado activamente infracciones en materia de cookies, con multas que pueden alcanzar 10 millones de euros o el 2% de la facturación global en los casos más graves bajo el RGPD.

Por que su banner de cookies no es suficiente para cumplir la AEPD

La mayoría de las empresas españolas creen cumplir con la normativa de cookies porque tienen un banner en su web. La realidad es que la AEPD ha sancionado activamente a empresas con banners que no superan los requisitos de consentimiento válido RGPD: boton de rechazo enterrado en menus de Configuración, cookies de terceros que se instalan antes de que el usuario interactue con el banner, o ausencia de opcion de rechazar todo en la primera capa.

Las consecuencias van más allá de la multa. Un sistema de cookies mal configurado puede invalidar todas las estrategias de medición y publicidad digital, generando pérdida de datos de campañas y decisiones de negocio basadas en metricas incorrectas.

Como auditamos y corregimos su sistema de consentimiento

Nuestro equipo de especialistas realiza la auditoría técnica completa: escaneo del sitio web para identificar todos los cookies y rastreadores activos, propios y de terceros, incluyendo los que se instalan antes del consentimiento. Evaluamos el sistema de consentimiento actual contra los requisitos de la Guía de Cookies de la AEPD de 2023. A partir del gap analysis, configuramos o implementamos la plataforma de gestión del consentimiento con el nivel de rigor que la autoridad exige.

Para empresas con estrategias de marketing digital avanzadas, implementamos Google Consent Mode v2 correctamente, lo que permite mantener medición útil incluso cuando usuarios rechazan cookies, minimizando el impacto en la toma de decisiones de negocio. El cumplimiento de cookies es parte del sistema de protección de datos RGPD que el DPO externo supervisa de forma continua.

Marco normativo de cookies en España: RGPD, LSSI-CE y Guía AEPD

El marco normativo de cookies en España se construye sobre tres pilares: el RGPD (Reglamento UE 2016/679), la LSSI-CE (Ley 34/2002 de Servicios de la Sociedad de la Información) y la Guía de Cookies de la AEPD en su versión de 2023. Las sanciones van desde apercibimientos hasta multas de decenas de miles de euros para empresas medianas y cientos de miles para grandes operadores.

La AEPD ha publicado resoluciones sancionadoras específicas por banners con dark patterns (diseños manipuladores), cookies instaladas antes del consentimiento y ausencia de opcion de rechazo en la primera capa. El futuro Reglamento ePrivacy europeo (previsto para 2025-2026) reforzara estas obligaciones cuando entre en vigor.

Resultados que puedes esperar

• Auditoría técnica completa de todos los cookies y rastreadores activos en el sitio web
• Identificación de cookies que se instalan antes del consentimiento del usuario
• Configuración del CMP con opcion de rechazo equiparable y registro de consentimientos
• Implementación correcta de Google Consent Mode v2 para mantener medición con cumplimiento
• Política de cookies actualizada con catálogo completo de rastreadores y finalidades
• Sistema auditado que resiste una inspección de la AEPD sin incidencias

En el contexto más amplio del cumplimiento RGPD, el sistema de cookies es la interfaz más visible del compromiso de la empresa con la privacidad, la que el usuario experimenta directamente y la que las autoridades inspeccionan con mayor facilidad. Un sistema correcto es la primera línea de defensa frente a sanciones y la seal más clara del compromiso con la privacidad.

Google Analytics, Google Ads y Meta Pixel: los casos más frecuentes

Las herramientas de analítica y publicidad digital son las que más frecuentemente generan incumplimientos de cookies. Entender sus particularidades es esencial:

Google Analytics 4 (GA4). GA4 utiliza cookies de primera parte y envía datos a servidores de Google en Estados Unidos. El TJUE (asunto Schrems II) y varias autoridades europeas (Austria, Francia, Italia, Bélgica) han declarado ilícita la transferencia de datos de usuarios europeos a Google sin medidas adicionales. El uso de GA4 sin consentimiento explícito o sin una solución de server-side tagging que anonimice los datos antes de enviarlos puede generar responsabilidad bajo el RGPD. Google Consent Mode v2 es el mecanismo técnico recomendado para mantener medición compatible con el cumplimiento.

Google Ads y píxeles de conversión. Los píxeles de conversión que se activan tras una compra o un formulario son cookies de terceros que requieren consentimiento previo si el usuario no ha aceptado. Muchas implementaciones erróneas activan el píxel en el evento de conversión sin verificar previamente si el usuario consintió las cookies de marketing. La implementación correcta debe estar condicionada al estado del consentimiento en el CMP.

Meta Pixel (Facebook Pixel). El Meta Pixel instala cookies de seguimiento y puede activar funcionalidades de retargeting. Requiere consentimiento previo explícito en cualquier contexto europeo. La integración con el servidor (CAPI — Conversions API) permite reducir la dependencia de cookies de navegador y mejorar la medición manteniendo el cumplimiento.

CMPs: cómo elegir la plataforma de gestión de consentimiento correcta

La elección del CMP (Consent Management Platform) tiene impacto directo en el cumplimiento y en el rendimiento de la estrategia de marketing. No todos los CMPs son iguales: algunos carecen de la granularidad necesaria para gestionar consentimientos por finalidad, otros no generan registros de consentimiento auditables, y algunos no están correctamente integrados con Google Consent Mode v2.

Los CMPs certificados por IAB Europe bajo el Transparency & Consent Framework (TCF 2.2) ofrecen un nivel de estandarización que facilita la integración con plataformas de publicidad digital. Sin embargo, el TCF 2.2 está siendo objeto de escrutinio por varias autoridades europeas de protección de datos, y su uso no exime automáticamente del cumplimiento del RGPD.

Nuestro equipo evalúa las opciones más adecuadas para el perfil técnico y de negocio de cada empresa: Cookiebot, OneTrust, Usercentrics, CookieYes o implementaciones personalizadas. La elección considera el volumen de tráfico, la complejidad de la stack de marketing, y los requisitos de documentación del DPO externo.

Dark patterns y el riesgo de diseño manipulador

La AEPD y el Comité Europeo de Protección de Datos han publicado directrices específicas sobre dark patterns en interfaces de privacidad. Los patrones que más frecuentemente generan sanciones son: el botón “Aceptar todo” en color llamativo frente a un botón “Rechazar” en gris o de menor tamaño; la ausencia de opción de rechazar en la primera capa del banner (obligando al usuario a entrar en “Configurar” para rechazar); la pre-marcación de categorías de cookies; y el cierre del banner mediante el aspa interpretado como aceptación.

Un diseño de banner que cumple la normativa es técnicamente neutral: las opciones de aceptar y rechazar son igualmente accesibles y el texto es claro sobre las consecuencias de cada elección. Este estándar es compatible con un buen diseño UX; la resistencia de algunos equipos de marketing a implementarlo correctamente suele ser mayor que la complejidad técnica real. Coordinamos con los equipos de diseño y desarrollo para implementar banners que cumplan sin penalizar la experiencia de usuario ni la tasa de consentimiento.

Marco regulador: RGPD, LSSI-CE y Directiva ePrivacy

El cumplimiento de cookies en España articula tres capas normativas que deben gestionarse de forma coherente.

Reglamento UE 2016/679 (RGPD), arts. 4.11, 7 y Considerando 42-43: El RGPD establece los requisitos del consentimiento que aplican a las cookies de tratamiento de datos personales: libre, específico, informado e inequívoco. El consentimiento no puede condicionarse a la aceptación del servicio (bundling), no puede obtenerse mediante casillas pre-marcadas, y debe ser tan fácil de retirar como de otorgar. El art. 7.3 RGPD exige que el titular pueda retirar el consentimiento en cualquier momento, lo que implica que la plataforma de gestión del consentimiento (CMP) debe tener accesible en todo momento la opción de modificar las preferencias.

Ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE), art. 22.2: Transpone la Directiva 2002/58/CE (Directiva ePrivacy) en España. Establece la obligación de informar y obtener el consentimiento del usuario antes de instalar cookies no esenciales. Las cookies esenciales (necesarias para el funcionamiento del servicio) no requieren consentimiento. La LSSI-CE otorga competencia sancionadora a la AEPD en coordinación con la SETAD (Secretaría de Estado de Telecomunicaciones y para la Agenda Digital).

Directiva 2002/58/CE (Directiva ePrivacy, en proceso de revisión): Establece la regla de consentimiento previo para cookies y tecnologías similares de almacenamiento en el terminal del usuario. La Propuesta de Reglamento ePrivacy (COM/2017/010), que sustituirá a la Directiva 2002/58/CE, lleva desde 2017 en proceso de tramitación; su aprobación definitiva podría producirse en 2025-2026 y supondrá cambios relevantes en el régimen de las cookies de analítica y de terceros.

Directrices del CEPD sobre consentimiento y dark patterns: Las Directrices 05/2020 del CEPD sobre consentimiento establecen que el simple scrolling o la navegación por el sitio web no constituyen consentimiento válido. Las Directrices 03/2022 sobre dark patterns identifican los patrones que la AEPD persigue activamente en sus inspecciones: botones asimétricos, ausencia de botón de rechazo en primera capa, pre-marcado de categorías, y uso de lenguaje oscuro para las opciones de rechazo.

Resoluciones de la AEPD sobre cookies: La AEPD ha impuesto sanciones relevantes en materia de cookies: PS/00120/2021 (Google LLC, 10 M€ por tracking de usuarios sin consentimiento), y múltiples resoluciones contra empresas españolas por ausencia de botón de rechazo en primera capa o por no renovar el consentimiento tras modificaciones en las categorías de cookies.

Procedimiento de auditoría y cumplimiento de cookies paso a paso

Fase 1 — Escaneo técnico de cookies (días 1-3)

Se realiza un escaneo automático y manual de todas las cookies instaladas en el sitio web: nombre, duración, categoría (técnica, preferencias, estadística, marketing), proveedor, y si transmiten datos a terceros países. Se identifican las cookies de terceros que el sitio instala sin conocimiento explícito del titular (tags de proveedores de marketing que instalan sus propias cookies).

Fase 2 — Clasificación y base jurídica (días 3-5)

Se clasifica cada cookie en la categoría correcta según el criterio de la AEPD: cookies técnicas o necesarias (excluidas del consentimiento), cookies funcionales o de preferencias (requieren consentimiento), cookies de analítica o estadística (requieren consentimiento, salvo analytics de primera parte configurado correctamente), y cookies de publicidad comportamental (siempre requieren consentimiento explícito).

Fase 3 — Implementación del CMP (días 5-20)

Se implementa o actualiza la plataforma de gestión del consentimiento: configuración de las categorías, textos informativos en lenguaje accesible, diseño del banner conforme a los estándares de la AEPD (botón de aceptar y rechazar igualmente accesibles en primera capa, ausencia de dark patterns), y configuración del registro de consentimientos (auditoría de quién aceptó qué y cuándo).

Fase 4 — Política de cookies actualizada

Se redacta o actualiza la política de cookies con la descripción completa de todas las cookies identificadas, su finalidad, duración, proveedor, y las instrucciones para configurarlas o rechazarlas. La política debe actualizarse siempre que se añada o modifique una cookie.

Fase 5 — Integración técnica y pruebas

Se verifica que el CMP bloquea efectivamente las cookies no esenciales hasta que el usuario otorga el consentimiento (pre-consent blocking), que el consentimiento se registra correctamente en el sistema de CMP, y que el usuario puede modificar sus preferencias en cualquier momento desde el enlace visible en el footer del sitio.

Autoridad competente y régimen sancionador

AEPD (Agencia Española de Protección de Datos): Es la autoridad de control principal para el cumplimiento de cookies en España. Las infracciones por tratamiento de datos sin consentimiento válido (cookies de marketing sin consentimiento) se sancionan conforme al art. 83.5 RGPD: hasta 20 M€ o el 4% de la facturación mundial. Las infracciones de la LSSI-CE se sancionan con multas de hasta 150.253 € para infracciones muy graves.

Procedimiento de inspección de la AEPD: La AEPD realiza inspecciones de oficio basadas en planes de inspección anuales y en denuncias de usuarios. El procedimiento de investigación puede concluir en un apercibimiento, una multa, o el archivo. En los últimos años, la AEPD ha centrado sus inspecciones en el sector de grandes editores web, plataformas de e-commerce, y medios de comunicación digitales.

Caso práctico: e-commerce con 2M€ de facturación y cookies de remarketing sin consentimiento

Situación: Una tienda online española de moda con 2 M€ de facturación y 50.000 visitas mensuales tiene instaladas cookies de Facebook Pixel, Google Ads y TikTok Pixel para campañas de remarketing. El banner de cookies permite al usuario “Aceptar todo” o “Seguir navegando” (interpretado como aceptación implícita), sin opción de rechazo en primera capa. Un usuario presenta denuncia ante la AEPD. La AEPD inicia una actuación de investigación.

Análisis BMC: La empresa incumple tres obligaciones: (a) ausencia de botón de rechazo en primera capa del banner (dark pattern), (b) consentimiento implícito por navegación (inválido bajo RGPD), y (c) las cookies de remarketing de Facebook, Google y TikTok se instalan desde la primera visita sin consentimiento. El riesgo sancionador estimado: 50.000-150.000 €.

Plan de remediación (3 semanas):

• Semana 1: Implementación de Cookiebot con pre-consent blocking (ninguna cookie de terceros se instala hasta consentimiento), banner rediseñado con botones simétricos “Aceptar” y “Rechazar”
• Semana 2: Actualización de la política de cookies con las 12 cookies identificadas en el escaneo
• Semana 3: Configuración de Google Ads y Facebook Ads en modo de consentimiento (Consent Mode v2) para que las campañas funcionen con datos aggregados también para usuarios que rechazan las cookies

Respuesta a la AEPD: Se presenta la evidencia de la remediación dentro del plazo dado por la autoridad. La AEPD cierra la actuación con apercibimiento (sin sanción económica) por la rapidez y completitud de la remediación.

Errores comunes en el cumplimiento de cookies

1. No tener botón de “Rechazar” accesible en la primera capa del banner. La AEPD exige desde 2023 que la opción de rechazar las cookies sea tan accesible como la de aceptarlas en la primera capa del banner. Obligar al usuario a entrar en “Configurar” o “Gestionar preferencias” para rechazar es un dark pattern sancionado.

2. No bloquear las cookies de terceros hasta que se obtiene el consentimiento (pre-consent blocking). El simple hecho de mostrar el banner no es suficiente si las cookies de terceros (Facebook Pixel, Google Analytics, scripts de remarketing) se instalan desde la primera visita antes de que el usuario interactúe con el banner.

3. No actualizar la política de cookies cuando se añaden nuevas herramientas de marketing. Cada nueva herramienta de marketing digital que se integra en el sitio (nuevo píxel, nuevo sistema de chat, nuevo proveedor de analytics) añade cookies que deben inventariarse, clasificarse, y reflejarse en la política de cookies. La no actualización viola la obligación de información transparente del RGPD.

4. Asumir que Google Analytics 4 no requiere consentimiento. GA4 en su configuración estándar instala cookies de terceros (_ga, _ga_XXXXXX) que transmiten datos a Google. Aunque GA4 permite una configuración anonymizada que mitiga parcialmente el riesgo, la mayoría de las implementaciones no la aplican correctamente. La AEPD ha confirmado que GA4 en configuración estándar requiere consentimiento previo.

5. No renovar el consentimiento tras cambios relevantes en el uso de cookies. El consentimiento otorgado para una determinada configuración de cookies no es válido indefinidamente para configuraciones posteriores que amplían el alcance del tratamiento. Si se añade una nueva categoría de cookies o un nuevo proveedor, el usuario debe ser informado y debe otorgar nuevo consentimiento para ese nuevo uso.