Legal Guides·18 min de lectura
Política de cookies y banner de consentimiento: guía RGPD y LSSI 2026
El 1 de septiembre de 2025 la CNIL multó a Shein con 150 millones de euros: cookies publicitarias depositadas antes de que el usuario tocara el banner, botón "Rechazar todo" que en realidad no rechazaba nada, y un segundo banner que solo dejaba aceptar. El mismo mes, la CNIL impuso 325 millones a Google por motivos similares. Las cookies son el vector legal más sancionado en Europa, por encima incluso de las brechas de seguridad clásicas.
Esta guía cubre todo lo que tu política de cookies y tu banner de consentimiento deben tener para cumplir el Directiva ePrivacy 2002/58/CE, el artículo 22.2 de la LSSI-CE y la Guía de Cookies de la AEPD de julio 2023. Verás los tipos de cookies, las reglas del banner, los errores que generan multa, una plantilla copiable y un avance de los privacy signals automatizados que la Comisión propuso en noviembre de 2025.
Plot twist: el 11 de febrero de 2025 la Comisión Europea retiró el Reglamento ePrivacy tras 8 años bloqueado en negociación. Si has leído un artículo que dice "ePrivacy llegará pronto", está desactualizado: las cookies en 2026 siguen reguladas por la Directiva ePrivacy de 2002, transpuesta por cada Estado miembro. En España eso significa LSSI + Guía AEPD.
Qué es (y qué no es) una política de cookies
La política de cookies es el documento que detalla, cookie por cookie, qué archivos se descargan en el dispositivo del usuario cuando entra a tu web, para qué sirven, quién los gestiona y cuánto tiempo permanecen. Es distinta de la política de privacidad: ésta cubre el tratamiento de cualquier dato personal; aquélla se centra exclusivamente en el almacenamiento y acceso a información en el terminal del usuario, regulado por la ePrivacy.
Aunque legalmente puedes meter las dos en un solo documento, la práctica recomendada por la AEPD y casi todas las autoridades europeas es publicarlas por separado. Razón principal: el usuario debe poder retirar el consentimiento de cookies de forma granular y rápida. Si la información de cookies está enterrada en una política de privacidad de 30 páginas, el ejercicio del derecho deja de ser tan fácil como darlo, y eso es por sí mismo un incumplimiento.
Aviso legal ≠ política de cookies ≠ política de privacidad. Son tres documentos con tres marcos normativos: el aviso legal lo exige la LSSI-CE Art. 10 (datos de la empresa); la política de cookies, el Art. 22.2 LSSI; la política de privacidad, los Arts. 13-14 RGPD. Mezclarlos confunde al usuario y, peor, dificulta probar que diste información completa cuando llegue una inspección.
Las tres leyes que regulan cookies en España (2026)
Hay tres marcos normativos que se solapan. Saber qué pesa más en cada situación es lo que separa una política bien hecha de una "plantilla descargada de internet".
1. Directiva ePrivacy 2002/58/CE
El marco europeo de las "comunicaciones electrónicas". Su artículo 5.3 es la base legal de toda regulación de cookies en la UE: prohíbe almacenar o acceder a información en el terminal del usuario sin consentimiento previo, salvo excepciones técnicas estrictas. La Directiva no es directamente aplicable: cada Estado miembro la transpone en su legislación nacional.
2. LSSI-CE artículo 22.2 (España)
La transposición española. Obliga a obtener consentimiento previo del usuario antes de instalar cualquier cookie que no sea estrictamente necesaria para prestar el servicio. Cualquier infracción se sanciona como infracción leve (hasta 30.000€), grave (hasta 150.000€) o muy grave (hasta 600.000€), según gravedad y reincidencia.
3. RGPD (cuando hay datos personales)
Si la cookie identifica al usuario o permite hacerlo (login persistente, fingerprinting, IDs publicitarios, perfilado), se activa además el RGPD. La sanción puede sumar al techo LSSI: hasta 4% de facturación global o 20 millones de euros, lo que sea mayor. La doble vía es la que ha disparado los importes en 2025.
¿Y el Reglamento ePrivacy?
El Reglamento ePrivacy se propuso en 2017 para sustituir a la Directiva. La Comisión lo retiró formalmente el 11 de febrero de 2025 después de 8 años de bloqueo en el Consejo. En su lugar, el 19 de noviembre de 2025 la Comisión publicó una propuesta de reforma del RGPD que incluye, entre otras cosas, el reconocimiento legal de los automated privacy signals (señales automatizadas de preferencia tipo Global Privacy Control). Hablaremos de eso al final del artículo: es el cambio más relevante que llega en 2026.
Por qué nadie va a unificar esto pronto: al retirarse el Reglamento ePrivacy, la armonización europea queda en el aire. Cada Estado miembro seguirá interpretando la Directiva de 2002 con sus propias guías. Para una web que opera en España y Francia, esto significa cumplir AEPD + CNIL en paralelo, con criterios parecidos pero no idénticos.
Tipos de cookies: la clasificación que decide si necesitas consentimiento
La Guía AEPD distingue cookies por finalidad, origen y duración. La clasificación importa porque solo unas necesitan consentimiento previo. Las demás puedes instalarlas directamente.
Por finalidad (la clasificación que más impacta)
| Tipo | Para qué sirven | ¿Consentimiento? |
|---|---|---|
| Técnicas estrictamente necesarias | Sesión, carrito de compra, login, balanceo de carga, CSRF, idioma básico | No (exceptuadas) |
| De preferencias (algunas) | Recordar idioma, modo oscuro, tipografía elegida | No, si son estrictamente funcionales |
| Analíticas | Medir uso del sitio, métricas de tráfico, embudos | Sí (incluso si son first-party como GA4) |
| Publicitarias / marketing | Retargeting, frecuencia de anuncios, atribución | Sí, siempre |
| De personalización | Recomendar contenido por historial, A/B testing por usuario | Sí (decisión de la AEPD 2023) |
Por origen y duración
- First-party: las instala tu propio dominio. Suelen tener menos riesgo legal, pero si son de marketing necesitan consentimiento igual.
- Third-party: las instalan dominios distintos al tuyo (Google, Meta, HubSpot…). Riesgo legal alto: tienes que listarlas y, en muchos casos, firmar acuerdos de tratamiento con el proveedor.
- De sesión: se borran al cerrar el navegador. Suelen ser técnicas.
- Persistentes: permanecen en el dispositivo días, meses o años. La AEPD recomienda máximo 24 meses; pasar de ahí sin justificación es indicio de incumplimiento.
Cookies reales que casi todas las webs tienen
| Cookie | Proveedor | Finalidad | Duración | ¿Consentimiento? |
|---|---|---|---|---|
| _ga, _ga_* | Google Analytics 4 | Analítica | 2 años | Sí |
| _gid | Google Analytics | Analítica | 24 horas | Sí |
| _fbp, fr | Meta Pixel | Marketing | 3 meses | Sí |
| VISITOR_INFO1_LIVE, YSC | YouTube embed | Marketing | 6 meses / sesión | Sí |
| _hjid | Hotjar | Analítica | 1 año | Sí |
| __stripe_mid, __stripe_sid | Stripe | Anti-fraude (técnica) | 1 año / 30 min | No (exceptuada) |
| _cfduid | Cloudflare | Seguridad (técnica) | 30 días | No (exceptuada) |
| i18n_redirected | Tu app | Idioma del usuario | 1 año | No (técnica) |
Trampa frecuente: Google Analytics 4, incluso configurado con IP anonymization y sin User-ID, sigue requiriendo consentimiento en la UE. Funcionalidades como Google Signals, Enhanced Conversions o cualquier integración con Ads disparan tratamientos adicionales que la AEPD ya considera no exceptuados. Si quieres analítica sin consentimiento, mira alternativas como Plausible, Fathom o servidores con tu propio Matomo.
El banner de consentimiento legal en 2026
El banner es la pieza más visible y la que más multas genera. La Guía AEPD 2023, alineada con las Directrices 03/2022 del EDPB sobre patrones engañosos, fija reglas concretas que tu CMP debe cumplir.
Las tres acciones obligatorias
El banner debe ofrecer, en la primera capa, tres opciones equivalentes:
- Aceptar todo
- Rechazar todo (con la misma facilidad que aceptar)
- Configurar / Personalizar (granularidad por finalidad mínimo)
Si tu banner de hoy solo tiene "Aceptar" y un enlace pequeño "Más info", estás incumpliendo. Si "Rechazar todo" requiere abrir un panel, hacer clics adicionales y desmarcar casillas, también.
Reglas de igualdad visual
- Mismo tamaño en aceptar y rechazar
- Mismo color o, al menos, el mismo nivel de contraste con el fondo
- Mismo número de clicks para aceptar y rechazar (la CNIL multó a Google con 150M€ en 2022 por requerir 5 clicks vs 1)
- Misma posición jerárquica: si aceptar es un botón, rechazar también
- Sin nudging: nada de "Aceptar (recomendado)" o usar verde solo en aceptar y gris en rechazar
Cookie wall: por qué es ilegal
Un cookie wall bloquea el acceso al sitio si el usuario no acepta. La AEPD lo prohíbe como regla general: el consentimiento bajo coacción no es consentimiento libre. La excepción permitida es ofrecer una alternativa equivalente sin cookies, que puede ser de pago (modelo "consent or pay" que algunos medios europeos usan, aún en zona gris pero hasta ahora tolerado por algunas autoridades).
Banner correcto vs incorrecto
// ❌ INCORRECTO (multa garantizada)
┌──────────────────────────────────────────────────┐
│ Usamos cookies para mejorar tu experiencia. │
│ Más información en nuestra política. │
│ │
│ [ ACEPTAR (verde) ] │
└──────────────────────────────────────────────────┘
// ❌ INCORRECTO (Shein style — 150M€)
┌──────────────────────────────────────────────────┐
│ Usamos cookies. │
│ │
│ [Configurar] [Rechazar todo] [ ACEPTAR ALL ] │
│ ← gris ← gris ← verde grande │
└──────────────────────────────────────────────────┘
(Y al pulsar "Rechazar todo" las cookies seguían
instalándose. Eso es lo que la CNIL detectó.)
// ✅ CORRECTO (Guía AEPD 2023)
┌──────────────────────────────────────────────────┐
│ 🍪 Usamos cookies │
│ Cookies técnicas, analíticas y de marketing. │
│ Las analíticas y de marketing requieren tu │
│ consentimiento. Más info en /cookies │
│ │
│ [ Rechazar todo ] [ Configurar ] [ Aceptar ] │
│ mismo tamaño mismo tamaño mismo tamaño │
│ mismo color mismo color mismo color │
└──────────────────────────────────────────────────┘Caso Shein, 150M€ (CNIL, septiembre 2025): la web instalaba cookies publicitarias antes de que el usuario interactuara con el banner. El primer banner no informaba de la finalidad publicitaria. Un segundo banner solo permitía aceptar. Y, lo más grave: cuando el usuario pulsaba "Rechazar todo" o retiraba el consentimiento, nuevas cookies se seguían instalando. Lección: tu CMP debe bloquear scripts de terceros antes de cualquier respuesta del usuario, y "Rechazar todo" tiene que rechazar de verdad. Fuente: CNIL.
Errores frecuentes que generan multa
La gran mayoría de sanciones AEPD por cookies vienen de los mismos diez errores. Repasa tu sitio en cinco minutos:
- Cookies disparadas antes del consentimiento. El error más común y el más caro. Tu CMP debe bloquear todo script de terceros hasta que el usuario decida.
- "Si sigues navegando, aceptas". Anulado por el TJUE en Planet49 (C-673/17). El scroll no es consentimiento.
- Casillas pre-marcadas. Mismo caso. Tienen que estar desmarcadas por defecto, salvo las técnicas exceptuadas.
- "Rechazar todo" oculto o con clicks extra. Mismo nivel de fricción que "Aceptar todo".
- Sin botón "Rechazar" en primera capa. Solo "Aceptar" y un enlace "Configurar" no cumple.
- Granularidad falsa. Un único toggle "Cookies de marketing" agrupando 40 proveedores no es granular: el usuario debe poder elegir por finalidad concreta.
- No volver a pedir consentimiento al cabo de 24 meses. El consentimiento caduca; vencido el plazo hay que renovarlo.
- Cookie wall puro. "Acepta o no entras" sin alternativa.
- Política de cookies sin tabla detallada. Tienes que listar cada cookie con su nombre, proveedor, finalidad, duración y categoría. Frases genéricas no cumplen.
- "Rechazar todo" que no rechaza. El error de Shein. Un test técnico antes de publicar evita 150M€.
Atención al CMP que usas: muchas plantillas gratuitas (incluso de proveedores conocidos) traen configuración por defecto incorrecta para España. Antes de instalar, revisa que tenga: bloqueo de scripts previo al consentimiento, botón "Rechazar todo" en primera capa, granularidad por finalidad y caducidad ≤ 24 meses. Si tu CMP no lo permite, cambia de CMP.
