Leyes de cookies por país: una guía de la UE y el EEE
Si bien la Directiva ePrivacy y el GDPR ofrecen un marco común en toda la Unión Europea, cada Estado miembro ha transpuesto la Directiva ePrivacy a su legislación nacional con sus propios matices. La intensidad de la aplicación, la interpretación de las exenciones y la cuantía de las multas varían significativamente de un país a otro. Esta guía cubre los aspectos clave de las leyes de cookies en doce grandes mercados europeos.
Tabla de referencia rápida
| País | Autoridad | Ley nacional | Nivel de aplicación | Destacado |
|---|---|---|---|---|
| Alemania | APD estatales + BfDI | TTDSG (2021) | Alto | Aplicación descentralizada; marco PIMS |
| Francia | CNIL | Loi Informatique et Libertés | Muy alto | Multas récord; directrices detalladas sobre cookies |
| Italia | Garante | Código de Privacidad (D.Lgs. 196/2003) | Alto | Directrices exhaustivas sobre cookies de 2021 |
| España | AEPD | LSSI-CE + LOPDGDD | Moderado | Historial de debate sobre la exención analítica |
| Países Bajos | AP | Telecommunicatiewet | Alto | Estricta prohibición de los muros de cookies |
| Bélgica | APD/GBA | Ley ePrivacy (2012) | Moderado | Resolución sobre el TCF de IAB Europe |
| Austria | DSB | TKG 2021 | Moderado-alto | Primeras resoluciones sobre Google Analytics |
| Dinamarca | Datatilsynet | Cookiebekendtgørelsen | Moderado | Aplicación creciente desde 2022 |
| Suecia | IMY | LEK (2003:389) | Moderado-alto | Grandes multas en 2023-2024 |
| Irlanda | DPC | SI 336/2011 | Moderado | Centro de las grandes tecnológicas; cuestionada por el ritmo de aplicación |
| Polonia | UODO | Ley de Telecomunicaciones | Moderado | Actividad de aplicación en aumento |
| Noruega | Datatilsynet | Ekomloven | Moderado | Miembro del EEE; sigue de cerca las directrices del EDPB |
Alemania
Autoridad de aplicación: el Comisionado Federal de Protección de Datos (BfDI) a nivel federal, además de 16 autoridades estatales de protección de datos (Landesdatenschutzbehörden).
Ley nacional: la Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), que entró en vigor el 1 de diciembre de 2021, consolidó las normas alemanas sobre cookies. El artículo 25 de la TTDSG transpone el artículo 5(3) de la Directiva ePrivacy, exigiendo el consentimiento para almacenar información o acceder a ella en los dispositivos de los usuarios finales, salvo que el almacenamiento sea estrictamente necesario.
Requisitos clave: la TTDSG aclaró que el consentimiento para las cookies debe cumplir el estándar del GDPR. El Tribunal Supremo Federal de Alemania (BGH) ya lo había confirmado en la aplicación de la sentencia Planet49 (mayo de 2020), al considerar que las casillas premarcadas son insuficientes. La TTDSG también introdujo disposiciones sobre los Sistemas de Gestión de Información Personal reconocidos (PIMS), que permitirían a los usuarios gestionar sus preferencias de consentimiento de forma centralizada en lugar de hacerlo en cada sitio web, aunque los reglamentos de aplicación de los PIMS han tardado en concretarse.
Aplicación: la estructura descentralizada de aplicación en Alemania implica que la vigilancia del cumplimiento en materia de cookies varía según el estado. Las APD de Berlín, Hamburgo y Baden-Wurtemberg se han contado entre las más activas. La Conferencia de Autoridades de Protección de Datos (DSK) publica periódicamente posiciones conjuntas sobre los requisitos del consentimiento de cookies.
Actuaciones destacadas: múltiples investigaciones sobre banners de cookies que empleaban patrones oscuros, en particular diseños de «incitación» en los que el botón de aceptar era visualmente prominente mientras que la opción de rechazar quedaba minimizada. Las multas han sido en general menores que en Francia, pero la actividad de aplicación ha aumentado de forma constante desde la entrada en vigor de la TTDSG.
Francia
Autoridad de aplicación: Commission Nationale de l'Informatique et des Libertés (CNIL).
Ley nacional: Loi Informatique et Libertés (Ley n.º 78-17), modificada para implementar la Directiva ePrivacy. La CNIL publicó directrices exhaustivas sobre cookies en septiembre de 2020, con un periodo de gracia para el cumplimiento que finalizó el 31 de marzo de 2021.
Requisitos clave: Francia es el mercado importante de la UE más estricto en materia de cumplimiento de cookies. Las directrices de la CNIL exigen: consentimiento antes de instalar cualquier cookie no esencial; una opción de rechazo en la primera capa del banner que sea tan fácil de usar como la opción de aceptar; la prohibición de los muros de cookies (con excepciones limitadas confirmadas por el Conseil d'État); información detallada sobre la finalidad de cada cookie.
Exención de medición de audiencia: la CNIL prevé una exención limitada para las cookies de medición de audiencia que cumplan condiciones estrictas: la herramienta debe estar configurada para producir únicamente datos estadísticos anónimos, las cookies deben limitarse al sitio del editor, la vida útil de la cookie no debe superar los 13 meses y los datos no deben combinarse con otros tratamientos. Herramientas como Matomo (con una configuración específica) y AT Internet han sido reconocidas bajo esta exención. Google Analytics no cumple los requisitos.
Multas destacadas: Francia ha impuesto las mayores multas relacionadas con cookies de Europa. Google LLC fue multada con 150 millones de euros en diciembre de 2021 por dificultar el rechazo de cookies frente a su aceptación. Facebook fue multada con 60 millones de euros en la misma actuación. Microsoft fue multada con 60 millones de euros en diciembre de 2022. TikTok fue multada con 5 millones de euros en diciembre de 2022. Criteo fue multada con 40 millones de euros en junio de 2023. En total, la CNIL ha impuesto más de 400 millones de euros en multas específicas por cookies.
Italia
Autoridad de aplicación: Garante per la protezione dei dati personali (Garante).
Ley nacional: Código de Privacidad (Decreto Legislativo 196/2003), modificado para adaptarse al GDPR. El Garante publicó directrices exhaustivas sobre cookies el 10 de junio de 2021, con cumplimiento exigido para el 10 de enero de 2022.
Requisitos clave: las directrices del Garante de 2021 se encuentran entre las más detalladas de Europa. Exigen: un banner de primera capa con un botón de aceptar y un botón de rechazar visible de forma prominente (marcado con una «X» o «Continuar sin aceptar»); una segunda capa accesible desde el primer banner con controles granulares por categoría de cookies; el desplazamiento (scroll) no constituye explícitamente consentimiento; el consentimiento de cookies debe volver a solicitarse tras un máximo de 6 meses.
Destacado: el Garante introdujo el concepto de exigir un botón específico de «cerrar» en los banners de cookies, en lugar de permitir que la navegación continuada sirviera como rechazo. Las directrices también abordaron el tema de las cookies analíticas, exigiendo consentimiento para toda analítica de terceros y permitiendo una exención limitada solo para herramientas de analítica de primera parte con datos debidamente anonimizados.
España
Autoridad de aplicación: Agencia Española de Protección de Datos (AEPD).
Ley nacional: Ley de Servicios de la Sociedad de la Información (LSSI-CE) y Ley Orgánica de Protección de Datos (LOPDGDD).
Requisitos clave: España adoptó inicialmente un enfoque más flexible respecto al cumplimiento de cookies, y la guía de cookies de la AEPD de 2013 sugería que ciertas cookies analíticas podrían utilizarse sobre la base del interés legítimo. No obstante, la AEPD se ha alineado progresivamente con el consenso europeo más estricto tras las directrices del EDPB y la sentencia Planet49. La guía actual de la AEPD exige el consentimiento previo para las cookies analíticas y de marketing.
Actuaciones destacadas: la AEPD multó a Vueling Airlines con 30.000 euros en 2020 por un banner de cookies que solo ofrecía la opción de aceptar sin posibilidad de rechazarlas. CaixaBank fue multada con 6 millones de euros en 2021, en parte por prácticas de tratamiento de datos vinculadas al rastreo basado en cookies. Más recientemente, la AEPD se ha centrado en los muros de cookies y los patrones oscuros en las interfaces de consentimiento.
Países Bajos
Autoridad de aplicación: Autoriteit Persoonsgegevens (AP).
Ley nacional: Telecommunicatiewet (Ley de Telecomunicaciones), artículo 11.7a.
Requisitos clave: los Países Bajos han adoptado una de las posiciones más estrictas de Europa sobre los muros de cookies. La AP ha declarado con claridad que condicionar el acceso a un sitio web a la aceptación de cookies no constituye un consentimiento válido, ya que el consentimiento no es «libre» si la alternativa es perder el acceso al servicio. La AP también exige el consentimiento explícito antes de instalar cualquier cookie de rastreo y ha criticado las plataformas de gestión del consentimiento que emplean diseños manipuladores.
Actuaciones destacadas: la AP ha investigado numerosos sitios web por incumplimientos en materia de cookies y ha emitido directrices dirigidas específicamente a los patrones oscuros en los banners de cookies. La autoridad también participó en revisiones coordinadas de sitios web gubernamentales para comprobar el cumplimiento en materia de cookies. En 2024, la AP intensificó su actividad de aplicación contra organizaciones más pequeñas, dejando claro que las expectativas de cumplimiento en materia de cookies se aplican con independencia del tamaño de la empresa.
Bélgica
Autoridad de aplicación: Autorité de protection des données / Gegevensbeschermingsautoriteit (APD/GBA).
Ley nacional: Ley de 13 de junio de 2005 sobre comunicaciones electrónicas, modificada por la Ley de 10 de julio de 2012.
Requisitos clave: Bélgica sigue los requisitos estándar de la Directiva ePrivacy. La APD belga adquirió relevancia mundial en la regulación de cookies cuando se pronunció sobre el Transparency and Consent Framework (TCF) de IAB Europe en febrero de 2022, al considerar que la cadena de consentimiento del TCF constituía datos personales y que IAB Europe era corresponsable del tratamiento. Esta resolución, confirmada parcialmente por el TJUE en marzo de 2024, tiene implicaciones para todos los sitios web que utilizan el TCF para la gestión del consentimiento de cookies.
Destacado: la resolución sobre el TCF de IAB conmocionó al sector de la publicidad en línea, ya que el TCF es el marco de consentimiento más utilizado para la publicidad programática en Europa. Aunque IAB Europe ha implementado cambios para atender las preocupaciones de la APD, el caso puso de relieve los riesgos de depender de marcos de consentimiento diseñados por la industria que pueden no cumplir plenamente los requisitos del GDPR.
Austria
Autoridad de aplicación: Datenschutzbehörde (DSB).
Ley nacional: Telekommunikationsgesetz 2021 (TKG 2021), artículo 165.
Requisitos clave: las normas austriacas sobre cookies siguen el marco estándar de la Directiva ePrivacy. La DSB austriaca atrajo la atención internacional en enero de 2022, cuando se convirtió en la primera APD europea en resolver que el uso de Google Analytics vulneraba el GDPR, concretamente en lo relativo a las transferencias de datos personales a Estados Unidos tras la sentencia Schrems II. Aunque se trataba principalmente de una cuestión de transferencia de datos, tuvo implicaciones directas para el cumplimiento en materia de cookies, ya que se consideró que las cookies de Google Analytics constituían datos personales transferidos a un tercer país sin las garantías adecuadas.
Destacado: la resolución sobre Google Analytics desencadenó una cascada de decisiones similares por toda Europa (Francia, Italia y otros países siguieron su ejemplo) y aceleró el desarrollo de alternativas de analítica respetuosas con la privacidad. La DSB ha seguido siendo activa en cuestiones relacionadas con las cookies y las tecnologías de rastreo.
Dinamarca
Autoridad de aplicación: Datatilsynet.
Ley nacional: Cookiebekendtgørelsen (Orden Ejecutiva sobre la Información y el Consentimiento requeridos para el almacenamiento o el acceso a información en los equipos terminales de los usuarios finales), que implementa las disposiciones de la Directiva ePrivacy.
Requisitos clave: Dinamarca exige consentimiento para todas las cookies, salvo las estrictamente necesarias para un servicio solicitado expresamente por el usuario. Datatilsynet ha publicado directrices que confirman que las cookies analíticas requieren consentimiento y que la navegación continuada no constituye un consentimiento válido. Las directrices danesas se han alineado cada vez más con las posiciones más estrictas adoptadas por la CNIL y el EDPB.
Actuaciones destacadas: Datatilsynet ha intensificado su actividad de aplicación en materia de cookies desde 2022, investigando sitios web tanto del sector público como del privado. En 2023, la autoridad emitió decisiones contra varios sitios web daneses por mecanismos de consentimiento de cookies inadecuados, incluidos casos en los que la opción de rechazo no era suficientemente visible. Datatilsynet también ha abordado el uso de Google Analytics y de píxeles de rastreo de Meta en sitios web daneses, ordenando a varias organizaciones dejar de usar estas herramientas sin un consentimiento adecuado y sin garantías de transferencia de datos.
Suecia
Autoridad de aplicación: Integritetsskyddsmyndigheten (IMY).
Ley nacional: Lag om elektronisk kommunikation (LEK, 2003:389).
Requisitos clave: Suecia ha pasado de una aplicación relativamente laxa en materia de cookies a una actuación considerable en los últimos años. La IMY impuso sus primeras multas importantes relacionadas con cookies en 2023, contra cuatro empresas (entre ellas Tele2, CDON, Dagens Industri y Coop) por un total combinado de más de 100 millones de coronas suecas (aproximadamente 9 millones de euros) por usar Google Analytics y compartir datos personales con Google sin un consentimiento válido ni garantías adecuadas de transferencia de datos.
Destacado: las actuaciones de aplicación de 2023 marcaron un cambio importante en el enfoque de Suecia. La IMY se coordinó con otras APD nórdicas y siguió los precedentes establecidos por la DSB austriaca y la CNIL francesa sobre Google Analytics. Las multas se contaron entre las mayores impuestas por una APD nórdica y demostraron que la aplicación sueca está ahora a la par de las autoridades europeas más estrictas.
Irlanda
Autoridad de aplicación: Data Protection Commission (DPC).
Ley nacional: European Communities (Electronic Communications Networks and Services) (Privacy and Electronic Communications) Regulations 2011 (SI 336/2011).
Requisitos clave: Irlanda sigue el marco estándar de la Directiva ePrivacy. Sin embargo, el papel de la DPC como autoridad de control principal de muchas grandes empresas tecnológicas con sede en Irlanda (entre ellas Meta, Google, Apple, Microsoft y TikTok) le ha conferido una relevancia desproporcionada en la protección de datos europea. La DPC ha publicado directrices sobre el cumplimiento en materia de cookies y ha realizado auditorías de sitios web tanto del sector público como del privado.
Destacado: la DPC ha recibido críticas de otras APD europeas y del Parlamento Europeo por el ritmo percibido de su aplicación frente a las grandes tecnológicas. No obstante, la DPC ha impuesto multas significativas al amparo del GDPR, incluida una multa de 1.200 millones de euros contra Meta en 2023 por transferencias de datos. En materia específica de cookies, la DPC realizó revisiones de sitios web en 2020 y 2021, y emitió recomendaciones de cumplimiento a numerosas organizaciones. Las multas específicas por cookies de la DPC han sido relativamente modestas en comparación con las de la CNIL.
Polonia
Autoridad de aplicación: Urząd Ochrony Danych Osobowych (UODO).
Ley nacional: Ley de Telecomunicaciones (Prawo telekomunikacyjne), artículo 173.
Requisitos clave: Polonia exige consentimiento para las cookies conforme a la Directiva ePrivacy. La UODO ha publicado directrices que confirman que las casillas premarcadas y la navegación continuada no constituyen un consentimiento válido. La legislación polaca incluye disposiciones específicas sobre la información que debe facilitarse a los usuarios acerca de las cookies, incluidas las finalidades, la identidad del responsable del tratamiento y las instrucciones para gestionar la configuración de cookies.
Destacado: la actividad de aplicación de Polonia en materia de cookies ha aumentado, con la UODO investigando reclamaciones sobre banners de cookies no conformes y colaborando con el regulador de telecomunicaciones. La UODO ha participado en revisiones de aplicación coordinadas a escala de la UE y ha alineado sus directrices con las recomendaciones del EDPB.
Noruega
Autoridad de aplicación: Datatilsynet (Autoridad Noruega de Protección de Datos, distinta de la autoridad danesa del mismo nombre).
Ley nacional: Ekomloven (Ley de Comunicaciones Electrónicas).
Requisitos clave: aunque Noruega no es un Estado miembro de la UE, sí es miembro del Espacio Económico Europeo (EEE) y ha incorporado el GDPR y la Directiva ePrivacy a su legislación nacional a través del Acuerdo del EEE. La Datatilsynet noruega sigue de cerca las directrices del EDPB y ha sido activa en la aplicación en materia de cookies.
Actuaciones destacadas: la Datatilsynet noruega impuso una multa de 5 millones de euros a Grindr en diciembre de 2021 (posteriormente reducida a 6,5 millones de euros en apelación) por compartir datos de usuarios con socios publicitarios sin un consentimiento válido. Aunque se trataba principalmente de un caso de consentimiento relacionado con la cesión de datos, y no de cookies específicamente, sentó precedentes importantes sobre los requisitos de consentimiento en las tecnologías de rastreo. La autoridad también ha investigado el uso de Google Analytics y otras herramientas de rastreo en sitios web noruegos.
Conclusiones clave
A pesar de las variaciones en la implementación y aplicación nacionales, varios principios son coherentes en todos los países de la UE y el EEE:
- Se exige consentimiento antes de instalar cualquier cookie no esencial. Ningún país europeo acepta un modelo de exclusión voluntaria (opt-out) puro para las cookies.
- El consentimiento debe cumplir el estándar del GDPR: libre, específico, informado, inequívoco y demostrado mediante una acción afirmativa clara.
- Rechazar debe ser tan fácil como aceptar. Aunque la implementación concreta puede variar (botón independiente, X para cerrar, etc.), el principio de que rechazar las cookies no debe ser más difícil que aceptarlas es universal.
- La aplicación está aumentando en todas partes. Países que antes eran laxos ahora imponen multas y decisiones formales. No existe una jurisdicción europea «segura» para el incumplimiento.
- La aplicación coordinada va en aumento. Las APD cooperan cada vez más a través del EDPB y realizan revisiones coordinadas, lo que significa que el incumplimiento en un país probablemente atraiga la atención de otros.
¿Cumple tu sitio web con la normativa de cookies?
Escanea tu sitio web gratis y encuentra todas las cookies en minutos.
Escanea tus cookies gratis