Skip to main content

La Directiva ePrivacy: la ley de cookies de la UE explicada

Cuando se habla de "la ley de cookies de la UE", normalmente se hace referencia a la Directiva ePrivacy — concretamente al artículo 5(3). Aunque el GDPR acapara la mayoría de los titulares, la Directiva ePrivacy es la normativa que regula directamente el uso de cookies y tecnologías de rastreo similares. Comprender esta directiva, su relación con el GDPR y el futuro Reglamento ePrivacy es esencial para cualquier persona responsable del cumplimiento en materia de cookies en un sitio web europeo.

¿Qué es la Directiva ePrivacy?

La Directiva ePrivacy (oficialmente Directiva 2002/58/CE) se adoptó el 12 de julio de 2002 como parte del marco de privacidad de las telecomunicaciones de la UE. Originalmente se centraba en la privacidad de las comunicaciones electrónicas — abarcando temas como la confidencialidad de las comunicaciones, los datos de tráfico, el spam y la identificación de llamadas.

En 2009, la directiva se modificó de forma significativa mediante la Directiva 2009/136/CE (a menudo llamada "Directiva de los Derechos de los Ciudadanos"). Esta modificación introdujo el requisito de consentimiento para las cookies que conocemos hoy, sustituyendo el anterior régimen de exclusión voluntaria (opt-out) por un modelo de aceptación previa (opt-in). Antes de 2009, los sitios web solo necesitaban informar a los usuarios sobre las cookies y darles el derecho a rechazarlas. Después de 2009, el consentimiento previo pasó a ser obligatorio para todas las cookies no esenciales.

A diferencia del GDPR, que es un reglamento (de aplicación directa en todos los Estados miembros), la Directiva ePrivacy es una directiva (cada Estado miembro debe transponerla a su legislación nacional). Esto significa que las normas específicas sobre cookies varían de un país a otro, aunque los requisitos subyacentes sean los mismos.

Artículo 5(3): la norma del consentimiento de cookies

El artículo 5(3) de la Directiva ePrivacy es la disposición que regula directamente las cookies. En su versión modificada, establece:

"Los Estados miembros garantizarán que el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario solo se permita a condición de que el abonado o usuario de que se trate haya dado su consentimiento, tras haber sido informado de manera clara y completa, de conformidad con [la Directiva de Protección de Datos, ahora el GDPR], entre otras cosas, sobre los fines del tratamiento."

Esta disposición establece varios requisitos clave:

  1. Ámbito de aplicación: Cubre cualquier almacenamiento de información en el dispositivo de un usuario, o el acceso a información almacenada en el dispositivo de un usuario. Esto incluye las cookies, pero también el almacenamiento local, IndexedDB, la huella digital del dispositivo (fingerprinting), los píxeles de rastreo y cualquier otra tecnología que lea o escriba en el dispositivo del usuario.
  2. Consentimiento previo: El consentimiento debe obtenerse antes de que se almacene o se acceda a la información — no después.
  3. Consentimiento informado: Debe proporcionarse al usuario información clara y completa sobre los fines del almacenamiento o del acceso.
  4. Estándar de consentimiento: La referencia al GDPR (originalmente a la Directiva de Protección de Datos) implica que se aplican la definición y las condiciones de consentimiento del GDPR. El consentimiento debe ser libre, específico, informado e inequívoco.

La exención de "estrictamente necesarias"

El artículo 5(3) incluye una exención importante en su segunda frase:

"Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o usuario."

Esta exención cubre dos categorías de cookies que no requieren consentimiento:

  1. Cookies necesarias para transmitir una comunicación (por ejemplo, cookies de balanceo de carga).
  2. Cookies estrictamente necesarias para prestar un servicio expresamente solicitado por el usuario (por ejemplo, cookies de carrito de compra, cookies de sesión de autenticación, cookies de preferencias del usuario para un servicio que el usuario está utilizando activamente).

El predecesor del Comité Europeo de Protección de Datos, el Grupo de Trabajo del Artículo 29, proporcionó orientación detallada sobre qué cookies se consideran estrictamente necesarias en el Dictamen 04/2012. Algunos ejemplos son:

  • Exentas (no requieren consentimiento): cookies de sesión para la entrada de datos del usuario (formularios de varios pasos), cookies de autenticación, cookies de carrito de compra, cookies de seguridad (tokens CSRF), cookies de sesión de reproductores multimedia, cookies de balanceo de carga, cookies de personalización de la interfaz (preferencia de idioma) para la sesión actual.
  • No exentas (requieren consentimiento): cookies analíticas (incluida Google Analytics), cookies publicitarias, cookies de compartición/rastreo en redes sociales, cookies de preferencia persistentes que duran más allá de la sesión, cualquier cookie de rastreo de terceros.

La distinción crítica se encuentra entre las cookies que responden a la solicitud expresa del usuario y las cookies que sirven a los intereses del operador del sitio web. Una cookie de preferencia de idioma establecida porque el usuario hizo clic en un selector de idioma es estrictamente necesaria. Una cookie analítica establecida para ayudar al operador del sitio web a entender el tráfico no lo es — aunque el operador la considere importante.

Cómo funcionan juntos ePrivacy y el GDPR

La relación entre la Directiva ePrivacy y el GDPR es de lex specialis (ley específica) y lex generalis (ley general). La Directiva ePrivacy es la ley específica que regula la privacidad en las comunicaciones electrónicas, mientras que el GDPR es el marco general de protección de datos.

En términos prácticos:

  • La Directiva ePrivacy regula si puedes colocar una cookie en el dispositivo de un usuario. Exige consentimiento para las cookies no esenciales, con independencia de que la cookie contenga o no datos personales.
  • El GDPR regula qué constituye un consentimiento válido y cómo puedes tratar cualquier dato personal recopilado a través de cookies. También proporciona el marco de aplicación, incluido el derecho a presentar reclamaciones ante las autoridades de protección de datos (DPA) y el régimen de sanciones cuantiosas.

Esto significa que incluso una cookie que no contenga datos personales (por ejemplo, un identificador analítico generado aleatoriamente sin vínculo con ningún otro dato) sigue requiriendo consentimiento en virtud de la Directiva ePrivacy, porque el artículo 5(3) se aplica a cualquier almacenamiento en el dispositivo del usuario — no solo al almacenamiento de datos personales.

A la inversa, si tratas datos personales a través de cookies, debes cumplir con todo el marco del GDPR: base legal, transparencia, derechos de los interesados, evaluaciones de impacto sobre la protección de datos y todas las demás obligaciones.

Implementaciones nacionales

Dado que la Directiva ePrivacy es una directiva y no un reglamento, cada Estado miembro de la UE la ha transpuesto a su legislación nacional con algunas variaciones. Aunque el requisito central — el consentimiento antes de las cookies no esenciales — es coherente en todos los Estados miembros, existen diferencias notables en:

  • Intensidad de la aplicación: Francia (CNIL) e Italia (Garante) han sido las más activas en la aplicación de la normativa sobre cookies, mientras que otros países han centrado sus recursos en otras áreas.
  • Exenciones específicas: Algunos países han adoptado interpretaciones algo más amplias o más restrictivas de la exención de "estrictamente necesarias".
  • Cookies analíticas: Algunas DPA han explorado si las herramientas de analítica correctamente configuradas y respetuosas con la privacidad (por ejemplo, analíticas anonimizadas sin rastreo entre sitios) podrían acogerse a una base de interés legítimo. La exención de la CNIL francesa para las herramientas de medición de audiencia bajo condiciones específicas es el ejemplo más notable, aunque sigue siendo controvertida.
  • Muros de cookies: La legalidad de los muros de cookies (exigir el consentimiento para acceder a un sitio web) varía según la jurisdicción. La DPA neerlandesa y el CEPD han adoptado una posición estricta en su contra, mientras que el Conseil d'État francés los consideró admisibles bajo determinadas condiciones.

El Reglamento ePrivacy propuesto

La Comisión Europea publicó una propuesta de Reglamento ePrivacy en enero de 2017, con la intención de sustituir la Directiva ePrivacy y alinear las normas sobre cookies con el GDPR. Más de nueve años después, el reglamento sigue en negociación, lo que lo convierte en uno de los procesos legislativos más prolongados de la historia de la UE.

Cambios clave en el reglamento propuesto

Aunque el texto final aún no está acordado, la propuesta y las posiciones posteriores del Consejo han apuntado a varios cambios significativos:

  • Aplicabilidad directa: Al ser un reglamento en lugar de una directiva, el Reglamento ePrivacy se aplicaría de manera uniforme en todos los Estados miembros, eliminando la fragmentación actual.
  • Consentimiento a nivel de navegador: Las primeras propuestas incluían disposiciones para que los usuarios establecieran sus preferencias de cookies a nivel del navegador en lugar de responder a los banners de cookies individuales en cada sitio web. Esto simplificaría enormemente la experiencia del usuario, aunque los desafíos técnicos y políticos son considerables.
  • Ámbito de aplicación ampliado: El reglamento se extendería para cubrir los servicios de comunicación over-the-top (OTT) como WhatsApp y Skype, que no están cubiertos por la directiva actual.
  • Exenciones más claras: El reglamento pretende aclarar qué tipos de cookies están exentas de consentimiento, ampliando potencialmente la exención para incluir ciertos tipos de medición de audiencia.
  • Normas sobre metadatos: Nuevas disposiciones que regulan el tratamiento de metadatos de comunicaciones (datos de ubicación, tiempos de conexión) más allá de lo que cubre la directiva actual.
  • Aplicación armonizada: El reglamento establecería un mecanismo de aplicación coherente, probablemente inspirado en el principio de ventanilla única del GDPR.

Estado actual y cronograma

A principios de 2026, el Reglamento ePrivacy sigue en negociaciones de triálogo entre el Parlamento Europeo, el Consejo de la UE y la Comisión Europea. El avance ha sido lento debido a desacuerdos fundamentales sobre varios puntos, incluido el mecanismo de consentimiento a nivel de navegador, el alcance de la exención de "estrictamente necesarias" y las normas para el tratamiento de metadatos.

El escenario más realista es que el reglamento no se finalice antes de 2027 como muy pronto, con un período de transición adicional de 12 a 24 meses antes de su entrada en vigor. Los operadores de sitios web deben seguir cumpliendo con la actual Directiva ePrivacy tal como se ha transpuesto a su legislación nacional, complementada por el marco de consentimiento del GDPR.

Implicaciones prácticas para los propietarios de sitios web

Independientemente de la incertidumbre normativa en torno al futuro Reglamento ePrivacy, las normas actuales son claras y se aplican de forma activa. Los propietarios de sitios web deben:

  1. Considerar el régimen actual como referencia mínima. El requisito de consentimiento para las cookies no esenciales es ley consolidada en toda la UE. No esperes al Reglamento ePrivacy para implementar el cumplimiento.
  2. Bloquear las cookies no esenciales antes del consentimiento. Este es el aspecto técnicamente más difícil del cumplimiento, pero no es negociable. Tu mecanismo de consentimiento de cookies debe impedir que los scripts establezcan cookies hasta que el usuario haya dado su consentimiento activo.
  3. Aplicar el estándar de consentimiento del GDPR. Cuando la Directiva ePrivacy dice "consentimiento", se refiere al consentimiento del GDPR: libre, específico, informado, inequívoco y demostrado mediante una acción afirmativa clara.
  4. Documentar tus cookies estrictamente necesarias. Mantén un registro claro de qué cookies consideras estrictamente necesarias y por qué. Prepárate para justificar esta clasificación si una DPA lo cuestiona.
  5. Vigilar los desarrollos nacionales. Dado que la Directiva ePrivacy se implementa de forma diferente en cada país, mantente informado sobre las orientaciones y la actividad de aplicación de las DPA en los países donde se encuentran tus usuarios.
  6. Prepararte para el Reglamento ePrivacy. Aunque el cronograma es incierto, la dirección es clara: normas más armonizadas, mecanismos de consentimiento potencialmente más amplios y un énfasis continuo en la privacidad del usuario. Construir un sistema robusto de gestión del consentimiento ahora hará que la transición sea más fluida cuando llegue.

La Directiva ePrivacy puede tener más de dos décadas, pero sigue siendo la piedra angular de la ley de cookies en Europa. Combinada con el marco de consentimiento del GDPR y los programas activos de aplicación de las DPA nacionales, crea un entorno normativo en el que el cumplimiento en materia de cookies no es opcional — es una obligación legal con consecuencias financieras reales en caso de incumplimiento.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis