Skip to main content

Política de cookies: qué es y qué debe contener

Una política de cookies es un documento que explica a los visitantes de tu sitio web qué cookies y tecnologías de seguimiento similares utiliza tu sitio, por qué las utiliza y cómo pueden controlarlas los usuarios. Es un requisito legal tanto bajo la ePrivacy Directive como bajo el GDPR, y constituye un pilar fundamental del tratamiento de datos transparente.

Esta guía aborda qué es una política de cookies, en qué se diferencia de una política de privacidad, qué debe contener según la normativa vigente y cómo mantenerla actualizada con el tiempo.

¿Qué es una política de cookies?

Una política de cookies es un documento específico —ya sea una página independiente o una sección claramente identificable dentro de tu política de privacidad— que ofrece información completa sobre el uso que tu sitio web hace de las cookies y tecnologías similares (almacenamiento local, almacenamiento de sesión, etiquetas de píxel, balizas web, fingerprinting y otras similares).

La base legal que exige una política de cookies proviene de dos normativas que se entrecruzan:

  • ePrivacy Directive (2002/58/CE), artículo 5(3): exige que se proporcione a los usuarios "información clara y completa" sobre las finalidades de las cookies antes de obtener el consentimiento.
  • GDPR, artículos 12 a 14: exigen transparencia sobre el tratamiento de datos, incluyendo qué datos se recopilan, con qué finalidades, con quién se comparten y durante cuánto tiempo se conservan.

En conjunto, estas normativas te obligan a informar a tus usuarios exactamente qué tecnologías de seguimiento utilizas y a darles un control real sobre dichas tecnologías.

Política de cookies frente a política de privacidad

Una política de cookies y una política de privacidad son documentos complementarios pero distintos. Comprender la diferencia es importante:

Aspecto Política de cookies Política de privacidad
Alcance Cookies y tecnologías de seguimiento en concreto Todo el tratamiento de datos personales (formularios, cuentas, compras, etc.)
Base legal ePrivacy Directive + requisitos de transparencia del GDPR Artículos 12 a 14 del GDPR
Enfoque del contenido Nombres de cookies, finalidades, duraciones, tipos, categorías, mecanismos de control Categorías de datos, bases legales, derechos, transferencias, DPO, conservación
Formato Página independiente o sección dentro de la política de privacidad Página independiente (obligatoria)
Frecuencia de actualización Cada vez que cambian las cookies (se añaden/eliminan herramientas o proveedores) Cada vez que cambian las prácticas de tratamiento de datos

Puedes incluir tu política de cookies como una sección dentro de tu política de privacidad, pero debe ser claramente identificable y fácil de localizar. Muchas organizaciones mantienen una página de política de cookies aparte por claridad y porque la información sobre cookies puede ser bastante detallada.

Tu banner de cookies debe enlazar a tu política de cookies. Si la información sobre cookies es una sección dentro de tu política de privacidad, el enlace debe dirigir directamente a esa sección: no obligues a los usuarios a desplazarse por páginas de información de privacidad no relacionada para encontrar los detalles sobre las cookies.

Obligación legal de tener una política de cookies

La ePrivacy Directive exige "información clara y completa" como condición previa para un consentimiento válido. El principio de transparencia del GDPR (artículo 5(1)(a)) y los requisitos de información (artículos 13 y 14) exigen además que esta información sea:

  • Concisa, transparente e inteligible (artículo 12(1))
  • Proporcionada en un lenguaje claro y sencillo (artículo 12(1))
  • Fácilmente accesible (artículo 12(1))
  • Proporcionada de forma gratuita (artículo 12(5))

En términos prácticos: tu política de cookies debe estar redactada en un lenguaje que una persona sin conocimientos técnicos pueda entender, debe estar enlazada desde tu banner de cookies y desde el pie de página de tu sitio web, y debe contener información específica sobre cada cookie que utiliza tu sitio.

Qué debe contener una política de cookies

Según los requisitos combinados de la ePrivacy Directive, el GDPR y las directrices de las autoridades de protección de datos —incluidas la ICO (Reino Unido), la CNIL (Francia) y el Grupo de Trabajo del Artículo 29—, tu política de cookies debe incluir la siguiente información:

1. Qué cookies utilizas

Proporciona una lista completa de todas las cookies y tecnologías similares activas en tu sitio web. Esto incluye las cookies establecidas por tu propio código (de origen) así como las cookies establecidas por servicios de terceros que utilizas (plataformas de analítica, redes publicitarias, widgets de redes sociales, contenido incrustado, chatbots, etc.).

Cada cookie debe identificarse por su nombre. "Utilizamos cookies de analítica" no es suficiente: debes enumerar las cookies concretas, por ejemplo _ga, _gid, _gat para Google Analytics.

2. Finalidad de cada cookie

Para cada cookie o grupo de cookies relacionadas, explica qué hace en un lenguaje sencillo. Evita la jerga técnica. Descripciones de finalidad eficaces:

  • "Almacena tus preferencias de consentimiento de cookies para no volver a preguntártelas en cada visita."
  • "Nos ayuda a contabilizar cuántas personas visitan nuestro sitio web y qué páginas son las más populares."
  • "Nos permite mostrarte anuncios relevantes para tus intereses en otros sitios web."

3. De origen frente a de terceros

Indica si cada cookie la establece directamente tu sitio web (de origen) o un servicio externo (de terceros). En el caso de las cookies de terceros, identifica al proveedor y enlaza a su política de privacidad. Los usuarios tienen derecho a saber no solo que se están recopilando sus datos, sino también quién lo hace.

4. Duración / caducidad

Indica durante cuánto tiempo persiste cada cookie. Hay dos tipos:

  • Cookies de sesión: se eliminan cuando el usuario cierra su navegador. Indícalo claramente: "Sesión (se elimina al cerrar el navegador)."
  • Cookies persistentes: permanecen en el dispositivo del usuario durante un periodo determinado. Indica la duración concreta: "2 años", "30 días", "13 meses". No utilices términos vagos como "a largo plazo".

Las autoridades de protección de datos han examinado con detalle las duraciones de las cookies. La CNIL, por ejemplo, recomienda que las cookies de consentimiento (las que almacenan la elección de consentimiento del usuario) no superen los 13 meses.

5. Cómo gestionar y eliminar las cookies

Explica cómo pueden controlar las cookies los usuarios mediante dos mecanismos:

  • Tu banner de consentimiento. Explica que los usuarios pueden cambiar sus preferencias de cookies en cualquier momento a través de tus ajustes de cookies (indica la ubicación del enlace o icono de ajustes).
  • Los ajustes del navegador. Proporciona instrucciones generales para gestionar las cookies en los navegadores más comunes (Chrome, Firefox, Safari, Edge). No es necesario que ofrezcas instrucciones paso a paso, pero debes explicar que existen ajustes en el navegador y enlazar a las páginas de soporte pertinentes de cada uno.

6. Cómo retirar el consentimiento

El artículo 7(3) del GDPR exige que retirar el consentimiento sea tan fácil como otorgarlo, y que se informe a los usuarios de este derecho antes de prestar el consentimiento. Tu política de cookies debe explicar:

  • Que el usuario tiene derecho a retirar su consentimiento en cualquier momento.
  • Cómo hacerlo (normalmente: haciendo clic en el icono o enlace de ajustes de cookies visible en cada página, o borrando las cookies desde los ajustes del navegador).
  • Que la retirada del consentimiento no afecta a la licitud del tratamiento basado en el consentimiento previo a su retirada.

7. Categorías de cookies

Organiza las cookies en las categorías estándar utilizadas por tu banner de consentimiento. La categorización más ampliamente adoptada es:

  • Estrictamente necesarias: cookies imprescindibles para que el sitio web funcione (sesiones de inicio de sesión, carritos de compra, tokens de seguridad). No requieren consentimiento según la ePrivacy Directive.
  • Preferencias / funcionales: cookies que recuerdan las elecciones del usuario (idioma, región, ajustes de visualización). Mejoran la experiencia pero no son esenciales.
  • Analítica / estadísticas: cookies utilizadas para recopilar datos de uso anónimos (páginas vistas, fuentes de tráfico, patrones de comportamiento del usuario).
  • Marketing / publicidad: cookies utilizadas para publicidad dirigida, retargeting y medición de anuncios.

Las categorías de tu política de cookies deben coincidir con las categorías de tu banner de consentimiento. La incoherencia entre ambos documentos socava la transparencia.

8. Información de contacto

Proporciona datos de contacto para consultas sobre tus prácticas relativas a las cookies. Normalmente incluye:

  • La identidad del responsable del tratamiento (el nombre de tu empresa y su domicilio social)
  • Una dirección de correo electrónico para consultas sobre privacidad
  • Los datos de contacto del delegado de protección de datos (DPO), si has designado uno
  • Tu autoridad de control (la autoridad de protección de datos correspondiente)

Dónde mostrar tu política de cookies

Tu política de cookies debe ser fácilmente accesible desde varias ubicaciones:

  • Pie de página del sitio web. Un enlace de "Política de cookies" en el pie de página, visible en cada página. Es la ubicación estándar que los usuarios esperan.
  • Banner de cookies. Un enlace directo desde tu banner de cookies a la política de cookies completa. Es un requisito legal: los usuarios deben poder acceder a información detallada desde la interfaz de consentimiento.
  • Panel de ajustes/preferencias de cookies. La segunda capa de tu interfaz de consentimiento debe enlazar a la política de cookies para los usuarios que deseen más información.
  • Política de privacidad. Si tu política de cookies es un documento aparte, remite a ella desde tu política de privacidad y viceversa.

Cómo presentar la información sobre cookies

El formato más eficaz y transparente para presentar las cookies individuales es una tabla. Las autoridades de protección de datos, incluida la ICO, recomiendan este formato:

Nombre de la cookie Proveedor Finalidad Tipo Duración
_ga Google Analytics Distingue a los visitantes únicos asignando un número generado aleatoriamente De terceros, analítica 2 años
_gid Google Analytics Distingue a los visitantes únicos durante el día en curso De terceros, analítica 24 horas
cookie_consent Este sitio web Almacena tus preferencias de consentimiento de cookies De origen, necesaria 12 meses

Este formato es claro, fácil de leer y ofrece toda la información requerida de un vistazo.

Con qué frecuencia actualizarla

Tu política de cookies debe ser precisa en todo momento. Actualízala siempre que:

  • Añadas un nuevo servicio de terceros que establezca cookies (una nueva herramienta de analítica, una nueva plataforma de marketing, un nuevo chatbot).
  • Elimines un servicio que anteriormente establecía cookies.
  • Un servicio de terceros cambie sus cookies (nuevos nombres, nuevas duraciones, nuevas finalidades).
  • Cambies las categorías de tu banner de consentimiento.
  • Cambien las directrices normativas (nuevos requisitos, nuevas buenas prácticas).

Incluye una fecha de "Última actualización" en la parte superior o inferior de tu política de cookies. Esto demuestra que la política se mantiene de forma activa y ayuda a los usuarios a valorar su vigencia.

El desafío, por supuesto, es saber cuándo cambian tus cookies. Los servicios de terceros actualizan su seguimiento con frecuencia, y una cookie que existía hace tres meses puede haber sido sustituida o renombrada. Las auditorías manuales no son fiables porque dependen de que alguien se acuerde de comprobarlo.

Mantén tu política actualizada con el escaneo automatizado

El fallo de cumplimiento más común en las políticas de cookies no es la ausencia de información, sino la información inexacta. Una política que enumera cookies que ya no utilizas, o que no menciona cookies añadidas por una integración reciente de una herramienta de marketing, no es conforme.

El escaneo automatizado de cookies resuelve este problema. Un escáner visita tu sitio web a intervalos regulares, identifica todas las cookies que se están estableciendo, las compara con las cookies que has declarado y te alerta de las discrepancias.

Passiro escanea automáticamente tu sitio web en busca de cookies, las categoriza y resalta cualquier cookie no declarada que aún no esté reflejada en tu política. Esto significa que tu política de cookies se mantiene precisa sin necesidad de auditorías manuales. Descubre más sobre el escaneo automatizado de cookies de Passiro.

En esta sección

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis