Guía de cookies de la AEPD: cómo tener un banner conforme en 2025

·

El banner de cookies es uno de los elementos legales más visibles de cualquier web y, al mismo tiempo, uno de los más mal implementados. La Agencia Española de Protección de Datos (AEPD) publicó su Guía sobre el uso de las cookies y la ha ido actualizando para aclarar qué se exige exactamente a los responsables de sitios web en España. El marco normativo combina el artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE), que impone el deber de informar y recabar el consentimiento para las cookies no necesarias, con el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), que regulan la calidad y trazabilidad de ese consentimiento. En este artículo respondemos, pregunta a pregunta, qué tienes que hacer para que tu web cumpla.

¿Qué son las cookies y por qué su regulación afecta a casi cualquier web?

Las cookies son pequeños archivos de texto que un servidor deposita en el dispositivo del usuario cuando visita una web. No todas las cookies requieren consentimiento: la LSSI-CE y la Guía de la AEPD distinguen entre:

Si tu web usa Google Analytics con su configuración estándar, píxeles de Meta, etiquetas de Google Ads o botones sociales de LinkedIn o X que cargan scripts de terceros, necesitas banner con consentimiento real. No hay excepción por tamaño de empresa.

¿Qué es un consentimiento válido según el RGPD y la AEPD?

El artículo 4.11 del RGPD define el consentimiento como «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen». La AEPD traduce esto a la práctica de los banners con cuatro requisitos acumulativos:

  1. Libre: el acceso a la web no puede condicionarse a aceptar cookies no necesarias. Los llamados cookie walls —páginas que bloquean el contenido hasta que el usuario acepta— son contrarios al RGPD si no ofrecen una alternativa de pago o acceso sin seguimiento.
  2. Específico: el usuario debe poder elegir para qué finalidades consiente (analítica sí, publicidad comportamental no). Un único botón de «Aceptar todo» sin opciones granulares no cumple este requisito si hay múltiples finalidades.
  3. Informado: antes de consentir, el usuario debe saber qué cookies se instalarán, con qué finalidad, durante cuánto tiempo y si los datos se transferirán a terceros o fuera del Espacio Económico Europeo.
  4. Inequívoco: no vale el silencio ni continuar navegando como señal de consentimiento. Tampoco valen las casillas premarcadas. Se exige una acción afirmativa clara: pulsar un botón de «Aceptar» o configurar y guardar preferencias.

¿Qué debe incluir el banner de primera capa?

La AEPD distingue entre la primera capa (el banner que aparece al aterrizan en la web) y la segunda capa (el panel de configuración detallada). La primera capa debe contener como mínimo:

El punto crítico es la simetría entre aceptar y rechazar. La Guía de la AEPD es explícita: rechazar debe ser tan fácil como aceptar. No es conforme un diseño en el que «Aceptar todo» aparece como botón destacado de color llamativo y «Rechazar» está oculto como un enlace de texto pequeño, en gris, en la esquina inferior. Este tipo de diseño manipulador —denominado dark pattern— puede ser sancionado por la AEPD.

¿Qué son los dark patterns y por qué la AEPD los sanciona?

Los dark patterns (patrones oscuros o de diseño engañoso) son técnicas de interfaz que inducen al usuario a tomar decisiones que no reflejan su voluntad real. En el contexto del consentimiento de cookies, la AEPD ha identificado varios patrones prohibidos:

Dark pattern Ejemplo concreto Por qué no es conforme
Interfaz desequilibrada Botón «Aceptar» en verde prominente; «Rechazar» como texto gris sin botón No garantiza libertad de elección; sesga hacia la aceptación
Opciones preseleccionadas Todas las categorías de cookies marcadas por defecto en el panel de configuración El RGPD exige acción afirmativa; el silencio no es consentimiento
Solicitud de rechazo en múltiples pasos Aceptar: 1 clic; Rechazar: 3 clics y confirmación El rechazo debe ser tan fácil como la aceptación
Lenguaje engañoso «Usar cookies esenciales» como único alternativa aparente al «Aceptar todo» cuando en realidad hay más categorías Información incompleta; el consentimiento no puede ser informado
Re-solicitud continua El banner reaparece en cada visita aunque el usuario ya haya rechazado Presiona al usuario para que acabe aceptando por agotamiento

¿Qué debe contener la política de cookies (segunda capa)?

La política de cookies completa —accesible desde el banner y desde el pie de página— debe detallar para cada cookie o categoría de cookies:

Mantener este listado actualizado es una obligación continua: cada vez que se añade o cambia una herramienta de analítica, publicidad o chat en la web, hay que revisar y actualizar la política de cookies.

¿Qué es el registro del consentimiento y por qué importa?

El artículo 7.1 del RGPD establece que «el responsable del tratamiento será capaz de demostrar que el interesado dio su consentimiento». Esto se conoce como el principio de responsabilidad proactiva (accountability). En la práctica, significa que la plataforma de gestión del consentimiento (CMP, por sus siglas en inglés) que uses debe registrar, por cada usuario:

Si la AEPD abre una investigación o un usuario ejerce su derecho de acceso preguntando qué consentimientos has registrado, debes poder acreditarlo. Las soluciones de CMP como Cookiebot, OneTrust, Axeptio o similares almacenan este registro automáticamente; implementarlas directamente sin CMP y sin registro puede ser suficiente para que la AEPD considere que el consentimiento no es verificable.

¿Qué sanción puede imponer la AEPD por incumplimiento en materia de cookies?

Las infracciones relacionadas con el consentimiento de cookies tienen una doble base sancionadora:

En la práctica, las sanciones a pymes españolas por banners de cookies no conformes han oscilado entre los 3.000 € y los 150.000 €, dependiendo de la intencionalidad, el número de usuarios afectados, la duración del incumplimiento y la cooperación con la AEPD. La AEPD también puede ordenar la supresión de los datos recopilados sin consentimiento válido, lo que puede tener un impacto operativo mayor que la sanción económica en empresas que basan su modelo en datos de comportamiento.

¿Con qué frecuencia hay que renovar el consentimiento del usuario?

La Guía de la AEPD establece que el consentimiento no tiene una duración indefinida. Como regla orientativa, señala que transcurridos 24 meses desde que el usuario prestó su consentimiento sin haber vuelto a interactuar con el banner, sería razonable volver a solicitarlo para verificar que la voluntad sigue siendo la misma. Igualmente, si cambia de forma sustancial la política de cookies (nuevas finalidades, nuevos terceros, cambio de base de transferencia internacional), el consentimiento anterior puede no cubrir las nuevas circunstancias y conviene renovarlo.

¿Qué ocurre si mi web usa Google Analytics? ¿Es compatible con el RGPD?

Google Analytics en su configuración estándar (Universal Analytics, ya retirado, o GA4 con identificadores de usuario o de dispositivo habilitados) implica una transferencia internacional de datos a servidores de Google en Estados Unidos. Desde la sentencia Schrems II del Tribunal de Justicia de la UE (2020) y hasta la adopción del Marco de Privacidad de Datos UE-EE.UU. (DPF, vigente desde julio 2023), muchos reguladores europeos consideraron esta transferencia problemática. Con el DPF en vigor, Google se acogió al mismo y la transferencia vuelve a tener base legal, aunque el DPF puede ser impugnado ante el TJUE. La AEPD recomienda:

  1. Activar el modo de consentimiento (Consent Mode v2) de Google para que GA4 solo active sus cookies de medición cuando el usuario ha aceptado.
  2. Activar la anonimización de IP.
  3. Revisar la configuración de retención de datos y desactivar el uso de datos para señales de Google si no es necesario.
  4. Documentar la base de la transferencia internacional en la política de cookies.

Si la web usa GA4 sin consentimiento previo ni modo de consentimiento activado, la recogida de datos es contraria al RGPD incluso si Google opera bajo el DPF, porque falta el consentimiento del usuario.

¿Cómo acompañamos desde Summum Consultoría?

La adecuación del banner y la política de cookies no es solo un ejercicio de redacción: implica auditar las cookies reales que instala la web (que con frecuencia son más de las que el responsable cree), configurar correctamente la plataforma de gestión del consentimiento y mantenerla actualizada cuando cambia la arquitectura tecnológica del sitio. Desde Summum Consultoría realizamos el análisis técnico-legal completo: escaneo de cookies, redacción de la política, configuración de la CMP y formación al equipo responsable de la web.

Si además necesitas revisar el conjunto de obligaciones de tu tienda online bajo la LSSI y el RGPD —aviso legal, política de privacidad, condiciones de venta—, puedes consultar nuestro artículo sobre requisitos legales de una tienda online. Y si tu organización tiene la obligación de designar un DPO o quiere externalizar esa función, te explicamos los criterios en nuestra guía sobre DPO externo: cuándo es obligatorio.

Preguntas frecuentes

¿Una web informativa sin tienda online también necesita banner de cookies?

Sí, si instala cookies que no son estrictamente necesarias para el servicio. La mayoría de las webs informativas usan Google Analytics, botones de redes sociales o píxeles de seguimiento que activan cookies de tercero. En todos estos casos se requiere consentimiento previo, con independencia de que haya o no transacciones económicas en el sitio.

¿Puedo seguir contando las visitas si el usuario rechaza las cookies?

Sí, pero de forma limitada. Existen métodos de medición de tráfico que no usan cookies ni identificadores persistentes y que, por tanto, no requieren consentimiento: analítica de servidor basada en logs, contadores de visitas sin identificación de usuario o herramientas como Matomo configurado en modo sin cookies. Estos métodos dan métricas menos granulares que GA4, pero son conformes sin necesidad de banner de consentimiento para esa función concreta.

¿Qué ocurre con las cookies de redes sociales instaladas por los botones de compartir?

Los botones de compartir de Facebook, X (antes Twitter), LinkedIn o Instagram que cargan scripts de esas plataformas instalan cookies de tercero en cuanto el usuario carga la página, antes de que pulse el botón. Para evitarlo sin renunciar a los botones, existen soluciones de two-click o de carga diferida: el botón no activa el script hasta que el usuario hace clic en él (o hasta que ha dado su consentimiento para esa categoría). Esta configuración es la única conforme si el usuario no ha consentido las cookies de redes sociales.

¿Es suficiente con instalar un plugin de cookies en WordPress?

Depende del plugin y de su configuración. Muchos plugins de cookies para WordPress generan un banner, pero no bloquean efectivamente las cookies hasta que el usuario consiente: instalan las cookies de Google Analytics o Meta en la primera carga, antes de que aparezca el banner. Para ser conforme, el plugin debe implementar bloqueo previo al consentimiento (prior blocking), compatibilidad con el modo de consentimiento de Google y registro auditable de las preferencias del usuario. Una auditoría técnica es necesaria para confirmar que el plugin elegido cumple estos requisitos en la práctica.