Plantilla de política de cookies
Estructura mínima viable. Cópiala, sustituye los placeholders y, sobre todo, completa la tabla con tus cookies reales (no las inventes ni copies de otra empresa).
1. Qué son las cookies
Pequeños archivos de datos que tu navegador almacena
cuando visitas un sitio web. Permiten recordar
información (idioma, sesión) o registrar tu actividad
(analítica, publicidad).
2. Quién es el responsable
- Razón social: [TU EMPRESA, S.L.]
- NIF: [B12345678]
- Email: [privacidad@tu-dominio.com]
3. Qué cookies usamos (tabla completa)
┌─────────────────┬──────────────┬────────────┬───────────┬───────────┐
│ Nombre │ Proveedor │ Finalidad │ Duración │ Tipo │
├─────────────────┼──────────────┼────────────┼───────────┼───────────┤
│ session │ [tu-dominio] │ Login │ Sesión │ Técnica │
│ _ga, _ga_XXXX │ Google │ Analítica │ 2 años │ Tercero │
│ _fbp │ Meta │ Marketing │ 3 meses │ Tercero │
│ ... │ ... │ ... │ ... │ ... │
└─────────────────┴──────────────┴────────────┴───────────┴───────────┘
4. Base legal
- Cookies técnicas exceptuadas: Art. 22.2 LSSI
- Cookies analíticas y marketing: consentimiento del
usuario (Art. 6.1.a RGPD + Art. 22.2 LSSI)
5. Plazo del consentimiento
El consentimiento que prestes vence a los [12-24] meses.
Pasado ese plazo te volveremos a preguntar.
6. Cómo retirar el consentimiento
- Pulsa el icono "Preferencias de cookies" siempre
accesible en el pie de página.
- Borra las cookies desde tu navegador.
- Cambia tu decisión en /cookies en cualquier momento.
7. Transferencias internacionales
Algunos proveedores (Google, Meta) almacenan datos en
EE.UU. La transferencia se ampara en cláusulas
contractuales tipo y, desde julio 2023, el EU-US Data
Privacy Framework.
8. Derechos
Acceso, rectificación, supresión, oposición. Reclamación
ante la AEPD (www.aepd.es).
9. Cambios
Versión [1.0] - Última actualización: [fecha]Esta plantilla es esqueleto. La tabla de cookies es lo que más se mira en una inspección: si está incompleta o desactualizada, la sanción va por información insuficiente aunque el banner sea perfecto.
Auditoría de cookies: cómo saber qué tienes en tu propia web
El primer paso de cualquier política de cookies seria es escanear tu sitio para saber qué se descarga realmente. La mayoría de fundadores se sorprende al descubrir 30-50 cookies de terceros que no recordaban haber añadido (vienen de embeds de YouTube, scripts de marketing, plugins).
Cómo escanear tu web
- DevTools del navegador: abre tu web, F12, pestaña Application → Cookies. Verás el listado completo del dominio.
- Cookie scanners gratuitos: CookieServe, CookieMetrix, Termly Scanner. Generan un informe automático.
- Tu CMP: los CMPs serios (Cookiebot, Iubenda, OneTrust, Termly) escanean y mantienen actualizada la tabla.
Cuándo volver a pedir consentimiento
Hay tres situaciones en las que obligatoriamente tienes que renovar el consentimiento:
- Han pasado más de 24 meses desde que el usuario consintió.
- Has añadido un proveedor nuevo (un nuevo píxel de marketing, una nueva herramienta de analítica).
- Has cambiado la finalidad de cookies existentes (por ejemplo, GA4 lo configuras ahora para enviar datos a Ads).
El atajo: genera tu política de cookies con Termerly
Mantener una política de cookies actualizada cookie por cookie, y sincronizada con un banner que cumpla la Guía AEPD 2023, es trabajo continuo. Por eso construimos el generador de políticas de cookies de Termerly: te pregunta qué herramientas usas (Analytics, Pixel, Hotjar, Stripe…) y produce una política con tabla completa de cookies, base legal correcta y enlace al panel de configuración.
Pruébalo en 3 minutos: termerly.com/es/cookie-policy-generator. Detecta automáticamente las cookies más comunes y te avisa por email cuando una norma o un proveedor cambie.
Lo que viene en 2026: privacy signals automatizados
El 19 de noviembre de 2025 la Comisión Europea publicó su propuesta formal de reforma del RGPD. El cambio más relevante para cookies es el reconocimiento legal de los automated privacy signals: señales que el navegador envía con cada petición HTTP indicando si el usuario quiere o no ser rastreado.
El estándar de facto es Global Privacy Control (GPC): una cabecera Sec-GPC: 1 que Firefox, Brave y DuckDuckGo ya envían por defecto, y que Safari permite activar. La propuesta convierte estas señales en oposición legalmente vinculante al tratamiento de datos. Implicaciones prácticas:
- Si tu CMP detecta Sec-GPC: 1, debe interpretarlo como "rechazar todo" automático y no mostrar el banner.
- Ignorar la señal cuando esté legalmente vinculante es base de sanción.
- Los CMPs que no soporten GPC quedarán fuera de cumplimiento durante 2026.
Adelántate: aunque la propuesta aún tiene que pasar por el Parlamento Europeo, California ya hace cumplir GPC desde 2021 (CCPA). Configurar tu CMP para respetarlo hoy te adelanta al cambio sin coste extra.
Conclusión
Las cookies son, en 2026, el área de cumplimiento más activamente sancionada en Europa. La buena noticia: las reglas son claras y prácticamente las mismas en todos los países UE. Los tres puntos críticos que no puedes saltarte:
- Bloqueo previo al consentimiento. Ningún script de terceros se ejecuta hasta que el usuario decida. Es el error que más caro sale.
- Igualdad visual y de fricción entre aceptar y rechazar. Mismo tamaño, mismo color, mismo número de clicks. Si esto no se cumple, lo demás da igual.
- Tabla de cookies real y actualizada. Cada cookie con nombre, proveedor, finalidad, duración. Sin invenciones, sin copia de otra empresa.
Si tu sitio no cumple los tres, abre tu banner ahora y empieza por bloquear los scripts. Si vas a redactar tu primera política de cookies, usa la plantilla guiada de Termerly con detección automática para no olvidar ninguna.
Preguntas frecuentes
¿La política de cookies puede ir dentro de la política de privacidad?
Legalmente sí, pero la AEPD desaconseja mezclarlas porque dificulta el ejercicio del derecho a retirar el consentimiento de forma granular. La práctica recomendada es publicar dos documentos enlazados entre sí.
¿Necesito un CMP de pago tipo OneTrust o Cookiebot, o vale uno gratis?
Funcionan los gratuitos siempre que cumplan: bloqueo previo al consentimiento, "rechazar todo" en primera capa, granularidad por finalidad, caducidad de consentimiento ≤ 24 meses y log auditable. Cookiebot, Iubenda y Termly tienen capas gratuitas que cumplen para webs pequeñas. Los CMP open source como Klaro o cookieconsent (Orest Bida) también valen si los configuras bien.
¿Qué pasa si el usuario navega sin pulsar nada?
No es consentimiento. Hasta que el usuario haga clic activo en "Aceptar" o configure y guarde, no puedes instalar cookies que no sean técnicas exceptuadas. El silencio nunca equivale a "sí".
¿Las cookies de Google Analytics 4 sin User-ID requieren consentimiento?
Sí. Aunque GA4 ya no usa identificadores como Universal Analytics, sigue siendo una cookie analítica de tercero. La AEPD ha aclarado en su Guía 2023 que las analíticas no son exceptuadas, ni siquiera con anonymización de IP.
¿El cookie wall es legal en algún caso?
El cookie wall puro (acepta o no entras) no. La excepción permitida por algunas autoridades europeas es el modelo "consent or pay": ofrecer una alternativa de pago equivalente al usuario que rechaza cookies. Aún está en zona gris y la AEPD no se ha pronunciado tan favorablemente como autoridades como la francesa.
¿Cuántos meses dura el consentimiento?
La Guía AEPD recomienda un máximo de 24 meses. Pasado ese plazo debes pedir consentimiento de nuevo. Algunas empresas optan por 12 meses para reducir riesgo, especialmente en sectores con auditorías frecuentes.
¿La reforma del RGPD de 2026 me obliga a cambiar mi banner?
La propuesta del 19 de noviembre de 2025 introduce el reconocimiento legal de los privacy signals (Global Privacy Control). Si tu CMP no detecta la cabecera Sec-GPC: 1 y la trata como "rechazar todo", tendrás que actualizarlo. La propuesta aún tiene que aprobarse, pero los CMPs serios ya están preparándose. No esperes al último día.
También te puede gustar...
Mantente al día
Suscríbete para recibir los nuevos artículos por correo.