RGPD y cookies: Guía de conformidad completa

Las cookies siguen siendo una de las principales fuentes de sanciones por parte de la AEPD (Agencia Española de Protección de Datos). En 2024, varias empresas españolas recibieron multas por banners de cookies engañosos, consentimiento no válido o cookies analíticas activadas sin autorización. La buena noticia: configurar correctamente las cookies no es complicado si sigues las reglas.

Marco legal en España

En España, las cookies están reguladas por dos normas complementarias:

• RGPD (Reglamento General de Protección de Datos): define las bases legales del tratamiento de datos personales, incluyendo los recopilados por cookies
• LSSI-CE (Ley de Servicios de la Sociedad de la Información): transpone la Directiva ePrivacy y regula el uso de cookies y tecnologías similares

La AEPD publicó la "Guía sobre el uso de las cookies" (actualizada en 2023) que establece los criterios de cumplimiento en España.

Categorías de cookies

Cookies técnicas (exentas de consentimiento)

No requieren consentimiento previo:

• Cookies de sesión de usuario
• Cookies de seguridad (CSRF tokens)
• Cookies de personalización de interfaz (idioma, moneda)
• Cookies de equilibrado de carga
• Cookies de reproductor multimedia

Cookies analíticas (requieren consentimiento)

La AEPD considera que las cookies analíticas sí requieren consentimiento, incluso cuando se anonimiza la IP. Excepciones limitadas:

• Google Analytics con anonimización de IP y sin compartir datos: algunos DPA europeos lo aceptan, la AEPD mantiene una posición más estricta
• Analítica propia sin transferencia a terceros: puede argumentarse como interés legítimo, pero es arriesgado

Recomendación: pedir siempre consentimiento para cookies analíticas.

Cookies de marketing (requieren consentimiento)

Siempre requieren consentimiento explícito:

• Cookies de publicidad (Google Ads, Meta Pixel)
• Cookies de remarketing
• Cookies de redes sociales (botones compartir)
• Cookies de seguimiento cross-site

Requisitos del banner de cookies

Lo que DEBE tener

1. Primera capa visible: información clara y accesible al acceder al sitio
2. Botón de aceptar: consentimiento afirmativo para cookies no esenciales
3. Botón de rechazar: tan visible y accesible como el de aceptar (requisito AEPD)
4. Enlace a política de cookies: documento detallado con todas las cookies utilizadas
5. Opción de configurar: permitir selección granular por categorías

Lo que NO debe hacer

• Cookie walls: bloquear el acceso al contenido si no se aceptan cookies (sancionado por la AEPD)
• Scroll como consentimiento: navegar por la página NO equivale a consentir
• Casillas premarcadas: las categorías opcionales deben estar desmarcadas por defecto
• Diseño engañoso (dark patterns): botón de rechazar oculto, colores que desincentivan el rechazo
• Activar cookies antes del consentimiento: ninguna cookie no esencial debe cargarse antes de que el usuario elija

Implementación técnica

Bloqueo previo de scripts

Antes de obtener el consentimiento, los scripts de terceros deben estar bloqueados:

<!-- ❌ INCORRECTO: se carga antes del consentimiento -->
<script src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script>

<!-- ✅ CORRECTO: se carga solo tras consentimiento -->
<script type="text/plain" data-cookiecategory="analytics"
  src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script>

Gestión del consentimiento (CMP)

Utiliza un Consent Management Platform (CMP) que cumpla con:

• Registro del consentimiento con fecha y hora
• Posibilidad de retirar el consentimiento en cualquier momento
• Granularidad por categorías
• Renovación del consentimiento periódica (la AEPD recomienda cada 24 meses máximo)

Opciones populares en España: Cookiebot, OneTrust, Cookie Script, Complianz.

Política de cookies

Tu política de cookies debe incluir:

• Definición de qué son las cookies
• Lista completa de cookies con: nombre, proveedor, finalidad, duración, tipo
• Categorías utilizadas
• Cómo aceptar, rechazar o configurar preferencias
• Cómo retirar el consentimiento
• Datos de contacto del responsable del tratamiento
• Enlace a la política de privacidad

Auditoría de cookies

Herramientas para auditar

1. WarDek: escanea tu sitio y detecta cookies activas, clasificación y conformidad
2. Herramientas de navegador: DevTools → Application → Cookies
3. Cookiebot scanner: escaneo gratuito limitado
4. Chrome Lighthouse: detecta cookies de terceros

Qué verificar

• ¿Se activan cookies antes del consentimiento?
• ¿El banner tiene botón de rechazar visible?
• ¿Las casillas están desmarcadas por defecto?
• ¿Se puede retirar el consentimiento fácilmente?
• ¿La política de cookies está actualizada y completa?
• ¿Se renueva el consentimiento periódicamente?
• ¿Las cookies declaradas coinciden con las realmente activas?

Sanciones de la AEPD por cookies

La AEPD ha impuesto sanciones significativas relacionadas con cookies:

• Multas de 30.000€ a 100.000€ por banners sin opción de rechazar
• Sanciones por cookies analíticas activadas sin consentimiento
• Apercibimientos por políticas de cookies incompletas

Con la aplicación de NIS2 y la creciente presión regulatoria, las inspecciones son cada vez más frecuentes.

Cómo WarDek te ayuda

WarDek incluye un módulo específico de auditoría de cookies:

• Detección automática: identifica todas las cookies activas en tu sitio
• Clasificación: categoriza cada cookie (técnica, analítica, marketing)
• Verificación de consentimiento: comprueba si las cookies se activan antes del consentimiento
• Informe de conformidad: puntuación RGPD/LSSI con recomendaciones concretas

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.