Buenas prácticas de consentimiento de cookies
Conocer la ley es necesario. Implementarla bien es donde ocurre el verdadero trabajo. Esta sección aborda las buenas prácticas para el consentimiento de cookies: cómo construir una experiencia de consentimiento que sea legalmente conforme, técnicamente sólida y respetuosa con tus usuarios.
1. Haz que el consentimiento sea realmente voluntario
El artículo 7(4) del GDPR establece que, al evaluar si el consentimiento se ha otorgado libremente, «se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento del tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato».
En la práctica, esto significa:
- No utilices muros de cookies que bloqueen el contenido a menos que el usuario acepte todas las cookies. El EDPB ha declarado que los muros de cookies generalmente impiden que el consentimiento se otorgue libremente. Si un usuario no puede acceder a tu sitio web sin aceptar el seguimiento, su «consentimiento» está coaccionado, no es voluntario.
- No degrades la experiencia de los usuarios que rechazan. Mostrar una capa superpuesta persistente, reducir la funcionalidad de la página o mostrar mensajes pasivo-agresivos («Observamos que no has aceptado las cookies: tu experiencia puede verse afectada») socava la naturaleza voluntaria del consentimiento.
- Ofrece alternativas genuinas. Si utilizas un modelo de «consentir o pagar», la alternativa de pago debe ser realmente razonable, no tener un precio pensado para penalizar el rechazo.
2. Elimina los patrones oscuros
Los patrones oscuros en el consentimiento de cookies son un objetivo específico de los reguladores. El EDPB ha publicado orientaciones sobre patrones de diseño engañosos, y la CNIL, el Garante y otras autoridades de protección de datos han multado a organizaciones específicamente por interfaces de consentimiento manipuladoras.
Evita estos patrones:
- Botones asimétricos. «Aceptar todo» como un botón grande y llamativo, y «Gestionar preferencias» como un pequeño enlace de texto. Ambas opciones deben tener la misma prominencia. Varias autoridades de protección de datos han exigido específicamente que «Rechazar todo» esté disponible en el primer nivel con el mismo peso visual que «Aceptar todo».
- Lenguaje confuso. «Continuar sin aceptar» frente a «Aceptar y continuar»: cuando ambos botones se ven similares, los usuarios no pueden distinguirlos rápidamente. Utiliza etiquetas claras e inequívocas: «Aceptar todo», «Rechazar todo», «Personalizar».
- Opciones de rechazo ocultas. Exigir a los usuarios que naveguen hasta un segundo o tercer nivel para rechazar las cookies, mientras que «Aceptar todo» está a un solo clic. La CNIL multó a Google con 150 millones de euros en parte por esta práctica.
- Interruptores premarcados. Interruptores de categoría que están activados por defecto para analítica y marketing. La sentencia Planet49 del TJUE prohíbe esto explícitamente.
- Colores engañosos. Verde para «Aceptar» y rojo o gris para «Rechazar» sugiere que aceptar es la opción correcta y rechazar es un error. Utiliza un estilo neutro y coherente.
- Vergüenza por confirmar. Un texto como «No, gracias, no me importa mi experiencia» para la opción de rechazo es manipulador y socava la naturaleza voluntaria del consentimiento.
- Solicitud repetida. Volver a mostrar el banner de consentimiento en cada visita a la página después de que el usuario haya rechazado, con la esperanza de desgastarlo. Una vez que un usuario ha tomado una decisión, respétala.
3. Sé transparente
El consentimiento informado exige que los usuarios comprendan a qué están accediendo. La transparencia no consiste en la cantidad de información, sino en la claridad.
- Usa un lenguaje sencillo. «Utilizamos cookies para rastrear tu comportamiento de navegación por la web con fines publicitarios» es claro. «Aprovechamos tecnologías avanzadas de análisis de datos para mejorar tu experiencia digital personalizada» no lo es.
- Enumera todas las cookies. Tu política de cookies debe incluir un inventario completo: nombre de la cookie, proveedor, finalidad, tipo (de sesión/persistente, propia/de terceros) y caducidad. Este inventario debe mantenerse actualizado.
- Nombra a los terceros. Si compartes datos con redes publicitarias, nómbralas. «Compartimos datos con nuestros socios publicitarios» es insuficiente. «Compartimos datos con Google Ads, Meta (Facebook) y LinkedIn» es transparente.
- Explica las consecuencias. ¿Qué ocurre si el usuario acepta las cookies de analítica? ¿Qué ocurre si las rechaza? Los usuarios deben comprender el impacto práctico de su elección.
4. Ofrece control granular
El GDPR exige que el consentimiento sea «específico»: otorgado por separado para cada finalidad. Tu mecanismo de consentimiento debe ofrecer:
- Interruptores por categoría. Los usuarios deben poder aceptar las cookies de analítica y rechazar las de marketing. Las cuatro categorías estándar (necesarias, analítica, marketing, preferencias) son el mínimo.
- Accesos directos «Aceptar todo» y «Rechazar todo». Aunque el control granular es obligatorio, ofrecer opciones globales como accesos directos es legal y cómodo para el usuario, siempre que la opción granular sea igual de accesible.
- Control por proveedor (recomendado, pero no siempre obligatorio). Para lograr la máxima transparencia, considera permitir que los usuarios vean y controlen las cookies por proveedor; por ejemplo, aceptar Google Analytics y rechazar Hotjar, o aceptar el seguimiento de LinkedIn y rechazar el de Facebook. Algunas plataformas de gestión del consentimiento denominan a esto granularidad «IAB TCF Nivel 2».
5. Haz que retirar el consentimiento sea tan fácil como darlo
El artículo 7(3) del GDPR es explícito: «El interesado tendrá derecho a retirar su consentimiento en cualquier momento. [...] Será tan fácil retirar el consentimiento como darlo».
Este requisito se incumple con frecuencia. Los fallos habituales incluyen:
- No hay ninguna forma visible de cambiar las preferencias de cookies después de cerrar el banner.
- Un enlace de «Configuración de cookies» oculto en la política de privacidad, que a su vez está oculta en el pie de página.
- Exigir al usuario que borre las cookies de su navegador para restablecer las preferencias (esto no es un mecanismo de retirada, es una solución improvisada).
Las implementaciones que siguen las buenas prácticas incluyen:
- Un enlace permanente de «Configuración de cookies» en el pie de página del sitio web.
- Un pequeño icono flotante (a menudo un icono de cookie o de escudo) que vuelve a abrir el gestor de consentimiento.
- Una sección en la configuración de la cuenta del usuario (para usuarios que han iniciado sesión) donde se pueden gestionar las preferencias de cookies.
Cuando un usuario retira su consentimiento, debes dejar de utilizar las cookies correspondientes de inmediato. Elimina las cookies del navegador y detén los scripts asociados. La retirada debe ser efectiva, no solo registrada.
6. Conserva registros del consentimiento
Artículo 7(1) del GDPR: «Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales».
Tus registros de consentimiento deben incluir:
- Marca de tiempo del momento en que se otorgó o rechazó el consentimiento.
- Categorías aceptadas y rechazadas.
- Versión del mecanismo de consentimiento mostrado (cómo se veía el banner, qué texto se mostraba). Si cambias tu banner de consentimiento, necesitas saber con qué versión interactuó cada usuario.
- Método de consentimiento (qué botón se pulsó, qué opciones se seleccionaron).
- Identificador anonimizado que vincule el registro con el dispositivo o la sesión (no el nombre ni el correo electrónico del usuario: el propio registro de consentimiento no debe convertirse en un problema de privacidad).
Almacena estos registros en el servidor. Una cookie del lado del cliente por sí sola no es prueba suficiente: el usuario puede eliminarla y no tienes un registro independiente. La buena práctica consiste en registrar los eventos de consentimiento en tu servidor y conservarlos durante el tiempo que recomiende tu autoridad de protección de datos (normalmente, el mismo periodo que la caducidad de tus cookies, más un margen razonable).
7. Vuelve a solicitar el consentimiento tras los cambios
El consentimiento es específico para las finalidades y cookies para las que se otorgó. Si añades nuevas cookies, nuevas categorías, nuevos proveedores externos o cambias significativamente cómo utilizas las cookies existentes, el consentimiento recabado previamente puede dejar de cubrir el nuevo tratamiento.
Vuelve a solicitar el consentimiento a los usuarios cuando:
- Añadas una nueva categoría de cookies que no estaba cubierta anteriormente.
- Introduzcas un nuevo servicio de seguimiento de terceros.
- Cambies la finalidad de las cookies existentes (por ejemplo, usar datos analíticos con fines publicitarios).
- Haya transcurrido un tiempo considerable desde el último consentimiento (la CNIL recomienda no más de 13 meses).
- Los requisitos normativos cambien de un modo que afecte a la validez del consentimiento existente.
Implementa un sistema de versiones de consentimiento. Asigna un número de versión a tu configuración de consentimiento. Cuando la versión cambie (porque añadiste o modificaste cookies), vuelve a solicitar el consentimiento a los usuarios que lo dieron bajo una versión anterior.
8. Realiza pruebas A/B éticas de las tasas de consentimiento
Es legítimo optimizar tu experiencia de consentimiento probando diferentes diseños, redacciones y estilos para descubrir qué funciona mejor. Pero «funciona mejor» debe significar «resulta en un consentimiento realmente informado a una tasa razonable», no «maximiza los clics de aceptar todo mediante la manipulación».
Pautas para unas pruebas A/B éticas:
- Todas las variantes deben ser conformes. Cada versión que pruebes debe cumplir los requisitos legales para un consentimiento válido. No puedes probar una versión conforme frente a una no conforme para ver cuál obtiene más aceptaciones.
- Prueba la claridad, no la manipulación. ¿Reformular la explicación aumenta la comprensión y, por tanto, el consentimiento? ¿Reposicionar el banner mejora la interacción? Estas son pruebas legítimas.
- No optimices para la tasa de «Aceptar todo». Una alta tasa de aceptación total lograda mediante un diseño confuso no es un éxito: es un riesgo de cumplimiento. Optimiza para la tasa de usuarios que toman una decisión activa e informada de cualquier tipo.
- Supervisa las tasas de rechazo. Si un cambio de diseño reduce drásticamente los rechazos, pregúntate si los redujo mediante la claridad o mediante la obstrucción.
9. Buenas prácticas de implementación técnica
El mecanismo de consentimiento no es solo un componente de la interfaz: requiere una implementación técnica adecuada para funcionar realmente.
Bloquea los scripts hasta obtener el consentimiento
El requisito técnico más crítico: los scripts no esenciales no deben ejecutarse hasta que el usuario haya consentido la categoría correspondiente. Existen varios enfoques:
- Manipulación del tipo de script. Cambia
type="text/javascript"portype="text/plain"y añade un atributo de datos que indique la categoría. Cuando se otorga el consentimiento, un script del gestor de consentimiento cambia el tipo de nuevo y activa la ejecución. - Integración con gestor de etiquetas. Utiliza un gestor de etiquetas (Google Tag Manager, Tealium, etc.) que admita modos de consentimiento. Las etiquetas se configuran para activarse solo cuando existe consentimiento para su categoría.
- Renderizado del lado del servidor. Incluye las etiquetas de script en el HTML de la página únicamente si el consentimiento ya está registrado (mediante una comprobación del lado del servidor de la cookie de consentimiento). Este es el enfoque más fiable, pero requiere lógica del lado del servidor.
Gestiona correctamente el estado del consentimiento
- Primera visita (sin consentimiento registrado): carga únicamente los scripts estrictamente necesarios. Muestra el mecanismo de consentimiento.
- Visita recurrente (consentimiento registrado): lee la cookie de consentimiento. Carga los scripts que coincidan con las categorías aceptadas. No vuelvas a mostrar el mecanismo de consentimiento a menos que corresponda renovarlo.
- Consentimiento retirado: detén todos los scripts de la categoría retirada. Elimina las cookies correspondientes. Actualiza el registro de consentimiento.
- Consentimiento renovado: trátalo como una primera visita para cualquier categoría nueva. Carga de inmediato las categorías aceptadas previamente.
Realiza pruebas exhaustivas
- Verifica que no se establezca ninguna cookie no esencial antes de otorgar el consentimiento. Usa las herramientas de desarrollo del navegador (pestaña Aplicación > Cookies) para comprobarlo.
- Verifica que los scripts realmente se detengan cuando se retira el consentimiento; no solo que la cookie se elimine, sino que los scripts dejen de ejecutarse.
- Realiza pruebas con JavaScript desactivado. El mecanismo de consentimiento debe degradarse de forma controlada y no debe cargarse ningún script de seguimiento.
- Realiza pruebas en dispositivos móviles. El mecanismo de consentimiento debe ser totalmente funcional y utilizable en pantallas pequeñas.
10. Utiliza una plataforma de gestión del consentimiento (CMP)
Construir un mecanismo de consentimiento totalmente conforme desde cero es posible, pero implica un mantenimiento continuo considerable. Una plataforma de gestión del consentimiento se encarga de la complejidad por ti: recopilación del consentimiento, conservación de registros, bloqueo de scripts, segmentación geográfica y actualizaciones normativas.
Al evaluar una CMP, ten en cuenta:
- Escaneo automático de cookies. ¿La CMP detecta todas las cookies de tu sitio o tienes que enumerarlas manualmente?
- Bloqueo de scripts. ¿La CMP realmente bloquea los scripts antes del consentimiento o solo muestra un banner?
- Registros de consentimiento. ¿La CMP almacena la prueba del consentimiento en el servidor?
- Compatibilidad con IAB TCF. Si utilizas publicidad programática, puede ser necesaria la compatibilidad con TCF 2.2.
- Impacto en el rendimiento. El script de la CMP se carga en cada página. ¿Qué tamaño tiene? ¿Bloquea el renderizado?
- Personalización. ¿Puedes adaptar el banner de consentimiento al diseño de tu marca?
- Accesibilidad. ¿El propio mecanismo de consentimiento es accesible? ¿Se puede navegar con el teclado? ¿Funciona con lectores de pantalla? Un banner de consentimiento inaccesible en un sitio web que afirma preocuparse por la accesibilidad da mala imagen.
Passiro escanea tu sitio web para identificar todas las cookies y tecnologías de seguimiento, las clasifica automáticamente y ofrece recomendaciones prácticas para tu implementación del consentimiento, ya sea que la construyas tú mismo o utilices una CMP.
Resumen: la lista de comprobación del consentimiento
Una referencia rápida para evaluar tu implementación actual del consentimiento:
- No se establece ninguna cookie no esencial antes de otorgar el consentimiento.
- El mecanismo de consentimiento ofrece «Aceptar todo» y «Rechazar todo» con igual prominencia.
- Los usuarios pueden tomar decisiones por categoría (como mínimo: necesarias, analítica, marketing, preferencias).
- La información presentada es clara, específica y está redactada en lenguaje sencillo.
- No se utilizan casillas ni interruptores premarcados para categorías no esenciales.
- Existe un método permanente y de fácil acceso para retirar o cambiar el consentimiento.
- Los registros de consentimiento se almacenan en el servidor con marcas de tiempo y detalles de las categorías.
- El consentimiento se renueva al menos cada 13 meses (o antes si cambia el uso de las cookies).
- El mecanismo de consentimiento es accesible (navegable con teclado, compatible con lectores de pantalla).
- La implementación se prueba periódicamente para garantizar el cumplimiento (nuevas cookies, scripts modificados).
Un consentimiento de cookies bien hecho no es un obstáculo para tu negocio. Es la base de la confianza entre tú y tus usuarios y, cada vez más, es lo que separa a las empresas conformes de aquellas que se enfrentan a acciones regulatorias.
¿Cumple tu sitio web con la normativa de cookies?
Escanea tu sitio web gratis y encuentra todas las cookies en minutos.
Escanea tus cookies gratis