La guía oficial de GDPR.eu sobre cookies sigue siendo una de las referencias más consultadas del año cuando alguien arranca un proyecto web nuevo. El motivo: el consentimiento de cookies está partido entre dos normas (RGPD para datos personales, ePrivacy Directive de 2002/2009 para el resto), y la ePrivacy Regulation prometida lleva años sin entrar en vigor. El resultado es un terreno donde es muy fácil cumplir mal y muy caro cumplir bien. Esta guía actualizada cubre qué hay que tener en 2026, qué patrones de banner funcionan sin destruir la UX, y los errores típicos que sancionan los reguladores europeos.

El marco: dos normas para una decisión

RGPD

Aplica cuando las cookies procesan datos personales (identifican al usuario, perfilan, hacen tracking individual). La cookie de session-id que solo gestiona login técnico no es personal data. La cookie de Facebook Pixel sí lo es.

ePrivacy Directive

Aplica a TODAS las cookies que no sean estrictamente necesarias para prestar el servicio, sean o no datos personales. Por eso necesitas consentimiento para Google Analytics aunque el RGPD por sí solo no lo exigiría con ciertas configuraciones.

Resultado: en la práctica, cualquier cookie que no sea estrictamente necesaria requiere consentimiento explícito antes de plantarse en el navegador del usuario. El "continuar navegando implica aceptar" murió hace años, pero todavía aparece en muchos sitios.

Las cuatro reglas operativas del consent banner

1. Asimetría visual ya no es aceptable

Botón "Aceptar" verde grande + enlace "Configurar" pequeño y gris = banner sancionable. Los reguladores españoles y franceses lideran sanciones específicas a este patrón. La opción "Rechazar" debe estar al mismo nivel visual que "Aceptar".

2. No cookies hasta que el usuario decida

El banner se carga, pero NINGUNA cookie no estricta se planta hasta que el usuario hace clic en "Aceptar" o decide qué categorías. Esto incluye trackers de analytics. Si tu Google Analytics se carga al entrar en la home, ya estás incumpliendo.

3. El usuario debe poder cambiar de opinión fácilmente

Un link permanente (footer o icono flotante) que reabre las preferencias. No vale "haz clic en cookies de tu navegador y borra manualmente".

4. Registro probatorio de versión y timestamp

Cuando llegue la reclamación (y ya hemos visto que la AEPD recibió un 64% más en 2025), tu defensa es probar qué política aceptó el usuario en qué fecha. Un banner que solo guarda "sí/no" sin trazabilidad no defiende.

Buena prácticaPatrón a evitar
"Aceptar" y "Rechazar" con diseño simétrico"Aceptar" prominente, "Rechazar" oculto
Categorías de cookies expandibles con explicaciónCategorías ocultas o nombres genéricos sin descripción
Permite cambio de preferencias en cualquier momentoUna sola oportunidad al cargar el sitio
Log con versión + timestamp por aceptaciónSolo guarda "aceptado: true"

Los errores que sancionan los reguladores

Casos sonados de 2024-2025 incluyen sanciones a sitios por: cargar Google Analytics antes del consentimiento (CNIL Francia), no ofrecer rechazar de un solo clic (AEPD España), incluir cookies de marketing en la categoría "estrictamente necesarias" (Garante Italia). Los tres son evitables con un consent banner bien diseñado.

Cómo afecta a tu Privacy Policy y Cookie Policy

El consent banner no opera solo. Necesita estar respaldado por:

Cookie Policy detallada

  • Lista exhaustiva de cookies que usas, agrupadas por categoría
  • Por cada una: nombre, propósito, duración, si es de tercero (y quién)
  • Cómo deshabilitarlas (incluyendo enlace al banner)

Privacy Policy referenciando cookies

  • Sección que enlaza a la Cookie Policy
  • Base legal específica (consentimiento) para las que aplica
  • Información sobre transferencias internacionales si los proveedores están fuera UE (Google Analytics, Meta Pixel, etc.)

El elefante en la habitación: ePrivacy Regulation

Llevamos años esperando que la ePrivacy Regulation (que sustituiría a la directiva de 2002) entre en vigor. En 2026 sigue sin fecha. La buena noticia: cuando llegue, simplificará el marco actual. La mala: hasta entonces, vives en un sistema dual que cada autoridad nacional interpreta ligeramente distinto.

La recomendación práctica: implementa con el estándar más estricto que conozcas (típicamente CNIL francés) y reduces fricción operativa cuando una norma nueva llegue. La diferencia técnica de cumplir el estricto vs el laxo es mínima; la diferencia ante una sanción es enorme.

Checklist rápido para validar tu setup actual

  1. ¿El banner aparece antes de cargar cualquier cookie no estricta? □ Sí / □ No
  2. ¿"Aceptar" y "Rechazar" tienen el mismo peso visual? □ Sí / □ No
  3. ¿Existe un enlace permanente para cambiar preferencias? □ Sí / □ No
  4. ¿Cada aceptación queda registrada con timestamp + versión de política? □ Sí / □ No
  5. ¿Tu Cookie Policy lista todas las cookies con propósito, duración, tercero? □ Sí / □ No
  6. ¿Cumple las exigencias de la CNIL (estándar más estricto en UE)? □ Sí / □ No

Cuatro "No" o más = riesgo regulatorio real. Cero o uno = setup razonable.

"Mantener políticas de cookies vigentes requiere esfuerzo continuo a medida que la regulación evoluciona" (síntesis de la guía oficial de GDPR.eu sobre cookies). La frase parece obvia hasta que llega la auditoría.

Conclusión

Las cookies son la materia regulatoria más visible y sancionada en UE. La diferencia entre un sitio que aprueba una inspección y uno que paga sanción no es tener consent banner: es tenerlo bien implementado, con simétrica honestidad, trazabilidad probatoria y mantenimiento al día. Hacerlo bien la primera vez cuesta una tarde; arreglarlo bajo expediente cuesta meses.

Si quieres centralizar la gestión de Cookie Policy, Privacy Policy y consent banner con SDK que registra qué versión aceptó cada usuario en cada momento, Termerly es gratis e incluye el SDK del consent banner que muchos competidores cobran aparte.