Skip to main content

RGPD y cookies: Guía completa para el cumplimiento

El Reglamento General de Protección de Datos (RGPD) transformó la forma en que los sitios web gestionan las cookies cuando entró en vigor el 25 de mayo de 2018. Aunque la Directiva ePrivacy es la principal norma de la UE que regula las cookies, el RGPD se aplica siempre que las cookies procesan datos personales, lo que, en la práctica, significa casi siempre. Comprender cómo se aplica el RGPD a las cookies es esencial para cualquier sitio web que opere en el Espacio Económico Europeo o que se dirija a usuarios de esta zona.

Cómo se aplica el RGPD a las cookies

El RGPD no menciona las cookies por su nombre. En su lugar, regula el procesamiento de datos personales, definidos en el artículo 4, apartado 1, como toda información sobre una persona física identificada o identificable. El considerando 30 del RGPD establece expresamente que los identificadores en línea, incluidos los identificadores de cookies, pueden utilizarse para crear perfiles de personas físicas e identificarlas. Esto significa que cualquier cookie que contenga o esté vinculada a un identificador único constituye un dato personal en virtud del RGPD.

En la práctica, esto abarca casi todas las cookies, más allá de las funcionales más básicas. Las cookies analíticas que asignan un ID de visitante único, las cookies publicitarias que rastrean el comportamiento de navegación e incluso las cookies de sesión vinculadas a una cuenta de usuario procesan datos personales y, por lo tanto, están sujetas a los requisitos del RGPD.

Artículo 6: Base jurídica para el tratamiento

Según el artículo 6 del RGPD, cada instancia de procesamiento de datos personales requiere una base jurídica. Para el procesamiento relacionado con cookies, las dos bases más comúnmente invocadas son:

  • Consentimiento (artículo 6, apartado 1, letra a): El interesado ha dado su consentimiento para el tratamiento con uno o varios fines específicos. Esta es la principal base jurídica para la mayoría del procesamiento de cookies, en particular las cookies analíticas, de marketing y publicitarias.
  • Interés legítimo (artículo 6, apartado 1, letra f): El tratamiento es necesario para satisfacer los intereses legítimos del responsable, siempre que dichos intereses no prevalezcan sobre los derechos y libertades del interesado.

La base del interés legítimo ha sido objeto de un debate considerable en el contexto de las cookies. Algunos operadores de sitios web han argumentado que el seguimiento analítico responde a un interés legítimo. Sin embargo, múltiples Autoridades de Protección de Datos han rechazado este argumento para las cookies que no son estrictamente necesarias. La CNIL francesa, la DSB austriaca y el Comité Europeo de Protección de Datos (CEPD) han adoptado la postura de que se requiere consentimiento para las cookies analíticas y que el interés legítimo no puede servir como base jurídica para instalar cookies no esenciales en el dispositivo de un usuario.

Las Directrices 05/2020 del CEPD sobre el consentimiento afirman de manera inequívoca: «Desplazarse o seguir navegando por un sitio web no constituye un consentimiento válido». La era del consentimiento implícito para las cookies ha terminado.

Artículo 7: Condiciones para un consentimiento válido

El artículo 7 establece las condiciones que debe cumplir el consentimiento. Para que el consentimiento de cookies sea válido en virtud del RGPD, debe ser:

  1. Otorgado libremente: El usuario debe tener una elección genuina. El consentimiento no se otorga libremente si el usuario no puede negarse ni retirarlo sin sufrir perjuicio alguno. Varias APD han considerado no conformes los muros de cookies que bloquean el acceso a un sitio web a menos que se acepten todas las cookies, aunque el panorama jurídico varía según la jurisdicción.
  2. Específico: El consentimiento debe otorgarse para cada finalidad concreta. Un único botón de «Aceptar todo» sin la opción de consentir categorías específicas no cumple este requisito.
  3. Informado: Debe informarse claramente al usuario sobre aquello a lo que está dando su consentimiento. Esto implica identificar las cookies, sus finalidades, los datos recopilados y cualquier tercero involucrado.
  4. Inequívoco: El consentimiento debe otorgarse mediante una acción afirmativa clara. Las casillas premarcadas, el silencio o la inactividad no constituyen un consentimiento válido.

El artículo 7, apartado 3, añade un requisito fundamental: retirar el consentimiento debe ser tan fácil como otorgarlo. Si un usuario puede aceptar cookies con un solo clic, debe poder retirar ese consentimiento con la misma facilidad. Un banner de cookies que destaca el botón «Aceptar» pero oculta la opción de rechazo en una página de configuración a varios clics de distancia no cumple con la normativa.

Artículo 4, apartado 11: La definición de consentimiento

El artículo 4, apartado 11, define el consentimiento como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Esta definición se refuerza con el considerando 32, que establece:

«El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen. Ello podría incluir marcar una casilla al visitar un sitio de internet. El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.»

La emblemática sentencia Planet49 del Tribunal de Justicia de la Unión Europea (TJUE) de octubre de 2019 (asunto C-673/17) confirmó esta interpretación, dictaminando que las casillas premarcadas no constituyen un consentimiento válido para las cookies.

Obligaciones de transparencia: Artículos 12 a 14

Los artículos 12 a 14 exigen que los responsables del tratamiento faciliten información sobre el procesamiento de datos de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. En el caso de las cookies, esto significa:

  • Su política de cookies debe redactarse en un lenguaje que los usuarios comunes puedan entender, sin jerga jurídica.
  • La información debe facilitarse en el momento de la recopilación de datos (es decir, antes de instalar las cookies).
  • Debe informarse a los usuarios sobre la identidad del responsable, las finalidades del tratamiento, las categorías de datos, cualquier destinatario, los plazos de conservación y sus derechos.
  • Si las cookies se comparten con terceros (como Google Analytics, Facebook Pixel o redes publicitarias), dichos terceros deben identificarse.

Artículo 17: El derecho de supresión

El artículo 17 otorga a los interesados el derecho a que se supriman sus datos personales. En el contexto de las cookies, esto significa que, si un usuario solicita la eliminación de sus datos, deben suprimirse todos los datos personales recopilados a través de cookies. Esto incluye los perfiles analíticos, los identificadores publicitarios y cualquier otro dato vinculado a los identificadores de cookies.

Para los operadores de sitios web que utilizan servicios de análisis o publicidad de terceros, esto puede resultar especialmente complicado, ya que los datos pueden estar en poder del tercero. Sus acuerdos de tratamiento de datos con los proveedores externos de cookies deben incluir disposiciones para gestionar las solicitudes de supresión.

RGPD frente a ePrivacy: ¿Cuál se aplica y cuándo?

La relación entre el RGPD y la Directiva ePrivacy puede resultar confusa. A continuación se explica cómo interactúan:

  • La Directiva ePrivacy (artículo 5, apartado 3) regula el acto de almacenar información en el dispositivo de un usuario o acceder a ella. Exige consentimiento para todas las cookies, salvo las estrictamente necesarias. Esta es la lex specialis (ley específica) para las cookies.
  • El RGPD regula el tratamiento posterior de cualquier dato personal recopilado a través de cookies. Establece el marco sobre qué constituye un consentimiento válido, los derechos de los interesados y las obligaciones de los responsables del tratamiento.

En términos prácticos: la Directiva ePrivacy le indica que necesita consentimiento para instalar una cookie. El RGPD le indica cómo debe ser un consentimiento válido, qué puede hacer con los datos y qué derechos tienen los usuarios respecto a esos datos. Ambos se aplican de forma simultánea.

Autoridades de Protección de Datos y aplicación de la normativa

Cada Estado miembro de la UE cuenta con una Autoridad de Protección de Datos (APD) responsable de hacer cumplir tanto el RGPD como las implementaciones nacionales de la Directiva ePrivacy. Estas autoridades tienen la facultad de investigar reclamaciones, realizar auditorías e imponer multas de hasta el 4 % de la facturación anual global o 20 millones de euros, la cantidad que sea mayor.

La aplicación de la normativa relacionada con las cookies se ha acelerado drásticamente desde 2020. Las APD de toda Europa han pasado de las orientaciones y advertencias a imponer multas sustanciales, convirtiendo el cumplimiento en materia de cookies en un riesgo empresarial real más que en una preocupación teórica.

Principales multas del RGPD relacionadas con cookies

Las siguientes acciones de aplicación demuestran las verdaderas consecuencias económicas del incumplimiento en materia de cookies:

Empresa Multa Autoridad Año Problema clave
Amazon Europe 746 millones € CNPD (Luxemburgo) 2021 Mecanismos de consentimiento y seguimiento publicitario no conformes
Google LLC 150 millones € CNIL (Francia) 2022 Rechazar las cookies no era tan fácil como aceptarlas
Facebook (Meta) 60 millones € CNIL (Francia) 2022 Ausencia de un mecanismo sencillo para rechazar las cookies
Microsoft (Bing) 60 millones € CNIL (Francia) 2022 Cookies instaladas sin consentimiento, sin mecanismo de rechazo sencillo
TikTok 5 millones € CNIL (Francia) 2023 Rechazar las cookies requería más clics que aceptarlas
Criteo 40 millones € CNIL (Francia) 2023 No obtener un consentimiento válido para las cookies de seguimiento
Vueling Airlines 30 000 € AEPD (España) 2020 Sin opción para rechazar las cookies, solo «aceptar»

Estas multas no se limitan a las grandes corporaciones. Las pequeñas y medianas empresas también se han enfrentado a acciones de aplicación, en particular en Francia, Italia y Alemania. Solo la CNIL emitió más de 100 requerimientos formales a sitios web de todos los tamaños en relación con el cumplimiento en materia de cookies en 2021.

Lista de verificación práctica para el cumplimiento del RGPD en materia de cookies

Utilice esta lista de verificación para comprobar que su sitio web cumple con los requisitos del RGPD en materia de cookies:

  1. Identifique todas las cookies que instala su sitio web, incluidas las colocadas por scripts de terceros, como los de análisis, publicidad y widgets de redes sociales.
  2. Clasifique cada cookie como estrictamente necesaria, funcional, analítica o de marketing/publicidad.
  3. Implemente el consentimiento previo para todas las cookies no esenciales. Ninguna cookie analítica o de marketing debe activarse antes de que el usuario haya dado su consentimiento.
  4. Presente las opciones de consentimiento de forma justa. La opción de rechazar las cookies debe ser tan visible y accesible como la de aceptarlas.
  5. Ofrezca un consentimiento granular. Los usuarios deben poder consentir categorías específicas de cookies en lugar de verse obligados a una elección de todo o nada.
  6. No utilice casillas premarcadas. Todas las categorías de cookies opcionales deben estar desmarcadas de forma predeterminada.
  7. Proporcione información clara sobre la finalidad de cada cookie, los datos que recopila, quién tiene acceso a ellos y cuánto tiempo persiste la cookie.
  8. Identifique a los terceros. Nombre los servicios de terceros que instalan cookies en su sitio (Google Analytics, Facebook Pixel, HubSpot, etc.).
  9. Facilite la retirada del consentimiento. Ofrezca una forma persistente y de fácil acceso para que los usuarios cambien sus preferencias de cookies tras el consentimiento inicial. Un enlace en el pie de página o un icono flotante son enfoques habituales.
  10. Conserve registros del consentimiento. Mantenga un registro de cuándo cada usuario dio su consentimiento, a qué consintió y la versión de la política de cookies vigente en ese momento.
  11. Respete técnicamente las decisiones de consentimiento. Asegúrese de que rechazar el consentimiento impida realmente la instalación de las cookies correspondientes. Esto requiere bloquear los scripts antes del consentimiento, y no solo eliminar las cookies a posteriori.
  12. Mantenga una política de cookies que sea actual, precisa y esté redactada en un lenguaje sencillo. Actualícela cada vez que añada nuevas cookies o servicios de terceros.
  13. Gestione las solicitudes de los interesados. Disponga de un proceso para responder a las solicitudes de supresión que incluya los datos recopilados mediante cookies.
  14. Realice análisis con regularidad. Ejecute análisis automáticos de cookies al menos una vez al mes y después de cada despliegue para detectar nuevas cookies introducidas por scripts o plugins actualizados.

El cumplimiento en materia de cookies conforme al RGPD no es una tarea puntual. Requiere una atención continua a medida que su sitio web evoluciona, se añaden nuevos scripts y se actualizan las orientaciones normativas. Las organizaciones que lo abordan como un proceso continuo en lugar de como un simple trámite son las que evitan las acciones de aplicación y, además, generan confianza entre sus usuarios en el proceso.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis