Categorías de cookies: cómo clasificarlas para el consentimiento
El consentimiento de cookies no es una decisión de todo o nada. Las regulaciones de privacidad exigen que los usuarios puedan tomar decisiones granulares sobre qué tipos de cookies aceptan. Para hacerlo posible, las cookies se organizan en categorías: grupos basados en su finalidad, cada uno con sus propios requisitos de consentimiento.
Clasificar correctamente es fundamental. Etiquetar una cookie de marketing como «estrictamente necesaria» no es solo un error técnico, sino una infracción de cumplimiento que los reguladores buscan activamente y sancionan.
Por qué es importante la categorización
El GDPR exige que el consentimiento sea «específico» (artículo 4, apartado 11). El Grupo de Trabajo del Artículo 29 (ahora el EDPB) ha aclarado que esto significa que el consentimiento debe otorgarse por separado para cada finalidad distinta. Agrupar todas las cookies en un único «aceptar todo» sin ofrecer la opción por categoría no cumple con este estándar.
En la práctica, esto significa que tu mecanismo de consentimiento de cookies debe presentar las cookies agrupadas por finalidad y permitir que los usuarios acepten o rechacen cada categoría de forma independiente. El estándar que se ha impuesto en todo el sector —y que los reguladores esperan— utiliza cuatro categorías.
Las cuatro categorías estándar de cookies
1. Cookies estrictamente necesarias
Estas cookies son esenciales para el funcionamiento básico del sitio web. Sin ellas, no puede prestarse el servicio que el usuario ha solicitado explícitamente.
¿Requieren consentimiento? No. Las cookies estrictamente necesarias están exentas del requisito de consentimiento en virtud del artículo 5, apartado 3, de la Directiva ePrivacy, que establece que no se necesita consentimiento para las cookies «estrictamente necesarias para que el proveedor de un servicio de la sociedad de la información expresamente solicitado por el abonado o usuario preste dicho servicio».
Ejemplos de cookies estrictamente necesarias:
- Cookies de sesión que mantienen el estado de inicio de sesión
- Cookies del carrito de compra en un sitio de comercio electrónico
- Tokens de protección CSRF (falsificación de solicitudes entre sitios)
- Cookies de balanceo de carga que distribuyen el tráfico entre servidores
- Cookies de preferencia de consentimiento (la cookie que recuerda tu elección de consentimiento)
- Cookies de seguridad que detectan el uso indebido de la autenticación
Lo que NO es estrictamente necesario:
- Cookies de analítica, incluso las propias. Medir el tráfico es útil para el operador del sitio web, pero no es necesario para prestar el servicio que el usuario solicitó.
- Complementos de redes sociales: los botones de compartir y los feeds integrados sirven a los intereses del propietario del sitio, no a una función que el usuario haya solicitado explícitamente.
- Cookies publicitarias: por definición, sirven a una finalidad más allá del servicio al que el usuario accede.
- Cookies de pruebas A/B: sirven a los objetivos de optimización del operador del sitio, no a la solicitud explícita del usuario.
La prueba clave es la perspectiva: ¿necesaria para quién? Si la cookie sirve a los intereses del operador del sitio web en lugar de a una función que el usuario haya solicitado explícitamente, no es estrictamente necesaria, por muy importante que pueda ser para el negocio.
2. Cookies de analítica / estadísticas
Estas cookies recopilan información sobre cómo utilizan el sitio web los visitantes: qué páginas se visitan, cuánto tiempo permanecen los usuarios, de dónde vienen y en qué punto abandonan. Los datos suelen agregarse y utilizarse para mejorar el sitio web.
¿Requieren consentimiento? Sí, en la mayoría de las jurisdicciones. No obstante, algunas autoridades de protección de datos (en particular la CNIL francesa y la AP neerlandesa) han indicado que ciertas herramientas de analítica de origen propio pueden acogerse a una exención limitada, siempre que se cumplan condiciones específicas (consulta nuestra sección sobre cuándo se requiere el consentimiento).
Cookies de analítica habituales:
| Cookie | Servicio | Finalidad | Duración predeterminada |
|---|---|---|---|
_ga |
Google Analytics | Distingue a los usuarios únicos | 2 años |
_ga_* |
Google Analytics 4 | Mantiene el estado de la sesión | 2 años |
_gid |
Google Analytics | Distingue a los usuarios (24 h) | 24 horas |
_pk_id.* |
Matomo | ID de visitante | 13 meses |
_pk_ses.* |
Matomo | Seguimiento de sesión | 30 minutos |
_hjSessionUser_* |
Hotjar | Identificador de usuario | 1 año |
Ten en cuenta que las cookies de Google Analytics son de naturaleza de terceros, aunque puedan aparecer como cookies de origen propio, porque Google procesa los datos en sus propios servidores y puede utilizarlos para sus propios fines. Esta distinción ha sido significativa en varias acciones de aplicación de la ley en Europa.
3. Cookies de marketing / publicidad
Estas cookies rastrean a los visitantes en distintos sitios web para elaborar un perfil de su comportamiento de navegación. Este perfil se utiliza para mostrar publicidad segmentada, medir la eficacia de las campañas publicitarias y limitar el número de veces que un usuario ve un anuncio concreto.
¿Requieren consentimiento? Siempre. No existe ninguna excepción para las cookies publicitarias bajo ninguna interpretación de la Directiva ePrivacy ni del GDPR.
Cookies de marketing habituales:
| Cookie | Servicio | Finalidad | Duración predeterminada |
|---|---|---|---|
_fbp |
Meta (Facebook) | Rastrea visitas para la segmentación de anuncios | 3 meses |
_gcl_au |
Google Ads | Seguimiento de conversiones | 3 meses |
IDE |
Google DoubleClick | Retargeting y publicación de anuncios | 13 meses |
_uetsid |
Microsoft Advertising | Seguimiento de conversiones | 1 día |
li_fat_id |
Identificador indirecto del miembro | 30 días |
Las cookies de marketing son casi siempre de terceros. Representan el mayor riesgo para la privacidad y constituyen la categoría más regulada. Cualquier mecanismo de consentimiento que facilite más aceptar las cookies de marketing que rechazarlas se expone a acciones regulatorias.
4. Cookies de preferencias / funcionalidad
Estas cookies habilitan funciones mejoradas y personalización que van más allá de lo estrictamente necesario. Recuerdan las elecciones que ha hecho el usuario, pero no son imprescindibles para que el servicio principal funcione.
¿Requieren consentimiento? Sí, aunque el nivel de riesgo es menor que el de las cookies de analítica o marketing. Algunos reguladores tratan las cookies de preferencias con mayor indulgencia, pero la posición legal es que el consentimiento sigue siendo necesario.
Ejemplos:
- Preferencia de idioma (cuando el sitio funciona sin ella y simplemente muestra otro idioma por defecto)
- Selección de región o moneda
- Autocompletado del nombre de usuario en los formularios de inicio de sesión
- Preferencias del reproductor de vídeo (volumen, calidad)
- Estado del widget de chat (abierto/cerrado, historial de conversaciones)
- Tamaño de fuente o preferencias de accesibilidad
La distinción entre «estrictamente necesaria» y «preferencias» puede ser sutil. Una cookie de idioma en un sitio con un solo idioma no tiene sentido. Una cookie de idioma en un sitio multilingüe que, sin ella, muestra un idioma funcional por defecto es una preferencia. Una cookie de idioma en un sitio que no puede funcionar en absoluto sin ella —porque el contenido no se carga sin seleccionar un idioma— podría considerarse estrictamente necesaria. El contexto importa.
Cómo clasificar correctamente tus cookies
Sigue este proceso para cada cookie de tu sitio web:
- Identifica la cookie. ¿Cuál es su nombre, quién la establece (origen propio o terceros) y cuánto dura?
- Determina su finalidad. ¿Por qué existe esta cookie? ¿Qué ocurre si se elimina?
- Aplica la prueba de estricta necesidad. ¿Es esta cookie esencial para una función que el usuario solicitó explícitamente? Si el usuario pidió iniciar sesión, una cookie de sesión es necesaria. Si quieres rastrear su comportamiento, esa es tu necesidad, no la suya.
- Asigna la categoría. Si no es estrictamente necesaria, clasifícala según su finalidad principal: analítica, marketing o preferencias.
- Documenta tu razonamiento. Para cada cookie, registra por qué la clasificaste como lo hiciste. Esta documentación resulta valiosa si un regulador la solicita.
Errores comunes de categorización
Según las acciones de aplicación de la ley y los hallazgos de auditorías, estos son los errores más frecuentes:
- Clasificar Google Analytics como estrictamente necesario. Este es, con diferencia, el error más común. GA es una herramienta de analítica. Nunca es estrictamente necesaria para prestar un servicio al usuario. Varias APD lo han señalado específicamente.
- Meter todas las cookies de terceros en «funcionalidad». Los vídeos de YouTube integrados, los botones para compartir en redes sociales y los widgets de chat no son estrictamente necesarios, y sus cookies suelen tener finalidades de analítica o marketing más allá de la funcionalidad visible.
- Ignorar las cookies que establecen los complementos y las integraciones. Un sitio de WordPress con 20 complementos puede establecer docenas de cookies de las que el operador del sitio ni siquiera es consciente. Aun así, eres responsable de todas ellas.
- Tratar las cookies de marketing como de analítica. El seguimiento de conversiones de Facebook Pixel y Google Ads son cookies de marketing, no de analítica: su finalidad principal es la publicidad, aunque utilices los datos de forma analítica.
- Clasificar incorrectamente las cookies de pruebas A/B. Herramientas como Optimizely y VWO establecen cookies para asignar a los usuarios a grupos de prueba. No son estrictamente necesarias y deben clasificarse como analítica o preferencias.
Automatiza el proceso
Las auditorías manuales de cookies consumen mucho tiempo y son propensas a errores. Los sitios web cambian constantemente —un nuevo complemento, un script actualizado, un equipo de marketing que añade un píxel de seguimiento— y cada cambio puede introducir nuevas cookies que hay que clasificar.
Passiro escanea y clasifica automáticamente todas las cookies de tu sitio web, detecta las nuevas cuando aparecen y señala posibles clasificaciones incorrectas. Así se garantiza que tu mecanismo de consentimiento de cookies refleje siempre las cookies que tu sitio utiliza realmente, no solo las que conocías la última vez que lo revisaste.
Ahora que entendemos las categorías, veamos qué significa realmente el consentimiento de cookies desde el punto de vista legal: los requisitos son más específicos de lo que la mayoría imagina.
¿Cumple tu sitio web con la normativa de cookies?
Escanea tu sitio web gratis y encuentra todas las cookies en minutos.
Escanea tus cookies gratis