Skip to main content

Regulaciones sobre cookies y privacidad: una perspectiva global

El cumplimiento en materia de cookies no está regulado por una única ley. Está determinado por un mosaico de regulaciones nacionales y regionales que varían considerablemente en su alcance, requisitos y aplicación. Para cualquier sitio web con audiencia internacional —lo que, en la internet abierta, es prácticamente cualquier sitio web—, resulta esencial comprender qué leyes son aplicables y en qué se diferencian.

Esta guía traza el panorama regulatorio global sobre cookies y rastreo en línea, desde el modelo de consentimiento previo de la UE hasta el enfoque de notificación y elección de EE. UU. y los marcos normativos emergentes en otras regiones.

El mosaico global

No existe una única «ley de cookies». En cambio, el cumplimiento en esta materia se sitúa en la intersección de las regulaciones de privacidad, las directivas sobre comunicaciones electrónicas y las leyes de protección al consumidor. El resultado es un panorama complejo, y a veces contradictorio, en el que un mismo sitio web puede estar sujeto a normas diferentes según dónde se encuentren sus visitantes.

Han surgido dos grandes modelos:

  • El modelo de la UE (consentimiento previo): las cookies no esenciales solo pueden instalarse después de que el usuario haya otorgado un consentimiento informado, específico y libre. Por defecto, no hay rastreo. El usuario debe optar por aceptarlo.
  • El modelo de EE. UU. (notificación y elección): las empresas deben divulgar sus prácticas de recopilación de datos y ofrecer a los usuarios la posibilidad de rechazar ciertos usos (en particular, la venta o el intercambio de información personal). Por defecto, hay rastreo, con la opción de que el usuario lo rechace.

La mayoría de las nuevas regulaciones de privacidad en todo el mundo tienden a converger hacia el modelo de la UE, aunque con variaciones locales. Comprender ambos modelos —y las leyes específicas dentro de cada uno— es necesario para cualquier sitio web que opere a nivel transfronterizo.

El marco de la UE: Directiva sobre privacidad electrónica + GDPR

El enfoque de la Unión Europea respecto a la regulación de cookies se sustenta en dos instrumentos jurídicos que funcionan de forma conjunta:

La Directiva sobre privacidad electrónica (2002/58/CE)

La Directiva sobre privacidad electrónica —a menudo llamada «Directiva sobre cookies»— es la principal ley de la UE que regula el uso de cookies y tecnologías de rastreo similares. Su disposición clave, el artículo 5(3), establece:

Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa.

La única excepción son las cookies «estrictamente necesarias» para proporcionar un servicio solicitado explícitamente por el usuario —por ejemplo, las cookies de sesión de un carrito de compra o del estado de inicio de sesión—.

Importante: la Directiva sobre privacidad electrónica es una directiva, no un reglamento. Esto significa que cada Estado miembro de la UE la ha transpuesto a su legislación nacional con variaciones locales. El principio central (consentimiento requerido para cookies no esenciales) es coherente, pero los detalles de implementación difieren. Por ejemplo:

  • Francia (CNIL): ha publicado directrices detalladas sobre cookies, incluida una exención limitada para ciertas herramientas de medición de audiencia que cumplen condiciones estrictas (anonimización, ausencia de rastreo entre sitios, retención limitada).
  • Alemania: implementada a través de la TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), que entró en vigor en diciembre de 2021 y codificó explícitamente el requisito de consentimiento.
  • Italia (Garante): publicó directrices detalladas sobre cookies en 2021 que exigen un botón de rechazo en la primera capa y prohíben los muros de cookies.
  • Países Bajos (AP): ha adoptado una postura algo más permisiva respecto a los muros de cookies, sugiriendo que pueden ser aceptables si el usuario dispone de una alternativa genuina para acceder al contenido.

El GDPR (Reglamento (UE) 2016/679)

El Reglamento General de Protección de Datos no menciona específicamente las cookies, pero regula el tratamiento de datos personales, y las cookies frecuentemente implican datos personales. El GDPR es relevante para el cumplimiento en materia de cookies de varias maneras:

  • Estándar de consentimiento (artículo 4(11), artículo 7): el GDPR define qué constituye un consentimiento válido: libre, específico, informado, inequívoco y otorgado mediante una acción afirmativa clara. Este estándar se aplica al consentimiento de cookies obtenido en virtud de la Directiva sobre privacidad electrónica.
  • Transparencia (artículos 12-14): cuando las cookies tratan datos personales, se aplican los requisitos de transparencia del GDPR. Esto significa que su política de cookies debe proporcionar información específica sobre el tratamiento de datos involucrado.
  • Base jurídica (artículo 6): el tratamiento de datos personales mediante cookies requiere una base jurídica. Para las cookies no esenciales, esa base es el consentimiento. Algunos responsables intentan basarse en el interés legítimo (artículo 6(1)(f)), pero las autoridades de protección de datos han rechazado cada vez más el interés legítimo como base para el rastreo publicitario y analítico.
  • Derechos del interesado (artículos 15-22): los usuarios tienen derecho al acceso, la rectificación, la supresión y la portabilidad de sus datos, incluidos los datos recopilados mediante cookies.
  • Alcance extraterritorial (artículo 3): el GDPR se aplica a cualquier organización que trate datos personales de personas en la UE, independientemente de dónde esté establecida la organización. Una empresa estadounidense dirigida a clientes de la UE debe cumplirlo.

El próximo Reglamento sobre privacidad electrónica

La Comisión Europea propuso un Reglamento sobre privacidad electrónica en 2017 para sustituir la Directiva sobre privacidad electrónica, armonizar las normas entre los Estados miembros y actualizarlas para las tecnologías modernas. A principios de 2026, el reglamento aún no se ha finalizado. Las negociaciones se han prolongado, con desacuerdos sobre las excepciones de interés legítimo, las disposiciones relativas a los muros de cookies y los mecanismos de consentimiento a nivel de navegador.

Cuando finalmente se adopte, el Reglamento sobre privacidad electrónica se aplicará directamente en todos los Estados miembros (a diferencia de la directiva actual, que requiere transposición nacional). Hasta entonces, la Directiva sobre privacidad electrónica vigente y sus implementaciones nacionales siguen siendo la legislación aplicable.

El marco de EE. UU.: leyes de privacidad a nivel estatal

Estados Unidos no tiene ninguna ley federal de cookies ni una ley federal integral de privacidad (a principios de 2026). En cambio, la regulación de la privacidad ha surgido a nivel estatal, creando un mosaico de requisitos.

California: CCPA y CPRA

La Ley de Privacidad del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA), es la ley de privacidad estatal más completa de EE. UU. Disposiciones clave relevantes para las cookies:

  • Derecho a rechazar la venta o el intercambio. Los consumidores tienen derecho a rechazar la «venta» o el «intercambio» de su información personal. Según la CPRA, el «intercambio» incluye compartir datos con terceros para publicidad conductual entre contextos, que es precisamente lo que hacen la mayoría de las cookies publicitarias.
  • No se requiere consentimiento previo. A diferencia del modelo de la UE, la CCPA/CPRA no requiere consentimiento previo para las cookies. Por defecto, el rastreo está permitido, y los usuarios deben rechazarlo activamente.
  • Enlace «No vender ni compartir». Las empresas deben proporcionar un enlace visible de «No vender ni compartir mi información personal» en su sitio web.
  • Global Privacy Control (GPC). Las empresas deben respetar la señal del navegador GPC como una solicitud válida de exclusión. Si el navegador de un usuario envía una señal GPC, la empresa debe tratarla como si el usuario hubiera hecho clic en «No vender ni compartir».
  • Aviso en el momento de la recopilación. Las empresas deben divulgar, en el momento de la recopilación o antes, las categorías de información personal recopilada y los fines para los que se utilizará.

Otras leyes estatales de EE. UU.

Siguiendo el ejemplo de California, numerosos estados de EE. UU. han promulgado leyes integrales de privacidad. A principios de 2026, los estados con leyes de privacidad activas incluyen:

Estado Ley Fecha de entrada en vigor Características relevantes para cookies
Virginia VCDPA Enero de 2023 Rechazo de publicidad dirigida y venta de datos
Colorado CPA Julio de 2023 Rechazo de publicidad dirigida y venta de datos; debe respetar las señales universales de exclusión
Connecticut CTDPA Julio de 2023 Rechazo de publicidad dirigida y venta de datos; debe respetar las señales universales de exclusión
Utah UCPA Diciembre de 2023 Rechazo de publicidad dirigida y venta de datos
Texas TDPSA Julio de 2024 Rechazo de publicidad dirigida y venta de datos; debe respetar las señales universales de exclusión
Oregón OCPA Julio de 2024 Rechazo de publicidad dirigida y venta de datos; debe respetar las señales universales de exclusión
Montana MCDPA Octubre de 2024 Rechazo de publicidad dirigida y venta de datos; debe respetar las señales universales de exclusión

Otros estados han promulgado leyes con fechas de entrada en vigor en 2025 y 2026. La tendencia es clara: la regulación de la privacidad a nivel estatal se está expandiendo, y la mayoría de las nuevas leyes incluyen derechos de exclusión de la publicidad dirigida que afectan directamente a las prácticas de cookies.

Otras regulaciones destacadas

Reino Unido: UK GDPR y PECR

Tras el Brexit, el Reino Unido mantuvo el GDPR como el «UK GDPR» y continúa aplicando el Reglamento sobre Privacidad y Comunicaciones Electrónicas (PECR), que implementa la Directiva sobre privacidad electrónica. Los requisitos para las cookies son esencialmente idénticos a los de la UE: se requiere consentimiento previo para las cookies no esenciales, con una estrecha excepción para las cookies estrictamente necesarias. La Oficina del Comisionado de Información (ICO) hace cumplir estas normas y ha publicado orientaciones detalladas sobre cookies.

Brasil: LGPD

La Lei Geral de Proteção de Dados (LGPD) de Brasil, en vigor desde 2020, está muy inspirada en el GDPR. Requiere una base jurídica para el tratamiento de datos personales, incluidos los datos recopilados mediante cookies. Aunque la LGPD no cuenta con un equivalente directo de la disposición específica sobre cookies de la Directiva sobre privacidad electrónica, debe establecerse el consentimiento o el interés legítimo para el tratamiento de datos basado en cookies. La ANPD (autoridad nacional de protección de datos) está publicando gradualmente orientaciones sobre cookies y consentimiento.

Canadá: PIPEDA y Proyecto de Ley C-27

La Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA) de Canadá requiere un «consentimiento significativo» para la recopilación, el uso y la divulgación de información personal. Para las cookies que recopilan información personal, las organizaciones deben obtener el consentimiento y proporcionar información clara sobre sus prácticas. El Proyecto de Ley C-27, la propuesta de Ley de Protección de la Privacidad del Consumidor, modernizaría el marco de Canadá con requisitos de consentimiento más estrictos, pero su aprobación se ha retrasado.

Japón: APPI

La Ley de Protección de la Información Personal (APPI) de Japón, modificada en 2022, introdujo el concepto de «información personalmente referible», que puede incluir identificadores de cookies en determinados contextos. Cuando los datos de cookies se combinan con otra información para identificar a una persona, se aplican los requisitos de consentimiento.

Corea del Sur: PIPA

La Ley de Protección de la Información Personal (PIPA) de Corea del Sur, modificada en 2023, requiere el consentimiento para la recopilación y el uso de información personal, que puede incluir datos de cookies cuando estos identifican o pueden identificar a una persona.

Tendencia de convergencia

A pesar del mosaico actual, se está perfilando una tendencia clara: la mayoría de las nuevas leyes de privacidad siguen el modelo de la UE de consentimiento previo y regulación centrada en el empoderamiento del usuario. Incluso las leyes estatales de EE. UU., aunque técnicamente se basan en la exclusión en lugar de la aceptación, avanzan hacia requisitos más estrictos con señales universales de exclusión (GPC), principios de minimización de datos y definiciones ampliadas de «información personal» que abarcan los identificadores de cookies.

En términos prácticos, esta convergencia significa que los sitios web que implementan el cumplimiento de cookies al nivel de la UE (consentimiento previo, aceptación/rechazo claros, categorías granulares, políticas transparentes) están bien posicionados para cumplir con la mayoría de las demás jurisdicciones. El estándar de la UE es el mínimo común denominador más alto.

Evaluación de riesgos: ¿qué leyes se aplican a su sitio web?

La pregunta clave para cualquier operador de un sitio web es: ¿qué leyes se me aplican? La respuesta depende de dos factores:

  1. Dónde está establecida su organización. Está sujeto a las leyes de privacidad de las jurisdicciones donde su organización tenga un establecimiento (oficina, filial, sucursal).
  2. Dónde se encuentran sus usuarios. En virtud del alcance extraterritorial del GDPR (artículo 3(2)), está sujeto a la ley de privacidad de la UE si ofrece bienes o servicios a personas en la UE, o si supervisa el comportamiento de personas en la UE. Existen disposiciones extraterritoriales similares en el UK GDPR, la LGPD de Brasil y otras leyes.

En la práctica, si su sitio web es accesible para usuarios en la UE —y tiene algo de tráfico de la UE, como ocurre con prácticamente todos los sitios web—, debe cumplir con la Directiva sobre privacidad electrónica y el GDPR. Si tiene tráfico de EE. UU., debe abordar la CCPA/CPRA (California) y otras leyes estatales aplicables.

Un enfoque pragmático:

  • Implemente el consentimiento según el estándar de la UE para todos los visitantes de la UE/EEE/Reino Unido (consentimiento previo de aceptación para cookies no esenciales).
  • Implemente mecanismos de exclusión para los visitantes de EE. UU. (enlace de No vender/compartir, compatibilidad con GPC).
  • Aplique por defecto el estándar más alto si la detección geográfica es poco práctica. El consentimiento al nivel de la UE satisface prácticamente todas las jurisdicciones.

Alcance extraterritorial

Uno de los aspectos más significativos de la regulación moderna de la privacidad es su alcance extraterritorial. El GDPR (artículo 3(2)) se aplica a las organizaciones fuera de la UE que:

  • Ofrecen bienes o servicios a personas en la UE (incluso si son gratuitos: un sitio web accesible en la UE dirigido a usuarios de la UE cumple este criterio), o
  • Supervisan el comportamiento de personas en la UE (el rastreo analítico y publicitario constituye supervisión).

Esto significa que una empresa estadounidense que ejecuta Google Analytics en un sitio web que recibe tráfico de la UE está, técnicamente, sujeta al GDPR y a los requisitos sobre cookies de la Directiva sobre privacidad electrónica. La aplicación de estas normas contra organizaciones no pertenecientes a la UE ha sido históricamente limitada, pero está aumentando, especialmente para las grandes empresas. El riesgo práctico para las organizaciones más pequeñas depende de su visibilidad y del volumen de quejas, pero la obligación legal existe independientemente del tamaño.

Panorama de aplicación de la ley

La aplicación del cumplimiento en materia de cookies se ha intensificado drásticamente desde 2020. Tendencias clave:

Quién hace cumplir la ley

En la UE, las autoridades nacionales de protección de datos (APD) hacen cumplir tanto la Directiva sobre privacidad electrónica como el GDPR. Entre los reguladores activos destacados se encuentran la CNIL (Francia), el Garante (Italia), la Datatilsynet (Dinamarca y Noruega), el BfDI (Alemania a nivel federal) y la APD (Bélgica). El EDPB coordina la aplicación transfronteriza.

En EE. UU., el Fiscal General de California y la Agencia de Protección de la Privacidad de California hacen cumplir la CCPA/CPRA. Los fiscales generales estatales hacen cumplir las demás leyes estatales.

Cómo hacen cumplir la ley

  • Investigaciones motivadas por quejas. La mayoría de las acciones de aplicación comienzan con la queja de un usuario ante una APD. La queja desencadena una investigación de las prácticas de cookies del sitio web.
  • Investigaciones de barrido. Las APD realizan periódicamente barridos sectoriales, escaneando cientos de sitios web para verificar el cumplimiento en materia de cookies. La CNIL, el Garante italiano y la Datatilsynet danesa han realizado barridos publicitados.
  • Quejas de ONG. Organizaciones de defensa de la privacidad como noyb (liderada por Max Schrems) han presentado quejas masivas contra cientos de sitios web, generando un volumen significativo de acciones de aplicación. Las quejas de noyb solo sobre banners de cookies han dado lugar a decenas de acciones de aplicación en toda la UE.

Sanciones

Las multas del GDPR por infracciones relacionadas con cookies pueden alcanzar hasta 20 millones de euros o el 4 % de la facturación global anual, lo que sea mayor. En la práctica, las multas por infracciones de cookies han oscilado entre advertencias (para organizaciones pequeñas con infracciones menores) y 150 millones de euros (Google, CNIL, 2022). La tendencia apunta hacia multas más elevadas y una aplicación más frecuente.

Más allá de las multas, el incumplimiento conlleva riesgos para la reputación, daños a la confianza del consumidor y el coste operativo de una subsanación de emergencia bajo una orden regulatoria.

Passiro le ayuda a navegar esta complejidad regulatoria con un cumplimiento automatizado que se adapta a las leyes aplicables a sus visitantes. Descubra cómo Passiro simplifica el cumplimiento en materia de cookies en todas las jurisdicciones.

¿Cumple tu sitio web con la normativa de cookies?

Escanea tu sitio web gratis y encuentra todas las cookies en minutos.

Escanea tus cookies gratis