Skip to main content

Opt-in vs. opt-out: comprendiendo los dos modelos de consentimiento

El mundo maneja dos enfoques fundamentalmente distintos respecto al consentimiento de cookies. La Unión Europea exige el modelo opt-in: no se colocan cookies hasta que el usuario dice que sí. Estados Unidos (en la mayoría de los estados) permite el modelo opt-out: las cookies se colocan por defecto y el usuario puede negarse. Comprender estos dos modelos —su base legal, sus implicaciones y dónde se aplica cada uno— es fundamental para cualquier sitio web con una audiencia global.

El modelo opt-in

Bajo el modelo opt-in, las cookies no esenciales no pueden colocarse hasta que el usuario haya otorgado un consentimiento explícito y afirmativo. La inacción del usuario significa que no hay cookies. Este es el modelo exigido por la Directiva ePrivacy de la UE (artículo 5.3), interpretada a través de la definición de consentimiento del GDPR (artículo 4.11).

Cómo funciona el opt-in en la práctica

  1. El usuario visita el sitio web por primera vez.
  2. Solo están activas las cookies estrictamente necesarias. Las cookies de análisis, marketing y preferencias están bloqueadas.
  3. Aparece un mecanismo de consentimiento que presenta las categorías de cookies y pide al usuario que elija.
  4. El usuario selecciona activamente qué categorías aceptar (o hace clic en «Aceptar todo» o «Rechazar todo»).
  5. Solo se cargan los scripts correspondientes a las categorías aceptadas.
  6. Si el usuario no realiza ninguna acción, no se establecen cookies no esenciales. El mecanismo de consentimiento permanece visible (o accesible) hasta que el usuario tome una decisión.

Base legal

El requisito del opt-in proviene de dos fuentes:

  • Artículo 5.3 de la Directiva ePrivacy: exige el «consentimiento» antes de almacenar información en el dispositivo del usuario.
  • Artículo 4.11 del GDPR: define el consentimiento como algo que requiere una «acción afirmativa clara», lo que excluye la inacción, las casillas premarcadas y el acuerdo tácito.
  • Sentencia Planet49 del TJUE (C-673/17): confirmó que se requiere un consentimiento activo y que las casillas premarcadas no constituyen un consentimiento válido.

Dónde se aplica el opt-in

En todos los estados miembros de la UE/EEE (27 países de la UE más Noruega, Islandia y Liechtenstein), además del Reino Unido (que conservó las normas de ePrivacy tras el Brexit mediante las Privacy and Electronic Communications Regulations, o PECR).

Implicaciones para los operadores de sitios web

  • Espere tasas significativas de rechazo del consentimiento. Los datos del sector sugieren que entre el 30 % y el 50 % de los visitantes europeos rechazan las cookies no esenciales cuando se les ofrece una elección genuina.
  • Los datos de análisis serán incompletos. Solo dispondrá de datos de los usuarios que hayan dado su consentimiento. Esto no es un error, sino el resultado previsto por la normativa.
  • La carga de scripts debe ser condicional. Necesita un mecanismo técnico que bloquee los scripts hasta que se registre el consentimiento. Esto no puede lograrse solo con un banner: requiere una gestión real de scripts.

El modelo opt-out

Bajo el modelo opt-out, las cookies pueden colocarse por defecto. El usuario tiene derecho a rechazarlas o a excluirse, pero a menos que actúe, el seguimiento está permitido. Este es el modelo utilizado en Estados Unidos y en varias otras jurisdicciones.

Cómo funciona el opt-out en la práctica

  1. El usuario visita el sitio web.
  2. Todas las cookies —incluidas las de análisis y marketing— se colocan de inmediato.
  3. Un aviso informa al usuario de que se están usando cookies y le ofrece una forma de excluirse.
  4. Si el usuario no realiza ninguna acción, las cookies permanecen activas.
  5. Si el usuario opta por excluirse, sus preferencias se respetan en adelante (y en algunas jurisdicciones, es posible que los datos recopilados previamente deban eliminarse).

Base legal

El modelo opt-out se encuentra en:

  • CCPA/CPRA (California): los consumidores de California tienen derecho a excluirse de la «venta» o «compartición» de información personal. Las cookies utilizadas para publicidad conductual entre contextos constituyen una «compartición» según la CPRA. La obligación consiste en proporcionar un mecanismo de exclusión (a menudo mediante un enlace «Do Not Sell or Share My Personal Information»), no en obtener un consentimiento previo.
  • CAN-SPAM Act y directrices de la FTC: el enfoque federal estadounidense sobre el seguimiento en línea ha sido históricamente de aviso y elección, en lugar de consentimiento afirmativo.
  • Diversas leyes estatales de EE. UU.: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) y otras siguen variaciones del modelo opt-out para la publicidad dirigida y la venta de datos.

Dónde se aplica el opt-out

En Estados Unidos (con variaciones según el estado), Canadá (PIPEDA, aunque esto podría cambiar con las reformas propuestas), Australia (bajo la Privacy Act, también en revisión) y varias otras jurisdicciones fuera de la UE/EEE.

Implicaciones para los operadores de sitios web

  • Mayor recopilación de datos por defecto. Dado que las cookies se colocan salvo que el usuario se oponga, los datos de análisis y publicidad son más completos.
  • Debe proporcionar un mecanismo de exclusión claro. Bajo la CCPA/CPRA, esto significa un enlace «Do Not Sell or Share My Personal Information» que sea fácil de encontrar y usar.
  • Debe respetar el Global Privacy Control (GPC). La legislación de California exige que las empresas traten la señal del navegador GPC como una solicitud de exclusión válida.

Comparación detallada

Aspecto Opt-in (UE/GDPR) Opt-out (EE. UU./CCPA)
Estado por defecto Cookies bloqueadas hasta el consentimiento Cookies activas por defecto
Acción del usuario requerida Debe actuar para permitir las cookies Debe actuar para detener las cookies
Silencio / inacción Significa ausencia de consentimiento (sin cookies) Significa consentimiento presunto (cookies activas)
Mecanismo de consentimiento Elección granular por categoría Enlace o interruptor de exclusión
Casillas premarcadas No permitidas (sentencia Planet49) Permitidas (modelo opt-out)
Impacto en el análisis Pérdida de datos del 30-50 % por falta de consentimiento Pérdida mínima de datos (pocos se excluyen)
Retirada Tan fácil como dar el consentimiento (art. 7.3 del GDPR) Debe proporcionarse, sin requisito de igual facilidad
Menores Consentimiento parental para menores de 13-16 años (varía) COPPA se aplica a los menores de 13 años
Normativa clave Directiva ePrivacy + GDPR CCPA/CPRA + leyes estatales
Multas máximas 20 M EUR o el 4 % de la facturación global 7500 $ por infracción intencionada (CCPA)

¿Puede usar modelos diferentes para regiones distintas?

Sí, y muchos sitios web globales lo hacen. Este enfoque se denomina gestión del consentimiento geolocalizada. El sitio web detecta la ubicación del visitante (normalmente mediante geolocalización por IP) y presenta el modelo de consentimiento adecuado:

  • Visitantes de la UE/EEE/Reino Unido: modelo opt-in con consentimiento granular.
  • Visitantes de California: modelo opt-out con enlace «Do Not Sell or Share».
  • Otros visitantes de EE. UU.: solo aviso (según la aplicabilidad de la legislación estatal).
  • Otras jurisdicciones: según la legislación local aplicable.

Desafíos de la geolocalización

  • La geolocalización por IP no es perfecta. Los usuarios de VPN pueden ubicarse erróneamente. Los usuarios móviles pueden desplazarse entre jurisdicciones.
  • Carga de mantenimiento. Debe hacer seguimiento de los desarrollos normativos en cada jurisdicción a la que presta servicio y actualizar sus flujos de consentimiento en consecuencia.
  • Complejidad de las pruebas. Debe verificar que cada variante regional funcione correctamente: banners distintos, estados por defecto distintos, comportamientos de bloqueo de scripts distintos.
  • El GDPR se aplica extraterritorialmente. Si dirige su actividad a usuarios de la UE (artículo 3.2), el GDPR se aplica independientemente de dónde esté ubicada su empresa. «Dirigirse» incluye ofrecer bienes o servicios a residentes de la UE o monitorear su comportamiento.

Buena práctica: adopte el opt-in por defecto

Si gestionar varios modelos de consentimiento le resulta abrumador, existe un camino más sencillo: adoptar el modelo opt-in de forma global.

He aquí por qué funciona:

  1. Cumplimiento en todas partes. El modelo opt-in satisface los requisitos más estrictos. Si cumple con los requisitos de consentimiento del GDPR, superará automáticamente los requisitos de la CCPA, la LGPD y la mayoría de los demás marcos.
  2. Simplicidad. Un solo mecanismo de consentimiento, una sola implementación, un solo conjunto de pruebas. Sin geodetección, sin variantes regionales, sin casos límite.
  3. Preparación para el futuro. La tendencia global apunta hacia requisitos de consentimiento más estrictos. Las reformas propuestas en EE. UU., Canadá, Australia e India avanzan todas en la dirección de un consentimiento más explícito. Diseñar para el opt-in ahora significa que no tendrá que adaptarse más adelante.
  4. Confianza del usuario. Los usuarios de todo el mundo responden positivamente a las prácticas de consentimiento transparentes y respetuosas. Ofrecer una elección genuina —incluso cuando la ley no lo exija estrictamente— genera confianza y credibilidad de marca.
  5. Calidad de los datos. Los datos con consentimiento son más limpios, más defendibles y más valiosos que los recopilados en un marco de ambigüedad legal.

La contrapartida es real: recopilará menos datos a nivel global. Pero los datos que sí recopile serán jurídicamente sólidos, éticamente limpios y cada vez más valiosos a medida que los datos de terceros se vuelven menos accesibles.

Novedades emergentes

El panorama del consentimiento no es estático. Vale la pena vigilar varias novedades:

  • Reglamento ePrivacy. La UE ha estado trabajando desde 2017 en un reemplazo de la Directiva ePrivacy. Cuando se apruebe, se convertirá en un reglamento de aplicación directa (como el GDPR) en lugar de una directiva que requiere transposición nacional. Se espera que las normas de consentimiento para las cookies sigan siendo similares o más estrictas que el marco actual.
  • Global Privacy Control (GPC). Esta señal a nivel de navegador comunica automáticamente las preferencias de privacidad del usuario. La legislación de California ya exige respetar el GPC. Colorado y Connecticut también lo hacen. Esto podría convertirse en un mecanismo estándar para comunicar las preferencias de exclusión.
  • Modelos de «consentimiento o pago». El dictamen de 2024 del EDPB sobre «consentimiento o pago» (en particular en el contexto del enfoque de Meta) está definiendo cómo los reguladores ven la relación entre el consentimiento y el acceso a los servicios.
  • Consentimiento a nivel de navegador. Algunas propuestas trasladarían la gestión del consentimiento de los sitios web individuales al propio navegador, permitiendo a los usuarios establecer sus preferencias una sola vez en lugar de en cada sitio. Esto cambiaría fundamentalmente el funcionamiento del consentimiento en la práctica.

Passiro le ayuda a implementar el modelo de consentimiento adecuado para su audiencia, con detección y categorización automáticas de todas las cookies de su sitio, ya elija el modelo opt-in, opt-out o un enfoque geolocalizado.

Para nuestra sección final, veamos las buenas prácticas de consentimiento: la orientación práctica y accionable para implementar un consentimiento que sea tanto conforme como fácil de usar.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis