Skip to main content

Recursos y glosario de cumplimiento de cookies

El cumplimiento en materia de cookies implica un vocabulario especializado que proviene de la normativa de la UE, la legislación de protección de datos y la tecnología web. Este glosario define los términos clave con los que te encontrarás, seguidos de una colección seleccionada de recursos oficiales y referencias fiables para profundizar en el tema.

Glosario de términos clave

A–C

CMP (Plataforma de Gestión del Consentimiento): Una herramienta o servicio de software que gestiona la recopilación, el almacenamiento y la aplicación del consentimiento del usuario para las cookies y otras tecnologías de rastreo. Una CMP suele proporcionar la interfaz del banner de cookies, almacenar los registros de consentimiento y controlar qué scripts pueden ejecutarse en función de las decisiones del usuario. Algunos ejemplos son Cookiebot, OneTrust, Usercentrics y soluciones de código abierto como Klaro.

CNIL (Commission Nationale de l'Informatique et des Libertés): La autoridad francesa de protección de datos. La CNIL ha sido el regulador europeo más activo en la aplicación de las normas sobre cookies, imponiendo las mayores multas relacionadas con cookies y publicando las directrices de cumplimiento más detalladas. Sus interpretaciones y acciones de aplicación marcan con frecuencia el estándar que siguen otras autoridades de protección de datos.

Consentimiento: En el contexto del GDPR, una manifestación libre, específica, informada e inequívoca de la voluntad de un interesado, expresada mediante una clara acción afirmativa. En el caso de las cookies, esto significa que el usuario debe elegir activamente permitir las cookies no esenciales mediante una acción deliberada, como hacer clic en un botón de «Aceptar». El silencio, las casillas premarcadas, la inactividad y la navegación continuada no constituyen un consentimiento válido.

Cookie: Un pequeño archivo de texto que un sitio web coloca en el dispositivo del usuario. Las cookies se utilizan para una amplia variedad de finalidades, desde mantener las sesiones de inicio de sesión (estrictamente necesarias) hasta rastrear el comportamiento de navegación a través de la web (publicidad). Técnicamente, una cookie es un par nombre-valor con metadatos asociados que incluyen dominio, ruta, caducidad e indicadores de seguridad.

Banner de cookies: El elemento de la interfaz de usuario (normalmente una barra, ventana modal o ventana emergente) que aparece cuando un usuario visita un sitio web por primera vez, informándole sobre el uso de cookies del sitio y solicitando su consentimiento. Un banner de cookies conforme ofrece información clara, brinda opciones genuinas (aceptar, rechazar, personalizar) y no establece cookies no esenciales hasta que el usuario responde.

Política de cookies: Un documento (normalmente una página web específica o una sección de la política de privacidad) que proporciona información detallada sobre todas las cookies utilizadas en un sitio web, incluyendo sus nombres, finalidades, tipos, duraciones y los proveedores externos que las establecen. La política de cookies cumple con las obligaciones de transparencia del GDPR y con el requisito de la Directiva ePrivacy de proporcionar «información clara y completa».

Muro de cookies: Un mecanismo que bloquea el acceso al contenido del sitio web a menos que el usuario consienta todas las cookies. Los muros de cookies son controvertidos y su legalidad varía según la jurisdicción. El EDPB ha declarado que los muros de cookies socavan el requisito de «libremente prestado» del consentimiento válido, ya que el usuario se enfrenta a una opción de «lo tomas o lo dejas». Algunas autoridades nacionales de protección de datos (en particular el Conseil d'État francés) han permitido los muros de cookies bajo condiciones limitadas en las que el usuario dispone de un medio alternativo genuino para acceder al contenido.

D–E

Patrón oscuro (dark pattern): Una decisión de diseño de la interfaz de usuario que manipula a los usuarios para que tomen decisiones que de otro modo no tomarían. En el contexto de las cookies, los patrones oscuros incluyen: hacer que el botón «Aceptar» destaque visualmente mientras se oculta la opción «Rechazar», usar un lenguaje confuso, exigir más clics para rechazar que para aceptar y emplear tácticas de manipulación por vergüenza (confirm-shaming). El EDPB publicó directrices específicas sobre patrones oscuros en las interfaces de protección de datos en febrero de 2023.

Responsable del tratamiento: La entidad que determina los fines y los medios del tratamiento de datos personales. En el caso de las cookies establecidas por un sitio web, el operador del sitio suele ser el responsable del tratamiento. En el caso de las cookies de terceros, puede existir una corresponsabilidad entre el operador del sitio y el tercero, dependiendo del grado en que cada parte influya en los fines y medios de la recopilación de datos.

Encargado del tratamiento: Una entidad que trata datos personales por cuenta de un responsable del tratamiento, siguiendo las instrucciones de este. Un proveedor de alojamiento o un proveedor de CMP que actúe únicamente conforme a las instrucciones del operador del sitio web sería un encargado del tratamiento. La distinción importa porque los responsables asumen la responsabilidad principal del cumplimiento, mientras que los encargados deben cumplir las instrucciones del responsable y los términos de un contrato de tratamiento de datos.

Interesado: Una persona física cuyos datos personales son objeto de tratamiento. En el contexto de las cookies, los interesados son los visitantes del sitio web cuyos datos se recopilan mediante cookies. Los interesados tienen derechos en virtud del GDPR, incluyendo el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de los datos y el derecho de oposición.

DPA (Autoridad de Protección de Datos): La autoridad pública independiente responsable de supervisar y hacer cumplir la legislación de protección de datos en cada estado miembro de la UE. Las autoridades de protección de datos tienen la facultad de investigar reclamaciones, realizar auditorías, emitir directrices e imponer multas. Cada estado miembro cuenta con al menos una autoridad (Alemania tiene varias, una por estado más el BfDI federal). Ejemplos: CNIL (Francia), Garante (Italia), ICO (Reino Unido), Datatilsynet (Dinamarca/Noruega).

DPO (Delegado de Protección de Datos): Una persona designada por un responsable o encargado del tratamiento para supervisar el cumplimiento del GDPR. El GDPR exige a determinadas organizaciones que nombren un DPO, incluidas las autoridades públicas y las organizaciones cuyas actividades principales impliquen la observación a gran escala de interesados. Aunque no está directamente relacionado con las cookies, el DPO suele supervisar el programa de cumplimiento en materia de cookies de la organización.

EDPB (Comité Europeo de Protección de Datos): El organismo independiente de la UE que garantiza la aplicación coherente del GDPR y promueve la cooperación entre las autoridades nacionales de protección de datos. El EDPB (que sustituyó al Grupo de Trabajo del Artículo 29) emite directrices, recomendaciones y decisiones vinculantes. Sus directrices sobre el consentimiento (Directrices 05/2020) y sobre los patrones oscuros son referencias clave para el cumplimiento en materia de cookies.

Directiva ePrivacy (Directiva 2002/58/CE): La directiva de la UE que regula la privacidad en las comunicaciones electrónicas, incluido el uso de cookies. El artículo 5(3) es la base jurídica principal del requisito de consentimiento para las cookies. Al ser una directiva, debe transponerse a la legislación nacional de cada estado miembro, lo que da lugar a variaciones en su aplicación. Está previsto que sea sustituida por el Reglamento ePrivacy, que sigue en fase de negociación.

F–G

Cookie propia (first-party): Una cookie establecida por el dominio que el usuario está visitando. Por ejemplo, si un usuario visita example.com y example.com establece una cookie, esa es una cookie propia. Las cookies propias suelen utilizarse para funciones esenciales (sesiones, preferencias) y análisis propios. Por lo general, se consideran menos invasivas que las cookies de terceros, ya que no pueden rastrear a los usuarios a través de diferentes sitios web.

GDPR (Reglamento General de Protección de Datos): El Reglamento (UE) 2016/679, la ley integral de protección de datos de la UE en vigor desde el 25 de mayo de 2018. El GDPR establece el marco jurídico de lo que constituye un consentimiento válido (aplicado a las cookies mediante la remisión de la Directiva ePrivacy), los derechos de los interesados, las obligaciones de los responsables y encargados del tratamiento, y el régimen sancionador, que incluye multas de hasta el 4 % de la facturación anual global o 20 millones de euros.

GPC (Global Privacy Control): Una señal a nivel de navegador que comunica la preferencia del usuario de excluirse de la venta o el intercambio de su información personal. A diferencia de la antigua señal Do Not Track (DNT), el GPC cuenta con respaldo legal en virtud de la CCPA/CPRA y otras leyes estatales de privacidad de EE. UU. Cuando un usuario activa el GPC en su navegador, los sitios web sujetos a estas leyes deben tratarlo como una solicitud válida de exclusión. El GPC también goza de un reconocimiento cada vez mayor en Europa, aunque todavía no es legalmente obligatorio conforme al derecho de la UE.

Google Consent Mode: Una función de la infraestructura de etiquetas de Google que ajusta el comportamiento de las etiquetas de Google (Analytics, Ads, etc.) en función del estado de consentimiento comunicado por la CMP del sitio web. Consent Mode v2, obligatorio para la personalización de anuncios en el EEE desde marzo de 2024, introduce los parámetros ad_user_data y ad_personalization junto con los ya existentes ad_storage y analytics_storage. Cuando se deniega el consentimiento, las etiquetas de Google ajustan su comportamiento para evitar establecer cookies, aunque pueden seguir enviando pings limitados y sin cookies según la configuración.

I–L

IAB TCF (Transparency and Consent Framework del Interactive Advertising Bureau): Un marco desarrollado por la industria para gestionar el consentimiento en el ecosistema de la publicidad digital. El TCF proporciona una forma estandarizada de que las CMP, los anunciantes y los editores comuniquen las señales de consentimiento a lo largo de la cadena de suministro de la tecnología publicitaria. La versión 2.2 es el estándar actual. El TCF ha enfrentado desafíos legales, en particular la resolución de 2022 de la autoridad belga de protección de datos que dictaminó que el tratamiento de la cadena TC por parte de IAB Europe constituía un tratamiento de datos personales. El marco sigue siendo ampliamente utilizado, pero su situación jurídica continúa evolucionando.

Interés legítimo: Una de las seis bases jurídicas para el tratamiento de datos personales conforme al artículo 6(1)(f) del GDPR. El interés legítimo requiere una prueba de ponderación entre los intereses del responsable del tratamiento y los derechos y libertades del interesado. En el caso de las cookies, el uso del interés legítimo como base jurídica es muy discutido. El criterio regulador europeo predominante es que el consentimiento (y no el interés legítimo) es la base apropiada para las cookies no esenciales, porque la Directiva ePrivacy exige específicamente el consentimiento para el almacenamiento en el dispositivo del usuario.

O–P

Opt-in (consentimiento previo): Un modelo de consentimiento en el que el tratamiento de datos personales (o el establecimiento de cookies) no se produce a menos que el usuario realice una acción afirmativa para permitirlo. El modelo de cookies de la UE es de tipo opt-in: no se establecen cookies no esenciales hasta que el usuario da su consentimiento. El opt-in ofrece una protección de la privacidad más sólida, pero requiere un mecanismo de consentimiento antes de que comience cualquier rastreo.

Opt-out (exclusión): Un modelo de consentimiento en el que el tratamiento de datos personales (o el establecimiento de cookies) se produce por defecto, y el usuario debe realizar una acción para detenerlo. El modelo de cookies de EE. UU. (conforme a la CCPA y leyes estatales similares) es generalmente de tipo opt-out: el rastreo se produce a menos que el usuario se oponga. El opt-out traslada la carga de la acción al usuario en lugar de al operador del sitio web.

Cookie persistente: Una cookie que permanece en el dispositivo del usuario durante un periodo determinado después de cerrar el navegador. Las cookies persistentes se utilizan para recordar preferencias, mantener las sesiones de inicio de sesión entre visitas y rastrear el comportamiento a lo largo del tiempo. Tienen una fecha de caducidad establecida y permanecerán hasta que esa fecha llegue o el usuario las elimine. La duración de las cookies persistentes debe ser proporcional a su finalidad.

Datos personales: Según el GDPR, cualquier información relativa a una persona física identificada o identificable. Esto incluye identificadores obvios (nombre, correo electrónico) y otros menos evidentes (direcciones IP, identificadores de cookies, huellas digitales de dispositivos). El considerando 30 del GDPR establece explícitamente que los identificadores en línea, como los identificadores de cookies, pueden constituir datos personales. En la práctica, casi todas las cookies que identifican de forma única a un navegador o usuario se consideran datos personales.

Consentimiento previo: El consentimiento obtenido antes de que tenga lugar la acción que autoriza. En el caso de las cookies, el consentimiento previo significa obtener el acuerdo del usuario antes de establecer cualquier cookie no esencial en su dispositivo. Este es un requisito fundamental del artículo 5(3) de la Directiva ePrivacy. Establecer primero las cookies y pedir el consentimiento después, o eliminar las cookies retroactivamente si se deniega el consentimiento, no satisface el requisito del consentimiento previo.

S–T

Cookie de sesión: Una cookie que existe únicamente durante la sesión del navegador del usuario y se elimina al cerrar el navegador. Las cookies de sesión se utilizan habitualmente para mantener el estado de inicio de sesión, el contenido del carrito de compra y otros datos efímeros. Muchas cookies de sesión se consideran estrictamente necesarias y, por tanto, están exentas del requisito de consentimiento, aunque esto depende de su finalidad específica.

Cookie estrictamente necesaria: Una cookie esencial para que el sitio web funcione y preste un servicio explícitamente solicitado por el usuario. Las cookies estrictamente necesarias están exentas del requisito de consentimiento conforme al artículo 5(3) de la Directiva ePrivacy. Algunos ejemplos son las cookies de autenticación, las cookies de seguridad (tokens CSRF), las cookies de equilibrio de carga y las cookies de preferencias de la interfaz de usuario que son esenciales para el servicio. Las cookies de análisis, publicidad y redes sociales no son estrictamente necesarias, independientemente de lo útiles que el operador del sitio web las considere.

Cookie de terceros (third-party): Una cookie establecida por un dominio distinto del que el usuario está visitando. Por ejemplo, si un usuario visita example.com y facebook.com establece una cookie (a través de un Pixel de Facebook incrustado en example.com), la cookie de Facebook es una cookie de terceros. Las cookies de terceros se utilizan principalmente para el rastreo entre sitios y la publicidad dirigida. Los principales navegadores están restringiendo o eliminando las cookies de terceros: Safari y Firefox ya las bloquean por defecto, y Chrome ha anunciado planes para descontinuarlas (aunque el calendario ha cambiado varias veces).

Píxel de rastreo: Una imagen diminuta e invisible (normalmente de 1x1 píxel) incrustada en una página web o correo electrónico que informa a un servidor cuando se carga. Aunque técnicamente no es una cookie, los píxeles de rastreo son una tecnología de rastreo relacionada que a menudo funciona junto con las cookies para rastrear el comportamiento del usuario. Están sujetos a los mismos requisitos de consentimiento que las cookies conforme a la Directiva ePrivacy, ya que implican acceder a información en el dispositivo del usuario (la solicitud HTTP transmite la dirección IP del usuario, la información del navegador y las cookies asociadas).

Recursos oficiales

Legislación y orientación de la UE

Orientación nacional de las DPA sobre cookies

Google Consent Mode

Transparency and Consent Framework de IAB

Leyes de privacidad de EE. UU.

Jurisprudencia del TJUE

Lecturas adicionales

Herramientas de cumplimiento de cookies

Mantener el cumplimiento en materia de cookies requiere las herramientas adecuadas. Passiro ofrece un escaneo automatizado de cookies que rastrea todo tu sitio web mediante un motor de navegador real, identifica todas las cookies y tecnologías de rastreo, las clasifica utilizando una base de datos en constante actualización y supervisa los cambios con escaneos programados y alertas. Combinado con la plataforma de gestión del consentimiento de Passiro, esto te ofrece una visión completa y siempre actualizada del estado de cumplimiento de cookies de tu sitio web.

Obtén más información sobre las capacidades de escaneo de Passiro o realiza un escaneo gratuito de tu sitio web para ver qué cookies está estableciendo tu sitio hoy.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis