Skip to main content

Cómo redactar una política de cookies: guía paso a paso

Una política de cookies vale tanto como su precisión y claridad. Esta guía te acompaña en el proceso de crear una política de cookies que cumpla con los requisitos legales, sea útil para tus usuarios y se mantenga precisa con el tiempo. Sigue estos nueve pasos para elaborar una política completa, transparente y fácil de mantener.

Paso 1: Audita tus cookies

Antes de poder describir tus cookies, necesitas saber exactamente qué cookies coloca tu sitio web. Este es el cimiento de toda tu política, y el paso que la mayoría de las organizaciones hace mal.

Una auditoría exhaustiva de cookies implica:

  1. Escanear cada página. Las cookies pueden variar de una página a otra. Tu página de inicio puede colocar cookies distintas a las de tu página de pago, tu blog o las páginas de cuenta. Una auditoría completa debe abarcar todos los tipos de página.
  2. Capturar cookies propias y de terceros. Las cookies propias las coloca tu propio dominio. Las cookies de terceros las colocan servicios externos: plataformas de análisis, redes publicitarias, widgets de redes sociales, vídeos incrustados, widgets de chat, procesadores de pago y más.
  3. Identificar almacenamiento distinto de las cookies. Los sitios web modernos también utilizan localStorage, sessionStorage, IndexedDB y píxeles de seguimiento. Una política completa abarca todos los mecanismos de almacenamiento del lado del cliente, no solo las cookies HTTP.
  4. Probar con y sin consentimiento. Algunas cookies se colocan independientemente del consentimiento (las cookies estrictamente necesarias). Otras solo deben aparecer una vez otorgado el consentimiento. Tu auditoría debe verificar que las cookies no esenciales estén realmente bloqueadas hasta que se dé el consentimiento.

Las auditorías manuales no son fiables. Abrir manualmente las herramientas de desarrollo del navegador en unas pocas páginas dejará fuera cookies colocadas por scripts de terceros que se cargan de forma asíncrona, cookies que solo se colocan tras acciones concretas del usuario y cookies que aparecen únicamente en visitas posteriores. Usa herramientas de escaneo automatizado para obtener una imagen completa.

El escáner de cookies automatizado de Passiro rastrea todo tu sitio web, identifica cada cookie y mecanismo de almacenamiento, y ofrece un informe categorizado: el punto de partida ideal para tu política.

Paso 2: Categoriza cada cookie

Una vez que tengas una lista completa de cookies, organízalas en categorías estándar. La categorización más ampliamente aceptada, utilizada por el IAB Transparency and Consent Framework y recomendada por la mayoría de las autoridades de protección de datos, es la siguiente:

Estrictamente necesarias

Cookies sin las cuales el sitio web no puede funcionar. Ejemplos: cookies de sesión para el estado de inicio de sesión, cookies del carrito de compra, tokens de protección CSRF, cookies de balanceo de carga, cookies de preferencias de consentimiento de cookies. Están exentas del requisito de consentimiento según el artículo 5(3) de la Directiva ePrivacy, pero aun así debes divulgarlas en tu política.

Preferencias / Funcionales

Cookies que permiten funcionalidades mejoradas y personalización. Ejemplos: selección de idioma, preferencia de región/moneda, ajustes de tamaño de fuente, artículos vistos recientemente. No son estrictamente necesarias —el sitio funcionaría sin ellas— pero mejoran la experiencia del usuario. Requieren consentimiento.

Análisis / Estadísticas

Cookies utilizadas para recopilar datos sobre cómo interactúan los visitantes con el sitio web. Ejemplos: cookies de Google Analytics (_ga, _gid), cookies de sesión de Hotjar, Plausible Analytics. Requieren consentimiento en la mayoría de las jurisdicciones de la UE, aunque algunas autoridades de protección de datos (en particular la CNIL francesa) han creado exenciones limitadas para herramientas de medición de audiencia que cumplan condiciones estrictas.

Marketing / Publicidad

Cookies utilizadas para publicidad segmentada, retargeting y medición del rendimiento de anuncios. Ejemplos: Google Ads (_gcl_*), Meta Pixel (_fbp), LinkedIn Insight Tag, cookies de redes publicitarias. Estas siempre requieren consentimiento y son la categoría más escrutada.

Para cada cookie, asigna una categoría y verifica que la categorización sea correcta. Un error habitual es clasificar cookies de análisis o de marketing como «funcionales» para eludir el requisito de consentimiento: esto no es conforme y los reguladores lo detectan fácilmente.

Paso 3: Redacta la introducción

Tu política de cookies debe comenzar con una breve introducción que cubra:

  • Quién eres. La entidad jurídica que gestiona el sitio web (nombre de la empresa, domicilio registrado).
  • Qué abarca este documento. «Esta política de cookies explica cómo [Nombre de la empresa] utiliza cookies y tecnologías similares en [URL del sitio web].»
  • Cuándo se actualizó por última vez. Incluye una fecha visible.
  • Cómo contactarte. Facilita un correo electrónico de contacto y, si procede, los datos de tu delegado de protección de datos.

Mantén la introducción en dos o tres frases. Los usuarios están aquí para obtener información concreta, no un preámbulo corporativo.

Paso 4: Explica qué son las cookies

Incluye una explicación breve y no técnica de qué son las cookies. Muchos de tus visitantes no lo sabrán. Una buena explicación es:

Las cookies son pequeños archivos de texto que se almacenan en tu dispositivo (ordenador, tableta o teléfono) cuando visitas un sitio web. Se utilizan ampliamente para que los sitios web funcionen, para mejorar su eficiencia y para proporcionar información a los propietarios de los sitios. Las cookies colocadas por el sitio web que estás visitando se denominan «cookies propias». Las cookies colocadas por otras empresas (por ejemplo, servicios de análisis o publicidad) se denominan «cookies de terceros».

Si tu sitio utiliza tecnologías más allá de las cookies HTTP —como localStorage, píxeles de seguimiento o fingerprinting—, menciónalas también. «En esta política, empleamos el término "cookies" para referirnos a las cookies y a tecnologías similares, salvo que se indique lo contrario.»

Paso 5: Enumera las cookies en formato de tabla

Presenta tus cookies en una tabla estructurada, organizada por categoría. Para cada cookie, incluye:

Campo Descripción Ejemplo
Nombre El nombre técnico de la cookie _ga
Proveedor Quién coloca esta cookie Google Analytics (google.com)
Finalidad Qué hace la cookie, en lenguaje sencillo Genera un identificador único para registrar datos estadísticos sobre cómo utilizas el sitio web
Tipo Propia o de terceros; cookie HTTP, localStorage, etc. Cookie HTTP de terceros
Duración Cuánto tiempo persiste la cookie 2 años

A continuación, un ejemplo de una tabla de cookies bien estructurada para la categoría de análisis:

Nombre de la cookie Proveedor Finalidad Tipo Duración
_ga Google Analytics Asigna un identificador único para distinguir a los visitantes y elaborar informes estadísticos Terceros 2 años
_gid Google Analytics Asigna un identificador único para cada sesión de navegación con el fin de elaborar informes estadísticos Terceros 24 horas
_gat_UA-* Google Analytics Limita la tasa de recopilación de datos en sitios con mucho tráfico Terceros 1 minuto

Repite esta tabla para cada categoría: Estrictamente necesarias, Preferencias, Análisis y Marketing.

Paso 6: Describe cada categoría

Antes de cada tabla de cookies, ofrece una breve descripción de la categoría:

  • Qué hacen las cookies de esta categoría, en términos generales.
  • Si se requiere consentimiento: las cookies estrictamente necesarias no requieren consentimiento; todas las demás sí.
  • Qué ocurre si el usuario las rechaza: «Si rechazas las cookies de análisis, no recopilaremos datos sobre tus visitas. El sitio web funcionará con normalidad.»

Esta información contextual ayuda a los usuarios a tomar decisiones informadas y cumple los requisitos de transparencia del GDPR.

Paso 7: Explica cómo los usuarios pueden controlar las cookies

Esta sección debe abarcar dos mecanismos de control:

A través de tu banner de consentimiento

Explica que los usuarios pueden gestionar sus preferencias de cookies en cualquier momento haciendo clic en tu enlace o icono de configuración de cookies. Describe dónde encontrarlo (por ejemplo, «Haz clic en el icono de cookies situado en la esquina inferior izquierda de cualquier página» o «Haz clic en "Configuración de cookies" en el pie de página»). Sé concreto: no digas simplemente «a través de nuestro banner de cookies».

A través de la configuración del navegador

Proporciona enlaces a las instrucciones de gestión de cookies de los principales navegadores:

Indica la consecuencia: «Ten en cuenta que desactivar las cookies a través de la configuración de tu navegador puede afectar a la funcionalidad de este y de otros sitios web que visites.»

Paso 8: Añade información de contacto y datos del DPO

Proporciona información de contacto clara para consultas relacionadas con la privacidad:

  • Identidad del responsable del tratamiento: nombre de la empresa, domicilio registrado, número de registro.
  • Correo electrónico de contacto de privacidad: una dirección de correo supervisada (por ejemplo, [email protected]).
  • Delegado de protección de datos: si has designado un DPO (obligatorio para determinadas organizaciones según el artículo 37 del GDPR), facilita su nombre y datos de contacto.
  • Autoridad de control: identifica a la autoridad de protección de datos correspondiente y proporciona un enlace a su mecanismo de reclamación. Por ejemplo: «Tienes derecho a presentar una reclamación ante [Nombre de la autoridad] en [URL].»

Paso 9: Fecha la política y planifica las actualizaciones

Incluye una fecha clara de «Última actualización». Comprométete a revisar y actualizar la política a intervalos regulares y siempre que cambie tu uso de cookies.

Considera añadir una declaración como: «Revisamos esta política de cookies de forma periódica y la actualizaremos cuando sea necesario. Cualquier cambio significativo se comunicará mediante un aviso en nuestro sitio web.»

En la práctica, planifica al menos una revisión trimestral. Los servicios de terceros cambian sus cookies con frecuencia, e incluso una actualización menor de una integración puede introducir nuevas cookies que deben declararse.

Errores habituales que debes evitar

Incluso las políticas de cookies redactadas con cuidado suelen contener estos errores:

  • Descripciones de finalidad imprecisas. «Esta cookie mejora tu experiencia» no le dice nada al usuario. Sé concreto: ¿qué datos recopila la cookie y para qué se utilizan?
  • Listas de cookies desactualizadas. Si tu política incluye cookies de una herramienta que eliminaste hace seis meses, o no incluye cookies de una herramienta que añadiste la semana pasada, es inexacta. Una divulgación inexacta socava la transparencia.
  • Cookies de terceros ausentes. Muchas organizaciones enumeran sus propias cookies pero olvidan documentar las cookies de terceros colocadas por contenido incrustado (vídeos de YouTube, botones de redes sociales, widgets de chat, etc.). A menudo son las cookies más intrusivas para la privacidad del sitio.
  • Errores de categorización. Clasificar cookies de marketing o de análisis como «funcionales» o «necesarias» para eludir el requisito de consentimiento. Las autoridades de protección de datos buscan específicamente esto.
  • Sin mecanismo para cambiar las preferencias. Afirmar que los usuarios pueden gestionar sus preferencias pero no proporcionar un mecanismo claramente descrito y siempre disponible para hacerlo.
  • Copiar una plantilla sin personalizarla. Plantillas genéricas de política de cookies que no reflejan tus cookies reales, tus servicios reales ni tu tratamiento de datos real. Una plantilla es un punto de partida, no un documento terminado.
  • Lenguaje inaccesible. Jerga jurídica, terminología técnica y estructuras de frases innecesariamente complejas. El GDPR exige un lenguaje claro y sencillo. Escribe para un público no especializado.

Cómo mantener tu política sincronizada con las cookies reales

La parte más difícil de mantener una política de cookies no es redactarla, sino mantenerla precisa. Los sitios web son dinámicos. Los equipos de marketing añaden nuevas herramientas, los desarrolladores integran nuevos servicios, los sistemas de gestión de contenidos instalan plugins con capacidades de seguimiento. Cada cambio puede introducir cookies que tu política no menciona.

La solución es la supervisión automatizada y continua. En lugar de depender de auditorías manuales (poco frecuentes, incompletas y propensas a errores), utiliza una herramienta de escaneo que rastree tu sitio web con regularidad, identifique todas las cookies activas y las compare con tu lista de cookies declaradas.

Passiro escanea tu sitio web automáticamente, detecta cookies no declaradas y te avisa cuando tu política necesita actualizarse. Así, tu política de cookies siempre refleja la realidad, y no una instantánea de la última vez que alguien se acordó de comprobarlo. Descubre el cumplimiento automatizado de cookies de Passiro.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis