Prueba gratis

Normativa

Cookies y consentimiento: el banner que casi todos llevan mal

Banners pre-marcados, "consentimiento por seguir navegando" o ausencia de opción "rechazar". Repasamos los errores típicos de los banners de cookies.

Saúl García · Cofundador y co-CEO 6 min de lectura

El banner de cookies se ha convertido en uno de los puntos de cumplimiento más vigilados por la Agencia Española de Protección de Datos (AEPD). Aunque parezca un elemento decorativo en la cabecera de tu web, es la prueba documental de que cumples (o no) con el artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI) y con el principio de consentimiento del Reglamento General de Protección de Datos (RGPD). Y lo que era admisible hace tres años hoy te puede costar una sanción.

En esta guía repasamos los criterios actualizados de la AEPD —desde la Guía sobre el uso de las cookies de julio de 2023, que adaptó los criterios a las directrices del Comité Europeo de Protección de Datos (EDPB)—, qué requisitos tiene un banner válido, los errores que más sanciones generan, cómo encaja Google Consent Mode v2, identificadores como IDFA o GAID, las cookies analíticas first-party con anonimización y cómo Beply resuelve el cumplimiento sin sacrificar la conversión.

  • Artículo 22.2 LSSI: regula el uso de dispositivos de almacenamiento y recuperación de datos en equipos terminales (cookies y similares). Exige consentimiento informado, previo, inequívoco y específico.
  • RGPD (Reglamento UE 2016/679): define los requisitos del consentimiento (libre, específico, informado e inequívoco) y los derechos del usuario.
  • LOPDGDD (LO 3/2018): adapta el RGPD al ordenamiento español.
  • Guía sobre el uso de las cookies (AEPD, julio de 2023): documento de referencia con criterios prácticos.
  • Directrices 03/2022 del EDPB sobre patrones engañosos (dark patterns) en interfaces de plataformas de redes sociales, aplicables por analogía a cualquier banner.

Qué tiene que contener un banner válido en 2025-2026

Primera capa

Es la primera ventana o aviso que ve el usuario al entrar. Debe incluir, como mínimo:

  • Identificación del responsable del tratamiento (tu empresa) o de quien gestiona la web.
  • Finalidades de las cookies utilizadas, distinguiendo propias y de terceros.
  • Indicación de si va a haber elaboración de perfiles.
  • Tipo de datos recopilados.
  • Tres botones equivalentes en visibilidad: "Aceptar todas", "Rechazar todas" y "Configurar" / "Personalizar".
  • Enlace claro a la segunda capa (Política de Cookies).

El criterio de la AEPD desde julio de 2023 es taxativo: el botón de rechazar debe estar en la primera capa, con la misma visibilidad, tamaño, contraste y facilidad de uso que el de aceptar. Esconderlo en una segunda pantalla, dejarlo en gris claro o pedir más clics que para aceptar es una infracción.

Segunda capa (política de cookies)

  • Lista detallada de cada cookie con: nombre, finalidad, duración (≤ 24 meses como criterio general), titular (propia / tercero), país en que se trata si es transferencia internacional.
  • Categorías: técnicas (no requieren consentimiento), de preferencias o personalización, analíticas, publicitarias, de seguimiento.
  • Forma de aceptar, configurar y rechazar. Posibilidad de retirar el consentimiento con la misma facilidad con la que se prestó.
  • Información sobre transferencias internacionales y bases jurídicas.

Lo que la AEPD considera una infracción

  • Cookies no técnicas instaladas antes del consentimiento: descargar Google Analytics, Facebook Pixel u otros antes de que el usuario haga clic es la causa más sancionada.
  • "Si sigues navegando, aceptas": el consentimiento por inacción está expresamente prohibido.
  • Casillas premarcadas: el consentimiento debe ser por acción afirmativa.
  • Botón "Rechazar" oculto, en una segunda pantalla, en color claro o con menos clics que el de aceptar.
  • Banners modales que impiden navegar sin aceptar (cookie walls) salvo en supuestos muy concretos (medios con alternativa de pago).
  • Falta de información clara sobre transferencias internacionales (especialmente a EE. UU.).
  • Cookies que persisten más de 24 meses sin justificación.
  • No registrar y conservar la prueba del consentimiento.

Desde marzo de 2024 Google exige Consent Mode v2 para cualquier campaña en Google Ads, Analytics 4 o Floodlight que tenga visitantes del Espacio Económico Europeo. Las señales relevantes son:

  • ad_storage: cookies publicitarias.
  • analytics_storage: cookies analíticas.
  • ad_user_data: envío de datos del usuario a Google con fines publicitarios.
  • ad_personalization: personalización publicitaria, incluido remarketing.

Para que sea conforme, las cuatro señales deben empezar en denied hasta que el usuario consienta y actualizarse al instante con la decisión. Una Consent Management Platform (CMP) certificada (Cookiebot, OneTrust, Didomi, Iubenda, Usercentrics, etc.) lo automatiza y firma con la IAB TCF v2.2.

IDFA, GAID y otros identificadores

El criterio de la AEPD aplica también a los identificadores de dispositivo usados en aplicaciones móviles: IDFA en iOS, GAID en Android, fingerprinting de navegador, hashes de email o número de teléfono enviados a redes publicitarias. Todos requieren consentimiento previo si tienen finalidad publicitaria o de seguimiento.

Cookies analíticas first-party con anonimización

La AEPD admite que las cookies analíticas propias y con anonimización adecuada puedan considerarse de bajo riesgo. En la práctica, esto significa:

  • Servidor en territorio UE.
  • Anonimización de IP, exclusión de identificadores únicos persistentes y agregación.
  • Sin transferencia a terceros para fines comerciales.
  • Información transparente al usuario.

Aun así, sigue siendo recomendable pedir consentimiento; la AEPD lo trata como menor riesgo, no como exento.

Plazos y conservación

  • El consentimiento debe renovarse cuando hay cambios sustanciales en la política y, en cualquier caso, no debería superar los 24 meses.
  • Conserva la prueba del consentimiento (timestamp, versión del banner, opciones marcadas, IP truncada o ID interno) durante el plazo de prescripción de las eventuales reclamaciones.
  • Pon a disposición del usuario un mecanismo para revocar el consentimiento con la misma facilidad con la que se otorgó (típicamente un enlace fijo en el footer).

Régimen sancionador

La LSSI tipifica las infracciones por incumplimiento del artículo 22.2 como leves (multas de hasta 30.000 €) y graves (de 30.001 € a 150.000 €). Si además hay tratamiento de datos personales sin base jurídica, entra en juego el RGPD: hasta 20 millones de euros o el 4% del volumen de negocio mundial. Las sanciones reales a pymes españolas se mueven en horquillas de 2.000 € a 50.000 €, pero hay precedentes mucho más altos para grandes operadores.

Auditoría exprés en 10 minutos

  1. Abre tu web en modo incógnito.
  2. Inspecciona en DevTools si se descargan cookies o scripts antes de aceptar. Si las hay distintas a las técnicas, ya no cumples.
  3. Comprueba que existe botón "Rechazar todas" en la primera capa con la misma visibilidad que "Aceptar".
  4. Verifica que no hay casillas premarcadas en la pantalla de configuración.
  5. Revisa la política de cookies: lista actualizada, duración <24 meses, transferencias internacionales mencionadas.
  6. Confirma que la CMP envía señales correctas a Consent Mode v2.
  7. Registra el consentimiento (logs).
  8. Pon enlace permanente para revocar consentimiento.
  9. Define un calendario anual de revisión.
  10. Documenta todo en el Registro de Actividades de Tratamiento (RGPD).

Cómo lo resuelve Beply

En Beply integramos el cumplimiento de cookies con el resto del compliance de tu negocio:

  • Plantilla de banner conforme a la Guía AEPD julio 2023, con la opción "Rechazar todas" en la primera capa.
  • Configuración de Google Consent Mode v2 y compatibilidad con TCF v2.2.
  • Registro de consentimiento conservado y exportable, vinculable al perfil del cliente.
  • Política de cookies generada automáticamente a partir del inventario detectado.
  • Coordinación con tu Registro de Actividades de Tratamiento y con la documentación RGPD a través de nuestras integraciones.

Si tienes dudas sobre tu banner actual, contacta con el equipo de Beply y revisamos tu cumplimiento en menos de una hora. Si quieres un entorno integrado de gestión, consulta los planes o explora Beply para asesorías: tu despacho podrá supervisar el cumplimiento de cookies de toda su cartera de clientes desde un único panel.

#cookies#aepd#rgpd#consentimiento
Compartir:

¿Te ha resultado útil esta página?

¿Aún tienes dudas?

Habla con nuestro equipo y te resolvemos cualquier duda al instante.