Skip to main content

¿Cuándo se requiere el consentimiento para cookies?

La regla general es sencilla: se requiere consentimiento para todas las cookies, excepto las estrictamente necesarias. Pero los detalles importan. Saber exactamente cuándo se requiere consentimiento y cuándo no evita tanto el exceso de cumplimiento (molestar a los usuarios con avisos de consentimiento innecesarios) como la falta de cumplimiento (instalar cookies sin base legal).

La regla general

El artículo 5(3) de la Directiva ePrivacy establece el criterio base:

Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa [...] sobre los fines del tratamiento.

Esto abarca todas las cookies, todo el almacenamiento local y todo almacenamiento o acceso a nivel de dispositivo. Si tu sitio web escribe cualquier cosa en el dispositivo del usuario, el consentimiento es el requisito por defecto.

La exención de estrictamente necesarias

El mismo artículo establece la única exención:

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información expresamente solicitado por el abonado o usuario preste dicho servicio.

Esta exención tiene dos vertientes:

  1. Transmisión técnica: cookies que son técnicamente necesarias para que la comunicación se produzca. Es una vertiente restringida: se limita esencialmente a las cookies de balanceo de carga y necesidades similares a nivel de red.
  2. Estrictamente necesarias para el servicio: cookies que son esenciales para un servicio que el usuario ha solicitado expresamente. La frase clave es «expresamente solicitado por el abonado o usuario». El servicio debe ser algo que el usuario haya pedido, y la cookie debe ser indispensable para prestarlo.

Cookies que son estrictamente necesarias (sin consentimiento)

  • Cookies de autenticación de sesión. Cuando un usuario inicia sesión, la cookie de sesión que mantiene su estado autenticado es estrictamente necesaria para el servicio que solicitó (acceder a su cuenta).
  • Cookies de carrito de compra. En un sitio de comercio electrónico, la cookie que registra los artículos del carrito es estrictamente necesaria para el servicio de compra que utiliza el usuario.
  • Tokens de protección CSRF. Son estrictamente necesarios para el funcionamiento seguro del envío de formularios.
  • Cookies de preferencias de consentimiento. La cookie que almacena las decisiones de consentimiento del usuario es estrictamente necesaria: sin ella no podrías respetar sus preferencias de privacidad.
  • Cookies relacionadas con la entrada de datos. Cookies que recuerdan los datos introducidos en un proceso de varios pasos (como un formulario de compra) cuando el usuario ha iniciado el proceso.
  • Cookies de balanceo de carga. Cookies técnicas que dirigen las solicitudes al servidor correcto. Se enmarcan en la vertiente de «transmisión» de la exención.
  • Cookies de personalización de la interfaz. Cuando un usuario selecciona explícitamente un idioma o tema mediante un control en la página, la cookie que almacena esa elección es estrictamente necesaria para el servicio que solicitó. No obstante, esto depende del contexto: consulta más abajo.

Cookies que NO son estrictamente necesarias (requieren consentimiento)

  • Cookies de analítica. Medir el tráfico del sitio web beneficia al operador del sitio, no al usuario. El usuario no solicitó un servicio de análisis de tráfico.
  • Cookies de publicidad y retargeting. Sirven a los intereses de los anunciantes y del operador del sitio, nunca al usuario.
  • Cookies de compartición en redes sociales. Las establecen redes sociales de terceros, no para un servicio que el usuario haya solicitado.
  • Cookies de pruebas A/B. Sirven a los objetivos de optimización del operador.
  • Cookies de seguimiento de afiliados. Registran qué socio remitió al usuario, sirviendo a los intereses comerciales del operador.
  • Cookies de inicio de sesión persistente («recordarme»). El EDPB ha señalado que, si bien una cookie de sesión para el inicio de sesión actual es necesaria, una cookie persistente que mantiene al usuario conectado entre sesiones va más allá de lo estrictamente necesario. El usuario podría volver a iniciar sesión.
  • Cookies de monitorización del rendimiento. Las cookies utilizadas para monitorizar tiempos de carga de página, tasas de error y métricas técnicas similares sirven al operador, no al usuario.

El debate sobre la analítica de origen (first-party)

Una de las áreas más controvertidas del cumplimiento en materia de cookies es si las cookies de analítica de origen pueden utilizarse sin consentimiento. La respuesta varía según la jurisdicción y está en evolución.

La postura de la CNIL (Francia)

La CNIL francesa ha publicado directrices específicas que establecen que ciertas cookies de medición de audiencia pueden estar exentas de consentimiento, siempre que:

  1. El fin se limite estrictamente a medir la audiencia (sin seguimiento entre sitios)
  2. Los datos no se compartan con terceros
  3. Las cookies sean exclusivamente de origen
  4. Los datos se utilicen únicamente para producir estadísticas anónimas
  5. Las cookies tengan una vida limitada (13 meses como máximo)
  6. Se informe a los usuarios de su uso
  7. Los usuarios puedan rechazarlas

Bajo estas condiciones, la CNIL considera que ciertas herramientas (como Matomo configurado en un modo respetuoso con la privacidad) pueden acogerse a la exención. Google Analytics no cumple los requisitos, principalmente porque Google procesa los datos en su propia infraestructura y puede utilizarlos para sus propios fines.

La postura de la AP neerlandesa (Países Bajos)

La Autoriteit Persoonsgegevens neerlandesa ha indicado, de forma similar, que las cookies de analítica con un impacto mínimo en la privacidad pueden utilizarse sin consentimiento, aunque ha establecido condiciones comparables a las de la CNIL.

Otras jurisdicciones

La mayoría de las demás autoridades de protección de datos europeas no han adoptado una exención explícita para la analítica. La ICO (Reino Unido) ha declarado que las cookies de analítica requieren consentimiento. Las autoridades alemanas exigen, por lo general, consentimiento para todas las cookies no esenciales. La postura de la AEPD española coincide en exigir consentimiento.

Recomendación práctica

A menos que operes exclusivamente en Francia o los Países Bajos y puedas cumplir todas las condiciones de la CNIL/AP, el enfoque más seguro es tratar las cookies de analítica como sujetas a consentimiento. Si te acoges a la exención de analítica, documenta tu razonamiento, asegúrate de cumplir todas las condiciones y mantente al día de la evolución normativa: esta área todavía está evolucionando.

Exenciones de consentimiento según el fin de la cookie: diagrama de decisión

Para cada cookie de tu sitio web, plantéate estas preguntas:

  1. ¿La cookie es técnicamente necesaria para que se transmita la comunicación? (por ejemplo, balanceo de carga). En caso afirmativo: no se necesita consentimiento. En caso negativo: continúa.
  2. ¿El usuario ha solicitado expresamente un servicio que requiere esta cookie? (por ejemplo, iniciar sesión, añadir artículos al carrito). En caso afirmativo: continúa. En caso negativo: se requiere consentimiento.
  3. ¿El servicio solicitado dejaría de funcionar sin esta cookie concreta? En caso afirmativo: no se necesita consentimiento (estrictamente necesaria). Si el servicio funcionaría, pero sería menos cómodo: se requiere consentimiento.
  4. ¿La cookie es de origen, limitada a analítica agregada, sin datos compartidos con terceros, y te encuentras en una jurisdicción con exención para analítica? Si es afirmativo en todos los casos: posiblemente exenta, pero documenta tu razonamiento. Si es negativo en cualquiera: se requiere consentimiento.
  5. En todos los demás casos: se requiere consentimiento.

Situaciones especiales

Muros de cookies

Un muro de cookies bloquea el acceso a un sitio web a menos que el usuario acepte las cookies. La postura del EDPB es que los muros de cookies generalmente impiden que el consentimiento se otorgue «libremente» y, por tanto, no son conformes. No obstante, algunas autoridades (en particular la AP neerlandesa, tras una resolución judicial) han indicado que los muros de cookies pueden ser aceptables si se ofrece una alternativa genuina y equivalente, como una versión de pago del servicio sin cookies. Esta sigue siendo un área controvertida.

Muro de pago frente a muro de cookies

Algunos editores ofrecen un modelo de «consentir o pagar»: aceptar cookies de seguimiento a cambio de acceso gratuito, o pagar por una experiencia sin cookies. El EDPB emitió un dictamen en 2024 abordando esta práctica, reconociendo que puede ser admisible bajo ciertas condiciones, pero expresando su preocupación por que la alternativa de «pago» debe ser genuinamente razonable y no fijarse a un precio diseñado para coaccionar el consentimiento.

Menores

Conforme al artículo 8 del RGPD, el consentimiento para servicios de la sociedad de la información dirigidos a menores requiere verificación y, para menores por debajo de cierta edad (que varía de 13 a 16 años según el Estado miembro), el consentimiento de los padres. Si tu sitio web se dirige a menores, los requisitos de consentimiento para cookies son más estrictos.

Contextos laborales y B2B

La Directiva ePrivacy se aplica al «abonado o usuario», no solo a los consumidores. Si tu plataforma SaaS B2B utiliza cookies no esenciales, se sigue requiriendo el consentimiento del usuario individual, incluso en un contexto empresarial.

Qué ocurre sin un consentimiento válido

Si instalas cookies no esenciales sin un consentimiento válido:

  • Los datos que recopiles pueden ser ilícitos tanto conforme a la Directiva ePrivacy como al RGPD.
  • Te expones a posibles multas conforme al RGPD de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, la cuantía que sea mayor (artículo 83(5)).
  • Podrían ordenarte eliminar los datos recopilados de forma ilícita.
  • Tus datos de analítica y publicidad podrían quedar comprometidos: si la base legal para la recopilación no es válida, los datos no pueden utilizarse lícitamente.
  • Los destinatarios posteriores de esos datos (redes publicitarias, proveedores de analítica) también podrían incurrir en responsabilidad.

Estos no son riesgos hipotéticos. La CNIL multó a Google con 150 millones de euros y a Facebook con 60 millones de euros específicamente por infracciones en materia de consentimiento de cookies. Empresas más pequeñas se han enfrentado a multas de decenas de miles de euros por incumplimientos similares.

Passiro identifica cada cookie de tu sitio web y señala las que requieren consentimiento, para que puedas tener la certeza de que tu mecanismo de consentimiento abarca las cookies adecuadas: ni más ni menos.

A continuación, comparemos los dos modelos fundamentales de consentimiento: opt-in frente a opt-out, y cuál se aplica en cada caso.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis