Skip to main content

Lista de verificación de cumplimiento de cookies: 25 puntos para el cumplimiento total

El cumplimiento en materia de cookies abarca la implementación técnica, la documentación legal y los procesos operativos continuos. Que falte un solo elemento puede derivar en un incumplimiento, aunque todo lo demás esté en orden. Esta lista de verificación estructurada de 25 puntos cubre todos los aspectos del cumplimiento de cookies conforme al GDPR, la ePrivacy Directive y las principales leyes de privacidad internacionales. Utilícela tanto como guía de implementación como herramienta de auditoría periódica.

Inventario de cookies

No se puede gestionar lo que no se ha medido. Un inventario de cookies completo y preciso es la base de cualquier otra actividad de cumplimiento.

  1. Todas las cookies identificadas y documentadas

    Cada cookie que instala su sitio web debe estar identificada, incluidas las cookies instaladas por scripts de terceros, contenido incrustado y recursos cargados dinámicamente. Utilice el escaneo automatizado para garantizar una cobertura completa en todas las páginas, no solo en la página de inicio. Su inventario debe incluir las cookies HTTP, las entradas de localStorage, las entradas de sessionStorage y cualquier otro mecanismo de almacenamiento del lado del cliente utilizado para el seguimiento.

  2. Cada cookie clasificada correctamente

    Cada cookie debe asignarse a la categoría de cumplimiento correcta: estrictamente necesaria, funcional, de analítica/rendimiento o de marketing/publicidad. La clasificación debe ser honesta — una cookie que rastrea a los usuarios con fines publicitarios no puede clasificarse como "funcional" simplemente porque también aporte algún beneficio funcional. En caso de duda, aplique la categoría más estricta. Las autoridades de protección de datos (DPA) examinan la clasificación con detalle, y una clasificación errónea es uno de los hallazgos más comunes en las acciones sancionadoras.

  3. Cookies de terceros identificadas junto con sus proveedores

    Para cada cookie de terceros presente en su sitio, documente qué servicio la instala, por qué está en su sitio y qué datos recopila o comparte. Entre las fuentes habituales de cookies de terceros se encuentran las plataformas de analítica (Google Analytics, Adobe Analytics), las redes publicitarias (Google Ads, Meta Pixel, LinkedIn Insight Tag), los widgets de redes sociales, los vídeos incrustados (YouTube, Vimeo), las herramientas de chat (Intercom, Drift) y las plataformas de pruebas A/B (Optimizely, VWO). Cada proveedor externo debe contar con un acuerdo de tratamiento de datos vigente.

  4. Duraciones de las cookies documentadas

    Registre el periodo de caducidad de cada cookie. Las cookies de sesión caducan al cerrar el navegador. Las cookies persistentes tienen una vida útil definida que debe documentarse (por ejemplo, 30 días, 1 año, 2 años). Conforme a los principios del GDPR de minimización de datos y limitación del almacenamiento, la duración de las cookies debe ser proporcional a su finalidad. Una cookie de analítica que persista durante 10 años sería difícil de justificar. La CNIL recomienda un máximo de 13 meses para las cookies de analítica.

  5. Finalidades de las cookies documentadas en lenguaje sencillo

    La finalidad de cada cookie debe describirse en un lenguaje que un visitante habitual del sitio web pueda entender. "Esta cookie almacena un identificador único para rastrear su actividad de navegación en nuestro sitio con fines de analítica web" es clara. "_ga: utilizada por Google Analytics para distinguir usuarios" no es suficiente para la mayoría de los usuarios. La descripción de la finalidad debe responder a la pregunta: "¿Qué hace esta cookie y por qué debería permitirla?"

Mecanismo de consentimiento

El mecanismo de consentimiento es donde los requisitos legales se encuentran con la implementación técnica. Acertar en esto es el aspecto más crítico — y el que más se falla — del cumplimiento de cookies.

  1. Consentimiento obtenido ANTES de instalar cookies no esenciales

    Este es el requisito técnico más importante de todos. No puede instalarse ninguna cookie de analítica, publicidad u otra cookie no esencial hasta que el usuario haya dado su consentimiento afirmativo. Esto significa que los scripts de terceros deben bloquearse para que no se carguen hasta recibir el consentimiento. Simplemente eliminar las cookies a posteriori no cumple la normativa — la ePrivacy Directive exige el consentimiento antes del almacenamiento, no la eliminación retroactiva. Compruébelo visitando su sitio en una ventana de incógnito y verificando qué cookies se instalan antes de interactuar con el banner.

  2. Scripts bloqueados hasta que se dé el consentimiento

    Bloquear las cookies no es suficiente — hay que impedir que se ejecuten los scripts que las instalan. Un script que se carga y se ejecuta pero al que se le impide escribir una cookie aún puede recopilar y transmitir datos (mediante píxeles, balizas o llamadas a la API). Su gestión del consentimiento debe impedir que el propio script se cargue hasta que se haya aceptado la categoría de consentimiento correspondiente. Los enfoques de implementación habituales incluyen cambiar el atributo type de las etiquetas de script (por ejemplo, de text/javascript a text/plain) e inyectar scripts dinámicamente tras el consentimiento.

  3. Botones de aceptar y rechazar con la misma prominencia

    La opción de rechazar las cookies no esenciales debe presentarse con la misma prominencia que la opción de aceptarlas. Esto significa el mismo tratamiento visual: el mismo tamaño, el mismo peso de color, la misma capa de la interfaz. Un gran botón verde de "Aceptar todo" junto a un pequeño enlace gris de "Gestionar ajustes" no constituye la misma prominencia. La CNIL, el Garante y otras muchas DPA han impuesto multas específicamente por este motivo. Ambas opciones deben aparecer en la primera capa del banner de cookies sin requerir clics adicionales.

  4. Consentimiento granular disponible a nivel de categoría

    Los usuarios deben poder consentir categorías específicas de cookies de forma independiente. Aceptar las cookies de analítica no debería obligar a aceptar también las cookies de publicidad. Como mínimo, proporcione conmutadores separados para: estrictamente necesarias (siempre activas, no conmutables), funcionales, de analítica/rendimiento y de marketing/publicidad. Si utiliza cookies para múltiples finalidades distintas dentro de una categoría, considere ofrecer opciones aún más granulares.

  5. Sin casillas premarcadas

    Cuando un usuario abre las preferencias detalladas de cookies, todas las categorías opcionales deben estar desmarcadas por defecto. Solo las cookies estrictamente necesarias (que no requieren consentimiento) pueden estar preactivadas. El TJUE confirmó en la sentencia Planet49 (asunto C-673/17) que las casillas premarcadas no constituyen un consentimiento válido. Esto se aplica independientemente de que el usuario pueda desmarcarlas — el estado por defecto debe ser de exclusión, requiriendo una acción afirmativa para incluirse.

  6. Retirar el consentimiento tan fácil como otorgarlo

    El artículo 7(3) del GDPR exige que retirar el consentimiento sea tan fácil como otorgarlo. Si un usuario puede aceptar las cookies con un solo clic en un banner, debe poder retirar su consentimiento con una facilidad comparable. La mejor práctica es un enlace o icono persistente y siempre visible (por ejemplo, en el pie de página o como botón flotante) que abra el centro de preferencias de cookies donde el usuario pueda modificar o revocar sus decisiones. Exigir que el usuario borre las cookies del navegador, navegue hasta una página de ajustes oculta o contacte con el soporte no cumple este estándar.

  7. Registros de consentimiento almacenados con marcas de tiempo

    Debe poder demostrar que se otorgó el consentimiento. Almacene un registro de cada acción de consentimiento que incluya: la marca de tiempo, las decisiones de consentimiento tomadas (qué categorías se aceptaron/rechazaron), la versión del banner y de la política de cookies vigente en ese momento, y un identificador único del consentimiento (no necesariamente vinculado a una cuenta de usuario en el caso de visitantes anónimos). Conforme al principio de responsabilidad proactiva del GDPR, la carga de la prueba del consentimiento recae en el responsable del tratamiento. Si no puede aportar pruebas de que un usuario concreto consintió, su consentimiento queda, en la práctica, sin demostrar.

Política de cookies

Su política de cookies es a la vez un documento legal y una herramienta de transparencia. Debe ser precisa, completa y comprensible.

  1. La política de cookies existe y es accesible

    Debe existir una política de cookies específica (o una sección clara sobre cookies dentro de su política de privacidad) que sea fácil de encontrar. La mejor práctica es una página específica enlazada desde el pie de página de su sitio web, desde su banner de cookies y desde su política de privacidad principal. La política debe ser accesible sin aceptar cookies — los usuarios deben poder leerla antes de tomar una decisión sobre el consentimiento.

  2. Todas las cookies enumeradas con nombres, finalidades, tipos y duraciones

    Su política de cookies debe incluir una tabla o lista estructurada de cada cookie que instala su sitio web, incluyendo: el nombre de la cookie, quién la instala (propia o proveedor externo), qué hace (en lenguaje sencillo), si es una cookie de sesión o persistente, y cuánto tiempo dura. Esto no es opcional — es un requisito explícito conforme a las disposiciones de transparencia del GDPR (artículos 12-14) y al requisito de consentimiento informado de la ePrivacy Directive.

  3. Proveedores externos identificados

    Su política debe nombrar los servicios de terceros que instalan cookies en su sitio web. "Utilizamos cookies de analítica de terceros" no es suficiente. "Utilizamos Google Analytics (de Google LLC), que instala las siguientes cookies: _ga, _gid, _gat" sí lo es. Los usuarios tienen derecho a saber quién recopila datos sobre ellos y a tomar decisiones informadas sobre cada proveedor.

  4. Incluidas las instrucciones para gestionar las cookies

    Su política debe explicar cómo pueden los usuarios gestionar sus preferencias de cookies, incluyendo: cómo acceder a su centro de preferencias de cookies para cambiar las decisiones de consentimiento, cómo eliminar las cookies existentes a través de los ajustes del navegador, y enlaces a las políticas de privacidad de los principales proveedores externos de cookies. Aunque la gestión de cookies a nivel de navegador es responsabilidad del usuario, ofrecer instrucciones claras demuestra buena fe y respalda el principio de empoderamiento del usuario.

  5. Política fechada y actualizada periódicamente

    Su política de cookies debe incluir la fecha de su última actualización. Siempre que añada nuevas cookies, elimine cookies, cambie de proveedor externo o modifique las finalidades de las cookies, la política debe actualizarse para reflejar el cambio. Una política sin fecha o que no se ha actualizado en más de un año es una señal de alerta para las DPA. Mejor práctica: integre los resultados de su escaneo de cookies con su política, de modo que esta se actualice automáticamente cuando se detecten nuevas cookies.

Banner de cookies

El banner de cookies es la interfaz visible de su gestión del consentimiento. Debe equilibrar el cumplimiento legal con la usabilidad.

  1. El banner se muestra en la primera visita antes de instalar cookies

    El banner de cookies debe aparecer la primera vez que un usuario visita su sitio web, antes de instalar cualquier cookie no esencial. El banner debe ser inmediatamente visible sin necesidad de desplazarse, no debe poder cerrarse fácilmente con clics accidentales y debe permanecer hasta que el usuario tome una decisión activa. El banner no debe interferir con la capacidad del usuario de abandonar la página ni de acceder al contenido esencial (aunque restringir el acceso al contenido tras un requisito de consentimiento puede ser admisible en algunas jurisdicciones, el enfoque más seguro es permitir la navegación mientras se muestra el banner).

  2. El banner es accesible (navegable por teclado, compatible con lectores de pantalla)

    Su banner de cookies debe ser accesible por sí mismo. Esto significa: todos los elementos interactivos (botones, conmutadores, enlaces) deben poder alcanzarse y manejarse mediante el teclado; el banner debe anunciarse correctamente a los lectores de pantalla con los atributos ARIA adecuados; el foco debe gestionarse correctamente (el foco debe desplazarse al banner cuando aparece y regresar a la página cuando se cierra); el contraste de color debe cumplir los estándares WCAG 2.1 AA (4,5:1 para texto normal, 3:1 para texto grande); y el banner debe ser utilizable en distintos niveles de zoom y tamaños de pantalla. Un banner de cookies inaccesible supone tanto un riesgo legal (incumplimiento de WCAG) como un riesgo reputacional para cualquier organización que afirme preocuparse por la privacidad y la inclusión.

  3. El banner enlaza a la política de cookies completa

    El banner de cookies debe incluir un enlace a su política de cookies completa, permitiendo a los usuarios leer información detallada sobre cada cookie antes de tomar su decisión de consentimiento. El enlace debe ser claramente visible y estar etiquetado (por ejemplo, "Lea nuestra política de cookies" o "Más información"). El GDPR exige que el consentimiento sea "informado", lo que significa que la información necesaria para tomar una decisión informada debe estar accesible en el momento del consentimiento.

  4. El banner no utiliza patrones oscuros

    Los patrones oscuros en los banners de cookies socavan la validez del consentimiento. Evite: hacer que el botón de aceptar destaque visualmente (más grande, más brillante, más prominente) mientras la opción de rechazar es sutil u oculta; usar lenguaje confuso ("Aceptar los ajustes recomendados" en lugar de opciones claras); requerir más clics para rechazar que para aceptar; utilizar una codificación de colores que dé a entender que rechazar es un error (rojo para rechazar, verde para aceptar); emplear lenguaje de "culpabilización" ("No, no me importa mi experiencia"); y cualquier otro diseño que empuje, manipule o engañe a los usuarios hacia la aceptación. Las Directrices del EDPB sobre patrones oscuros (adoptadas en febrero de 2023) ofrecen ejemplos detallados de prácticas prohibidas.

Aspectos técnicos y continuos

El cumplimiento de cookies no es un proyecto con una fecha de finalización. Es un proceso operativo continuo.

  1. Google Consent Mode v2 implementado (si utiliza servicios de Google)

    Si utiliza cualquier servicio de Google (Analytics, Ads, Tag Manager), Google Consent Mode v2 es obligatorio desde marzo de 2024 para publicar anuncios en el EEE. Consent Mode comunica a las etiquetas de Google las decisiones de consentimiento de cookies de sus usuarios, ajustando su comportamiento según el estado del consentimiento. Sin Consent Mode, las etiquetas de Google podrían no funcionar correctamente con su plataforma de gestión del consentimiento, provocando bien pérdida de datos (etiquetas bloqueadas por completo) o bien infracciones de cumplimiento (etiquetas que se activan sin consentimiento). Implemente los parámetros de consentimiento ad_storage y analytics_storage, y asegúrese de que estén configurados por defecto como "denied" hasta que se otorgue el consentimiento.

  2. Escaneo periódico de cookies programado

    Configure escaneos automatizados de cookies con una periodicidad recurrente. Como mínimo, escanee mensualmente. Lo ideal es integrar el escaneo en su pipeline de despliegue para que cada versión se escanee automáticamente. Configure alertas para cookies nuevas o modificadas, de modo que su equipo pueda evaluarlas y clasificarlas con prontitud. Un escaneo que se ejecuta pero nunca se revisa no aporta ningún beneficio de cumplimiento.

  3. Proceso para revisar nuevos scripts de terceros

    Establezca un proceso formal que deba seguirse antes de añadir cualquier nuevo script, plugin o servicio de terceros a su sitio web. El proceso debe incluir: identificar qué cookies instala el script, clasificar esas cookies, actualizar la configuración de gestión del consentimiento para incluirlas, actualizar la política de cookies y verificar que el script se bloquea correctamente hasta que se otorgue el consentimiento apropiado. Este proceso debe implicar tanto una revisión técnica (desarrollo) como de cumplimiento (legal/privacidad). La causa más común de los fallos de cumplimiento de cookies es la incorporación de nuevos scripts a un sitio web sin pasar por una revisión de privacidad.

  4. Personal formado en cumplimiento de cookies

    Todas las personas implicadas en su sitio web — desarrolladores, responsables de marketing, creadores de contenido y directivos — deben comprender los fundamentos del cumplimiento de cookies y su papel en su mantenimiento. Los desarrolladores necesitan saber cómo añadir scripts de forma respetuosa con el consentimiento. Los responsables de marketing deben entender que añadir un nuevo píxel de seguimiento requiere una revisión de cumplimiento. Los creadores de contenido deben saber que incrustar un vídeo de YouTube introduce cookies de terceros. La formación no tiene por qué ser extensa, pero debe cubrir el principio clave: ningún nuevo seguimiento sin revisión. Un solo miembro del equipo sin formación que añada un script de marketing sin pasar por el proceso de revisión puede echar por tierra meses de trabajo de cumplimiento.

Cómo utilizar esta lista de verificación

Esta lista de verificación está diseñada para usarse de tres maneras:

  • Implementación inicial: recorra los 25 puntos de forma secuencial al configurar el cumplimiento de cookies por primera vez. No omita puntos ni los deje para más adelante — el cumplimiento parcial sigue siendo un incumplimiento.
  • Auditoría periódica: revise la lista de verificación trimestralmente para comprobar que todos los puntos siguen cumpliéndose. Preste especial atención a los aspectos continuos (puntos 22-25), ya que son los más propensos a desviarse con el tiempo.
  • Tras los cambios: siempre que su sitio web experimente un cambio significativo (nuevas funciones, nuevos servicios de terceros, rediseño, migración de CMS), recorra las secciones pertinentes de la lista para verificar que se mantiene el cumplimiento.

El cumplimiento de cookies es alcanzable. Requiere atención y proceso, pero ninguno de los requisitos individuales resulta excesivamente difícil. Las organizaciones que tienen dificultades suelen ser aquellas que tratan el cumplimiento como un proyecto puntual en lugar de una preocupación operativa continua. Intégrelo en su flujo de trabajo, asigne responsabilidades claras y utilice esta lista de verificación como su herramienta de comprobación recurrente.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis