Qué es el consentimiento de cookies

Gestionar un sitio web exige prestar atención a ciertos detalles legales, entre ellos, el consentimiento de cookies. Obtener este permiso evita sanciones económicas cuantiosas y refuerza la confianza de los visitantes en tu marca.

Al implantar un software RGPD como Data Privacy Solution, simplificas este trámite técnico y normativo por completo.

El consentimiento para las cookies es el permiso explícito que los sitios web deben solicitar a los usuarios antes de instalar cookies no esenciales en sus dispositivos. Sin ella, su uso es ilegal.
En España lo regulan el RGPD, la Directiva ePrivacy y el artículo 22.2 de la LSSI.
Para ser válido, el consentimiento debe ser libre, informado, específico, inequívoco y revocable. La navegación pasiva no cuenta.
Las cookies técnicas están exentas. Las analíticas y las de publicidad comportamental siempre requieren autorización.
El banner tiene que ofrecer tres opciones con igual peso visual: aceptar, rechazar y configurar. Sin las tres, el aviso no es conforme.

Consentimiento de cookies: qué es y por qué debes cumplirlo

El consentimiento de cookies es la autorización expresa que un usuario otorga a un sitio web antes de que este instale o acceda a cookies en su dispositivo. Sin esa aprobación previa, su uso es ilegal [1].

Las cookies son pequeños archivos de texto que un sitio web deposita en el dispositivo del usuario al navegar. Recogen información sobre su comportamiento, preferencias o sesión activa, y permiten al sitio recordar esos datos en visitas posteriores. Cuando esos datos tienen carácter personal, su tratamiento exige una base jurídica sólida. En la mayoría de los casos, esa base es el consentimiento [2].

Cumplir con este requisito es una obligación legal con consecuencias reales. La Agencia Española de Protección de Datos (AEPD) tiene potestad para sancionar el incumplimiento con multas que, en los casos más graves, alcanzan los 20 millones de euros o el 4 % de la facturación global anual [2].

La cuantía exacta depende de la gravedad de la infracción y del tamaño de la organización. Más allá de la sanción económica, una gestión deficiente de las cookies daña la reputación de la organización y erosiona la confianza de los usuarios.

Antes de configurar tu sistema de aviso, conviene hacer un diagnóstico previo. El artículo cómo saber qué cookies usa mi web te ayudará a identificar cuáles están activas en tu sitio y a clasificarlas según su finalidad.

Normativa sobre el consentimiento de cookies en España

En nuestro país, el marco legal de este permiso se articula a partir de tres normas principales. Cada una aporta una capa de obligaciones que, en conjunto, definen lo que las empresas deben cumplir.

RGPD y Directiva ePrivacy (ley de cookies)

El Reglamento General de Protección de Datos (RGPD) fija las condiciones que ha de cumplir cualquier consentimiento para tener validez jurídica [2]. La Directiva ePrivacy, conocida popularmente como la ley de cookies, determina cuándo es obligatorio obtenerlo: concretamente, antes de instalar o acceder a cualquier rastreador en el dispositivo del internauta [3].

Ambas normas actúan en paralelo y se complementan. El RGPD establece el estándar del consentimiento y la Directiva ePrivacy delimita el momento y el contexto en que este estándar aplica. Si quieres profundizar en el origen y el alcance del reglamento europeo, consulta qué es RGPD y tendrás una visión detallada del conjunto normativo.

LSSI: la normativa española aplicable

A nivel nacional, la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) completa el marco europeo con obligaciones específicas para los prestadores de servicios digitales. En su artículo 22.2, la norma obliga a los prestadores de servicios a informar de forma clara y completa sobre el uso de cookies. Además, exige obtener la autorización del usuario antes de instalarlas [4].

La AEPD advierte en su guía oficial que esta ley tiene carácter especial respecto al RGPD, por lo que su cumplimiento es independiente y obligatorio [1].

A este marco se suma la Ley de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Su función es adaptar el reglamento europeo al ordenamiento jurídico español y reforzar las obligaciones de los responsables del tratamiento.

Requisitos para que el consentimiento sea válido

El consentimiento de cookies solo tiene validez jurídica cuando reúne una serie de condiciones precisas establecidas por el Comité Europeo de Protección de Datos (CEPD) y recogidas por la AEPD [1].

Condiciones del consentimiento válido:

Libre: el usuario no puede quedar condicionado a aceptar cookies para acceder al servicio o a cualquiera de sus funcionalidades.
Informado: el internauta debe conocer qué cookies se instalan, con qué finalidad y quién las gestiona, ya sea el propio editor o terceros.
Específico: el permiso tiene que otorgarse de forma independiente para cada finalidad; no es válido el consentimiento global o genérico.
Inequívoco: la autorización exige una acción afirmativa clara por parte del usuario. La mera navegación no equivale a consentimiento, ni tampoco las casillas premarcadas [1].
Revocable: el usuario tiene derecho a retirar su consentimiento en cualquier momento y con la misma facilidad con la que lo otorgó.

Asimismo, la opción de rechazar las cookies ha de ofrecerse al mismo nivel de visibilidad que la de aceptarlas [1]. Un diseño que solo destaca el botón de «Aceptar» infringe la normativa, con independencia de que el aviso esté técnicamente presente.

Si quieres integrar estos requisitos en tu estrategia global de privacidad, nuestro post cómo cumplir con el RGPD te ofrece una guía práctica y aplicada.

Qué tipos de cookies requieren consentimiento y cuáles no

La AEPD distingue dos grandes bloques: cookies exentas y cookies sujetas a aprobación [1]. Conocer esta distinción es imprescindible a fin de diseñar un aviso conforme a la ley.

Cookies que no requieren consentimiento

Técnicas o estrictamente necesarias: aquellas imprescindibles para prestar el servicio solicitado por el internauta (p. ej., gestión de sesión, carrito de compra, autenticación o seguridad).
De personalización de interfaz elegidas por el propio usuario, como la selección de idioma o tamaño de fuente.
Ciertas cookies de plug-in para intercambio de contenidos sociales, cuando el usuario ha decidido mantener la sesión abierta. Por ejemplo, los botones de «Compartir en X» o «Compartir en LinkedIn» integrados en una página web.

Cookies que sí requieren consentimiento

Analíticas o de medición: permiten medir el comportamiento de los usuarios y analizar el uso del sitio web con fines estadísticos o de mejora del servicio.
De publicidad comportamental: rastrean los hábitos de navegación para elaborar perfiles y mostrar publicidad personalizada.
De preferencias o personalización que no obedecen a una elección directa del usuario, sino a la iniciativa del propio editor.

Antes de configurar tu sistema de permisos, conviene identificar y catalogar con precisión todas las cookies activas en tu web. Entender qué es el data mapping y aplicar esta metodología te permitirá clasificar cada cookie según su finalidad y determinar con exactitud cuáles necesitan autorización.

Cómo implementar el consentimiento de cookies en tu web

Implementar este permiso implica diseñar un sistema que informe al usuario, obtenga su autorización y la gestione de forma documentada. Según la AEPD, la solución más recomendada es el banner por capas. Consiste en una primera capa con la información esencial y los botones de decisión, y una segunda con el detalle completo de la política de cookies [1].

Elementos que debe incluir un banner de cookies válido

Un aviso de cookies que cumpla con la normativa tiene que contener los siguientes elementos [1]:

Contenido obligatorio del banner:

Identificación del responsable del sitio web.
Objetivos de las cookies que se van a instalar (propias y de terceros).
Indicación de si las cookies son propias o provienen de terceros.
Tres botones con igual peso visual: aceptar, rechazar y configurar. Los tres deben ser claramente visibles y accesibles en la misma capa.
Enlace directo a la política de cookies con información detallada.

Los diseños que dificultan el rechazo (mediante colores que no contrastan, textos poco legibles o botones de tamaño reducido) no son válidos [1]. La asimetría visual entre el botón de aceptar y el de rechazar es uno de los incumplimientos más frecuentes.

Cuándo se pueden activar las cookies y cómo gestionar su rechazo

Las cookies no exentas solo pueden activarse después de que el usuario haya prestado su autorización de forma expresa. Antes de esa acción afirmativa, ninguna cookie analítica ni publicitaria debe instalarse en el dispositivo [1].

Respecto a la duración del consentimiento, la AEPD considera buena práctica que no supere los 24 meses. Transcurrido ese plazo, el sistema ha de solicitar una nueva decisión al usuario, sin que esto implique borrar sus preferencias previas [1].

Asimismo, el internauta tiene derecho a revocar su consentimiento en cualquier momento. El acceso al panel de configuración tiene que estar disponible de forma permanente en la web, sin que sea necesario superar más de dos clics para llegar a él [1].

Si aún no tienes claro qué herramienta se adapta mejor a tu organización, antes de decidir consulta criterios para escoger el mejor software RGPD y toma esa decisión con criterios objetivos.

El consentimiento de cookies es solo una parte del cumplimiento normativo en materia de protección de datos. Detrás hay un conjunto de obligaciones documentales, procedimientos y registros que las empresas deben mantener al día. Si quieres comprobar cómo simplificar este proceso, solicita una demostración gratuita y sin compromiso de Data Privacy Solution. Da el primer paso hacia el cumplimiento real.

Referencias:

[1] Agencia Española de Protección de Datos (AEPD). (2024). Guía sobre el uso de las cookies. https:// aepd.es/guias/guia-cookies.pdf

[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de la Unión Europea, L 119, 1–88. https:// eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679

[3] Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Diario Oficial de las Comunidades Europeas, L 201, 37–47. https:// eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32002L0058

[4] Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Boletín Oficial del Estado, núm. 166, de 12 de julio de 2002 (texto consolidado). https:// boe.es/eli/es/l/2002/07/11/34/con

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_KKPDW7H511	2 years	This cookie is installed by Google Analytics.
_gat_UA-100900240-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Data Privacy Solution

Protección de datos personales para empresas y consultores

¿Qué es el consentimiento de cookies? Explicación y cumplimiento