Cumplimiento Cookies: Consentimiento Real, No Solo un Banner

Auditoría de cookies, implantación de plataformas de gestión del consentimiento (CMP), cumplimiento LSSI-CE y preparación para el Reglamento ePrivacy.

Solicita diagnóstico

910 917 811 Ver 8 preguntas frecuentes

+120

Auditorías de cookies y consentimiento realizadas

Sanciones AEPD en clientes con CMP correctamente implementado

12 meses

Período máximo recomendado de renovación del consentimiento

4.8/5 en Google · 50+ reseñas | 25+ años de experiencia | 5 oficinas en España | 500+ clientes

Evaluación rápida

Aplica esto a tu empresa?

¿Su banner de cookies tiene un boton de 'Rechazar todo' igual de visible que el de 'Aceptar todo', en la primera capa del banner?

¿Ha realizado una auditoría técnica de su web en los últimos seis meses para verificar que no hay cookies de terceros activos antes de que el usuario consienta?

¿Su CMP registra la fecha y el tipo de consentimiento de cada usuario, de forma que puede demostrarlo ante la AEPD si es inspeccionado?

¿Su implementación de Google Analytics y Google Ads cumple con el Consent Mode v2 y con los requisitos de consentimiento de la Guía de Cookies de la AEPD?

0 respondidas de 4 preguntas

Nuestro enfoque

Como trabajamos

Auditoría técnica de cookies y rastreadores

Escaneamos el sitio web o la aplicación para identificar todos los cookies y rastreadores activos, clasificarlos por categoría (esenciales, funcionales, Analíticos, publicitarios) y determinar los proveedores terceros involucrados.

Análisis de cumplimiento y gap report

Evaluamos el sistema de consentimiento actual contra los requisitos de la Guía de Cookies de la AEPD (2023): validez del consentimiento, facilidad de rechazo, información por capas y política de cookies.

Implementación o reconfiguracion del CMP

Configuramos o implementamos la plataforma de gestión del consentimiento con los ajustes necesarios para que el consentimiento obtenido sea válido: opcion de rechazo equiparable, registro de consentimientos y renovación periódica.

Documentación y mantenimiento

Redactamos o actualizamos la política de cookies con el catálogo completo y las finalidades detalladas de cada rastreador, y establecemos el proceso de revisión periódica ante nuevas cookies o cambios en la plataforma.

El desafio

La Guía de Cookies de la AEPD exige que el consentimiento para cookies no esenciales sea libre, específico, informado y sin ambiguedad. Banners con el boton de aceptar más destacado que el de rechazar, opciones de rechazo enterradas en menus de Configuración, o la ausencia de opcion de rechazar con la misma facilidad que aceptar son infracciones documentadas que la AEPD está sancionando activamente. Muchas empresas creen cumplir porque tienen un banner: la realidad es que la mayoría no cumple los requisitos de consentimiento válido.

Nuestra solución

Realizamos una auditoría técnica completa de cookies y rastreadores, diseñamos la arquitectura de consentimiento conforme a la Guía de Cookies de la AEPD, implementamos o configuramos la plataforma de gestión del consentimiento (CMP) y documentamos la política de cookies con el nivel de detalle que exige la normativa. Para plataformas de publicidad digital y analytics avanzado, diseñamos estrategias de compliance que no sacrifican la medición.

El cumplimiento en materia de cookies y tecnologías de rastreo en España se rige por la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), el Reglamento General de Protección de Datos (RGPD) y la Guía sobre el uso de las cookies publicada por la Agencia Española de Protección de Datos (AEPD, actualización de 2023). La normativa exige que el consentimiento para instalar o acceder a cookies no esenciales sea libre, específico, informado e inequívoco, lo que implica que el rechazo debe ser tan fácil y accesible como la aceptación, sin que el diseño del banner pueda orientar al usuario hacia una opción determinada (dark patterns). El futuro Reglamento ePrivacy europeo, en fase de negociación, reforzará estas obligaciones. La AEPD ha sancionado activamente infracciones en materia de cookies, con multas que pueden alcanzar 10 millones de euros o el 2% de la facturación global en los casos más graves bajo el RGPD.

La mayoría de las empresas españolas creen cumplir con la normativa de cookies porque tienen un banner en su web. La realidad es que la AEPD ha sancionado activamente a empresas con banners que no superan los requisitos de consentimiento válido RGPD: boton de rechazo enterrado en menus de Configuración, cookies de terceros que se instalan antes de que el usuario interactue con el banner, o ausencia de opcion de rechazar todo en la primera capa.

Las consecuencias van más allá de la multa. Un sistema de cookies mal configurado puede invalidar todas las estrategias de medición y publicidad digital, generando pérdida de datos de campañas y decisiones de negocio basadas en metricas incorrectas.

Como auditamos y corregimos su sistema de consentimiento

Nuestro equipo de especialistas realiza la auditoría técnica completa: escaneo del sitio web para identificar todos los cookies y rastreadores activos, propios y de terceros, incluyendo los que se instalan antes del consentimiento. Evaluamos el sistema de consentimiento actual contra los requisitos de la Guía de Cookies de la AEPD de 2023. A partir del gap analysis, configuramos o implementamos la plataforma de gestión del consentimiento con el nivel de rigor que la autoridad exige.

Para empresas con estrategias de marketing digital avanzadas, implementamos Google Consent Mode v2 correctamente, lo que permite mantener medición útil incluso cuando usuarios rechazan cookies, minimizando el impacto en la toma de decisiones de negocio. El cumplimiento de cookies es parte del sistema de protección de datos RGPD que el DPO externo supervisa de forma continua.

Marco normativo de cookies en España: RGPD, LSSI-CE y Guía AEPD

El marco normativo de cookies en España se construye sobre tres pilares: el RGPD (Reglamento UE 2016/679), la LSSI-CE (Ley 34/2002 de Servicios de la Sociedad de la Información) y la Guía de Cookies de la AEPD en su versión de 2023. Las sanciones van desde apercibimientos hasta multas de decenas de miles de euros para empresas medianas y cientos de miles para grandes operadores.

La AEPD ha publicado resoluciones sancionadoras específicas por banners con dark patterns (diseños manipuladores), cookies instaladas antes del consentimiento y ausencia de opcion de rechazo en la primera capa. El futuro Reglamento ePrivacy europeo (previsto para 2025-2026) reforzara estas obligaciones cuando entre en vigor.

Resultados que puedes esperar

Auditoría técnica completa de todos los cookies y rastreadores activos en el sitio web
Identificación de cookies que se instalan antes del consentimiento del usuario
Configuración del CMP con opcion de rechazo equiparable y registro de consentimientos
Implementación correcta de Google Consent Mode v2 para mantener medición con cumplimiento
Política de cookies actualizada con catálogo completo de rastreadores y finalidades
Sistema auditado que resiste una inspección de la AEPD sin incidencias

En el contexto más amplio del cumplimiento RGPD, el sistema de cookies es la interfaz más visible del compromiso de la empresa con la privacidad, la que el usuario experimenta directamente y la que las autoridades inspeccionan con mayor facilidad. Un sistema correcto es la primera línea de defensa frente a sanciones y la seal más clara del compromiso con la privacidad.

Resultados

La experiencia que nos respalda

Creiamos que nuestro banner de cookies estaba bien porque era el estándar del sector. BMC hizo la auditoría técnica y encontro 23 cookies de terceros que se instalaban antes del consentimiento, y un boton de rechazo enterrado en tres capas de Configuración. Lo solucionamos en cuatro semanas. Ahora dormimos tranquilos.

Grupo Editorial Levantino, S.A.

Director de Marketing Digital

Equipo con experiencia local y visión internacional

Que obtienes

Entregables concretos

Auditoría técnica de cookies Evaluación del sistema de consentimiento Implementación del CMP Política de cookies Preparación para el Reglamento ePrivacy

Auditoría técnica de cookies

Escaneado completo del sitio web y las aplicaciones para identificar, clasificar y documentar todos los cookies y rastreadores activos, propios y de terceros.

Solicitar este servicio

Evaluación del sistema de consentimiento

Análisis del banner y del flujo de consentimiento actual contra los requisitos de la Guía de Cookies de la AEPD: validez, equiparabilidad de rechazo e información por capas.

Solicitar este servicio

Implementación del CMP

Configuración o implementación de la plataforma de gestión del consentimiento conforme a los requisitos AEPD, con registro de consentimientos y bloqueo previo de scripts de terceros.

Solicitar este servicio

Política de cookies

Redacción o actualización de la política de cookies con el catálogo completo de rastreadores, sus finalidades, proveedores y mecanismos de opt-out.

Solicitar este servicio

Preparación para el Reglamento ePrivacy

Análisis del impacto del futuro Reglamento ePrivacy en el sistema de consentimiento y hoja de ruta para la adaptación cuando entre en vigor.

Solicitar este servicio

Solicita tu diagnóstico gratuito

Casos de éxito

Resultados que hablan

Comercio

Recuperacion de cartera de deuda comercial

Recuperacion del 92% de la cartera en 4 meses, con acuerdos extrajudiciales en el 78% de los casos.

Defensa laboral integral para multinacional industrial

100% de resoluciones favorables: 5 acuerdos ventajosos en conciliación y 3 sentencias estimatorias completas.

100%

Sentencias favorables

€1.2M

Ahorro vs. demandas

Sanidad

Programa RGPD para grupo hospitalario: de investigación a cumplimiento pleno

Investigación de la AEPD cerrada sin sanción. Cumplimiento RGPD pleno alcanzado en 6 meses en todos los centros del grupo.

Hasta €10M

Sanción económica evitada

12 de 12

Centros en cumplimiento

Publicaciones

Análisis y perspectivas

3 jun 2024

Sector financiero: panorama de compliance 2024

Análisis de BMC: Sector financiero: panorama de compliance 2024. Implicaciones, novedades y recomendaciones para empresas.

Saber más

10 mar 2025

Sector salud: privacidad e IA en 2025

Análisis de BMC: Sector salud: privacidad e IA en 2025. Implicaciones, novedades y recomendaciones para empresas.

Saber más

19 may 2025

Whitepaper: Protección de datos en la era del AI Act

Análisis de BMC: Whitepaper: Protección de datos en la era del AI Act. Implicaciones, novedades y recomendaciones para empresas.

Saber más

18 nov 2024

Protección de datos y AI Act: puntos de intersección

Análisis de BMC: Protección de datos y AI Act: puntos de intersección. Implicaciones, novedades y recomendaciones para empresas.

Saber más

FAQ

Preguntas frecuentes

¿Qué cookies requieren consentimiento del usuario?

Solo los cookies estrictamente necesarios para la prestación del servicio solicitado por el usuario están exentos de consentimiento. Esto incluye los cookies de sesión, los de autenticacion, los de seguridad y los de preferencias del usuario cuando son imprescindibles. Todos los demas: cookies de analytics (Google Analytics, Adobe Analytics), cookies de publicidad, cookies de redes sociales y cookies de medición del rendimiento requieren consentimiento previo e informado del usuario antes de su instalación.

¿Qué condiciones debe cumplir el consentimiento para cookies para ser válido?

La AEPD exige que el consentimiento sea: libre (sin perjuicio para el usuario que rechaza), específico (para cada finalidad por separado), informado (el usuario sabe que acepta y para que) e inequivoco (acción positiva, nunca casilla premarcada ni consentimiento por navegación). El rechazo debe ser igual de fácil que la aceptacion: si hay un boton 'Aceptar todo' debe haber un boton 'Rechazar todo' en el mismo nivel de visibilidad.

¿Se puede usar Google Analytics sin consentimiento?

No, según la Guía de Cookies de la AEPD. Google Analytics instala cookies de analytics que requieren consentimiento previo. Algunas implementaciones en modo de consentimiento (Consent Mode v2) con anonimizacion de IP pueden reducir los datos recogidos cuando el usuario no consiente, pero no eliminan la necesidad de consentimiento para los cookies de analytics completos. La alternativa de analytics sin cookies (server-side tracking con datos anonimizados) puede ser una solución compatible sin consentimiento para algunas finalidades de medición.

¿Qué es el Consent Mode de Google y es suficiente para cumplir la AEPD?

Google Consent Mode v2 es una tecnología que permite a Google ajustar el comportamiento de sus cookies y tags según el estado del consentimiento del usuario. Cuando el usuario no consiente, Google utiliza modelado de datos (conversión modeling) en lugar de datos reales. Implementar Consent Mode v2 es necesario para usar los productos de Google Ads y Analytics correctamente, pero no sustituye la obligación de obtener un consentimiento válido: el banner y el CMP siguen siendo necesarios y deben cumplir los requisitos de la AEPD.

¿Con que frecuencia debo renovar el consentimiento de cookies?

La AEPD recomienda que el consentimiento se renueve periódicamente, como regla general cada 12 meses como máximo si no se han producido cambios en las cookies. Si se incorporan nuevas cookies o se cambian las finalidades de las existentes, el consentimiento debe renovarse de forma anticipada. El sistema de CMP debe registrar la fecha del último consentimiento de cada usuario para poder gestionar la renovación automática.

¿Pueden las cookies de terceros seguir activas si el usuario rechaza?

No. Si el usuario no ha dado su consentimiento, ninguna cookie que requiera consentimiento puede instalarse, independientemente de si es propia o de terceros. El CMP debe bloquear todos los scripts de terceros hasta que el usuario otorgue su consentimiento. Las soluciones de CMP modernas permiten bloquear los scripts de Google, Meta, LinkedIn y otros proveedores hasta que el usuario acepta.

¿Qué es el Reglamento ePrivacy y cuando entrara en vigor?

El Reglamento ePrivacy es la norma europea que sustituira a la Directiva ePrivacy (que en España se transpuso como LSSI-CE) y que regulara de forma directamente aplicable las cookies, las comunicaciones electrónicas y la privacidad en el entorno digital. Su aprobación ha sufrido retrasos sucesivos: la última previsión apunta a 2025-2026. Cuando entre en vigor, introducira cambios en el marco del consentimiento para cookies que las empresas deberán implementar. Le mantenemos informado de los avances legislativos y preparamos su sistema para la transición.

¿La AEPD está sancionando por incumplimientos de cookies?

Sí, activamente. La AEPD ha impuesto sanciones significativas por cookies: banners que no permiten rechazar con la misma facilidad que aceptar, ausencia de política de cookies detallada, cookies instaladas antes de obtener el consentimiento y uso de dark patterns (diseños manipuladores) en el banner. Las sanciones van desde apercibimientos hasta multas de decenas de miles de euros para empresas medianas, y de cientos de miles para grandes operadores. La AEPD pública regularmente sus criterios y resoluciones, que actualizamos en nuestros sistemas de compliance.

Primer paso

Empieza con un diagnóstico gratuito

Nuestro equipo de especialistas, con profundo conocimiento del mercado español y europeo, te guiara desde el primer momento.

Cumplimiento de Cookies y Consentimiento Digital

Legal

Primer paso

Empieza con un diagnóstico gratuito

Nuestro equipo de especialistas, con profundo conocimiento del mercado español y europeo, te guiara desde el primer momento.

25+

años de experiencia

oficinas en España

500+

clientes atendidos

Solicita tu diagnóstico

Servicios relacionados

Glosario

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias

Cumplimiento Cookies: Consentimiento Real, No Solo un Banner

Aplica esto a tu empresa?

Como trabajamos

Auditoría técnica de cookies y rastreadores

Análisis de cumplimiento y gap report

Implementación o reconfiguracion del CMP

Documentación y mantenimiento

El desafio

Nuestra solución

Por que su banner de cookies no es suficiente para cumplir la AEPD

Como auditamos y corregimos su sistema de consentimiento

Marco normativo de cookies en España: RGPD, LSSI-CE y Guía AEPD

Resultados que puedes esperar

La experiencia que nos respalda

Entregables concretos

Auditoría técnica de cookies

Evaluación del sistema de consentimiento

Implementación del CMP

Política de cookies

Preparación para el Reglamento ePrivacy

Resultados que hablan

Recuperacion de cartera de deuda comercial

Defensa laboral integral para multinacional industrial

Programa RGPD para grupo hospitalario: de investigación a cumplimiento pleno

Análisis y perspectivas

Sector financiero: panorama de compliance 2024

Sector salud: privacidad e IA en 2025

Whitepaper: Protección de datos en la era del AI Act

Protección de datos y AI Act: puntos de intersección

Preguntas frecuentes

Empieza con un diagnóstico gratuito

Empieza con un diagnóstico gratuito

También le puede interesar

Compliance Penal

DPO Externo (Delegado de Protección de Datos)

Prevención de Blanqueo (PBC)

Protección de Datos y Privacidad

Términos clave

Reglamento de IA (AI Act)

Delegado de Protección de Datos (DPO)

Evaluación de Impacto en Protección de Datos (EIPD / DPIA)

LOPD / RGPD (protección de datos)

Privacidad desde el Diseño (Privacy by Design)

Protección de datos personales (RGPD/LOPDGDD)

Cláusulas Contractuales Tipo (SCCs)

Configuración de cookies