Skip to main content

Consentimiento de cookies: lo que la ley realmente exige

El consentimiento de cookies es uno de los requisitos más malinterpretados de la privacidad digital. Muchas empresas creen que cumplen porque muestran un banner de cookies. Pero un banner no es consentimiento. El consentimiento es un concepto jurídico específico con requisitos precisos, y no cumplir esos requisitos puede significar que toda tu recopilación de datos sea ilícita.

El fundamento jurídico

El consentimiento de cookies se asienta sobre dos pilares legales:

El artículo 5(3) de la Directiva sobre la privacidad electrónica (ePrivacy) establece el requisito: almacenar o acceder a información en el dispositivo de un usuario requiere su consentimiento, salvo que el almacenamiento sea estrictamente necesario para un servicio que el usuario haya solicitado expresamente. Esta es la norma que rige específicamente las cookies.

El artículo 4(11) del GDPR define qué significa el consentimiento: «se entiende por “consentimiento” del interesado toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

Estas dos disposiciones funcionan de forma conjunta. La Directiva ePrivacy indica cuándo se necesita el consentimiento (para las cookies no esenciales). El GDPR indica cómo debe ser un consentimiento válido. Ambas deben cumplirse.

Los cinco requisitos de un consentimiento válido

A partir del artículo 4(11) del GDPR, el artículo 7 y las Directrices 05/2020 del CEPD sobre el consentimiento, un consentimiento de cookies válido debe cumplir cinco criterios:

1. Libre

El usuario debe tener una opción real. El consentimiento no es libre si:

  • El acceso está condicionado al consentimiento. Si el usuario no puede utilizar el sitio web sin aceptar todas las cookies (un «muro de cookies»), el consentimiento no es libre. El CEPD ha confirmado esta postura, aunque algunas autoridades de protección de datos nacionales permiten muros de cookies limitados en circunstancias específicas, sobre todo si existe una alternativa genuina (como una versión de pago sin cookies).
  • Existe un desequilibrio significativo de poder. En las relaciones empleador-empleado o gobierno-ciudadano, el consentimiento puede no ser realmente libre. Para la mayoría de los sitios web esto es menos relevante, pero importa en los servicios gubernamentales y las plataformas de intranet.
  • Rechazar es significativamente más difícil que aceptar. Si «Aceptar todo» es un botón destacado y «Rechazar todo» exige navegar por la configuración, el consentimiento no es libre. Tanto el Garante italiano como la CNIL francesa han emitido orientaciones específicas que exigen que rechazar las cookies sea tan fácil como aceptarlas.

2. Específico

El consentimiento debe otorgarse por separado para cada finalidad distinta. Por eso existen las categorías de cookies. Un mecanismo de consentimiento válido debe permitir a los usuarios aceptar las cookies analíticas y rechazar las de marketing, o viceversa. Agrupar todas las cookies en un único «aceptar» o «rechazar» no cumple el requisito de especificidad, aunque ofrecer tanto «Aceptar todo» como «Rechazar todo» como atajos junto a los controles por categoría es aceptable.

3. Informado

Antes de otorgar su consentimiento, se debe informar al usuario de:

  • Quién establece las cookies (el operador del sitio web y cualquier tercero)
  • Qué hace cada categoría de cookies
  • Cuánto tiempo duran las cookies
  • Cómo retirar el consentimiento

Esta información debe presentarse con claridad y en un lenguaje sencillo. Una política de cookies de 5.000 palabras oculta tras tres clics no hace que el consentimiento sea «informado» en ningún sentido significativo. La primera capa de tu mecanismo de consentimiento debe incluir suficiente información para que el usuario tome una decisión informada.

4. Inequívoco

El consentimiento requiere una clara acción afirmativa. El usuario debe hacer algo de forma activa para indicar su consentimiento: hacer clic en un botón, marcar una casilla, activar un interruptor.

Lo que NO constituye un consentimiento inequívoco:

  • Casillas premarcadas. El TJUE dictaminó de forma definitiva en Planet49 (asunto C-673/17, octubre de 2019) que las casillas premarcadas no constituyen un consentimiento válido. Esto se aplica a los ajustes de consentimiento de cookies en los que las categorías están marcadas por defecto.
  • Seguir navegando. «Al continuar usando este sitio, aceptas las cookies» no es un consentimiento válido. Simplemente desplazarse o hacer clic en un enlace no es una «manifestación inequívoca». Varias autoridades de protección de datos lo han confirmado, y las directrices del CEPD son explícitas al respecto.
  • Configuración del navegador. Basarse en la configuración del navegador del usuario como forma de consentimiento ha sido rechazado por los reguladores. El operador del sitio web debe obtener el consentimiento directamente.
  • Silencio o inactividad. Si el usuario ignora el banner y sigue navegando, eso no es consentimiento. No debe colocarse ninguna cookie hasta que el usuario haya tomado una decisión activa.

5. Previo

Aunque no figura como un elemento independiente en el artículo 4(11) del GDPR, la Directiva ePrivacy deja claro que el consentimiento debe obtenerse antes de colocar las cookies. Este es el requisito que muchos sitios web siguen sin cumplir. Los scripts que se activan al cargar la página —estableciendo cookies analíticas y de marketing antes de que el usuario haya visto siquiera el banner de consentimiento— vulneran este requisito fundamental.

Técnicamente, esto significa que los scripts no esenciales deben bloquearse hasta que se otorgue el consentimiento. Mostrar simplemente un banner mientras ya se están estableciendo cookies no cumple el requisito de consentimiento previo.

Cómo es un consentimiento válido en la práctica

Una implementación de consentimiento de cookies conforme:

  1. Bloquea todas las cookies no esenciales antes de que el usuario interactúe con el mecanismo de consentimiento.
  2. Presenta una primera capa clara que explica las categorías de cookies utilizadas, con opciones para aceptar o rechazar cada categoría.
  3. Ofrece «Aceptar todo» y «Rechazar todo» con el mismo nivel de protagonismo: mismo tamaño, mismo peso visual, mismo número de clics necesarios.
  4. No utiliza patrones oscuros: sin colores de botón engañosos, sin opciones de rechazo ocultas, sin lenguaje confuso, sin empujar hacia la aceptación.
  5. Enlaza a una política de cookies detallada que enumera cada cookie por nombre, finalidad, duración y proveedor.
  6. Registra el consentimiento con una marca de tiempo y las categorías concretas que el usuario aceptó o rechazó.
  7. Solo activa los scripts pertinentes después de que se otorgue el consentimiento para esa categoría específica.

El ciclo de vida del consentimiento

El consentimiento no es un evento puntual. Tiene un ciclo de vida que tu implementación debe contemplar:

Recopilación

Primera visita: mostrar el mecanismo de consentimiento, bloquear las cookies no esenciales y esperar la acción del usuario.

Almacenamiento

Cuando se otorga el consentimiento, guarda la elección del usuario en una cookie estrictamente necesaria (para esta cookie no se necesita consentimiento, ya que es imprescindible para respetar las preferencias de privacidad del usuario). Guarda también un registro en el servidor como prueba del consentimiento.

Aplicación

En las cargas de página posteriores, lee la cookie de consentimiento y activa únicamente los scripts que correspondan a las categorías que el usuario aceptó. No vuelvas a mostrar el banner: respeta la elección guardada.

Retirada

El artículo 7(3) del GDPR es explícito: «Será tan fácil retirar el consentimiento como darlo». Tu sitio web debe ofrecer una forma persistente y de fácil acceso para que los usuarios cambien sus preferencias de cookies en cualquier momento. Un enfoque habitual es un pequeño icono o enlace en el pie de página que vuelve a abrir la interfaz de gestión del consentimiento.

Renovación

El consentimiento no dura para siempre. La CNIL recomienda renovarlo cada 13 meses. El CEPD no ha fijado una duración específica, pero exige que el consentimiento siga siendo válido y que la elección del usuario continúe reflejando su voluntad real. La buena práctica es volver a solicitarlo al menos una vez al año o siempre que tu uso de cookies cambie de forma significativa.

Cambios

Si añades nuevas cookies, nuevos servicios de terceros o nuevas finalidades, el consentimiento existente puede dejar de cubrirlos. Debe volver a solicitarse a los usuarios que otorguen (o denieguen) el consentimiento para el nuevo tratamiento.

Registros y prueba del consentimiento

El artículo 7(1) del GDPR establece: «Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento». Para el consentimiento de cookies, esto significa que debes mantener registros de:

  • Cuándo se otorgó el consentimiento (marca de tiempo)
  • A qué consintió el usuario (qué categorías se aceptaron y cuáles se rechazaron)
  • Cómo se recopiló el consentimiento (cómo era el mecanismo de consentimiento en ese momento: un identificador de versión o una captura de pantalla)
  • Quién otorgó el consentimiento (normalmente un identificador anonimizado, no el nombre del usuario)

Si un regulador te pide que demuestres que una cookie concreta se colocó con un consentimiento válido, estos registros son tu defensa. Sin ellos, no tienes ninguna prueba de que tu mecanismo de consentimiento funciona, y la carga de la prueba recae sobre ti, no sobre el regulador.

Fallos habituales en el consentimiento

A partir de las acciones sancionadoras en toda Europa, estos son los fallos de consentimiento más frecuentemente penalizados:

  1. Cookies colocadas antes del consentimiento. Scripts analíticos y de marketing que se activan al cargar la página, antes de que el usuario interactúe con el banner.
  2. Sin opción de rechazo en la primera capa. Exigir a los usuarios que hagan clic en «Configuración» o «Gestionar preferencias» para rechazar las cookies, mientras que «Aceptar todo» está disponible de inmediato.
  3. Categorías premarcadas. Interruptores de consentimiento que aparecen activados por defecto para las analíticas y el marketing.
  4. Sin forma de retirar el consentimiento. Una vez cerrado el banner, el usuario no tiene manera de cambiar su elección.
  5. Muro de consentimiento / muro de cookies. Bloquear el acceso al contenido a menos que se acepten todas las cookies.
  6. Diseño engañoso. Usar el verde para «Aceptar» y el gris para «Rechazar», hacer el botón de aceptar más grande, o emplear un lenguaje confuso como «Continuar sin aceptar» frente a «Aceptar y continuar».

Passiro analiza la implementación del consentimiento de cookies de tu sitio web y comprueba estos fallos habituales, ayudándote a identificar y corregir las brechas de cumplimiento antes de que lo haga un regulador.

A continuación: ¿cuándo se requiere exactamente el consentimiento? La respuesta implica algunos matices importantes, incluida la exención para las cookies estrictamente necesarias y el debate en curso en torno a las analíticas de origen propio.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis