Guía completa sobre la normativa AEPD de cookies para tu web

  • Publicado en: GENERAL
Tabla de Contenidos
Protección de datos en sitios web: detalle de “Security” que ilustra normativa AEPD y consentimiento de cookies.

Normativa AEPD de cookies: guía práctica y actualizada (2025)

Cumplir con la normativa de cookies al diseñar una página web en España no va de instalar un banner “bonito”, sino de controlar la carga de scripts según consentimiento, explicar con claridad qué haces y demostrar que respetas la voluntad del usuario. Aquí tienes una guía práctica, directa al grano.

palabra secure que simboliza la seguridad y el cumplimiento de la normativa AEPD de cookies y la protección de datos en sitios web

Qué exige la AEPD: marco legal (RGPD, LSSI, ePrivacy)

La base jurídica de las cookies en España se apoya en tres pilares: RGPD (datos personales), Directiva ePrivacy (art. 5.3) y LSSI (art. 22.2). En la práctica, esto se traduce en:

  1. Información previa y completa antes de instalar cualquier cookie no exenta.

  2. Consentimiento válido (libre, informado, específico e inequívoco) para las no exentas.

  3. Posibilidad de retirar o cambiar la elección con la misma facilidad con la que se dio.

  4. Responsabilidad proactiva: debes poder demostrar cómo y cuándo obtuviste el consentimiento.

Directrices recientes y qué cambió en 2024

  • Botón “Rechazar” al mismo nivel que “Aceptar” en la primera capa (nada de esconderlo).

  • Prohibidos el consentimiento por seguir navegando o por scroll.

  • No casillas pre-marcadas ni opciones “todo o nada” sin alternativa.

  • Segundo nivel (“segunda capa”) con detalle de finalidades, terceros y duraciones.

Traducción operativa: tu banner debe permitir aceptar, rechazar y configurar con la misma fricción; y bloquear analíticas/publicidad hasta que haya consentimiento.

Cookies exentas vs. no exentas (con ejemplos)

Exentas (no requieren consentimiento, sí información):

  • Técnicas/estrictamente necesarias: equilibrio de carga, recordar el contenido de un carrito en la misma sesión, consent-cookie que guarda la elección.

  • Personalización solicitada por el usuario (p. ej., idioma elegido manualmente).

No exentas (requieren consentimiento previo):

  • Analíticas/medición de audiencia cuando identifican o pueden identificar.

  • Publicidad, remarketing, perfiles, redes sociales embebidas, mapas con tracking.

Regla práctica: si la cookie no es imprescindible para prestar el servicio que el usuario pidió en ese momento, asume que requiere consentimiento.

Consentimiento válido en España: diseño del banner y antipatrones a evitar

El consentimiento es tan bueno como su diseño y su técnica. Así se ve un banner conforme:

Aceptar/Rechazar iguales, granularidad y segunda capa

  • Primera capa (banner):

    • Título claro (“Usamos cookies para…”)

    • Texto breve con finalidades (analíticas, personalización, publicidad)

    • Tres acciones visibles al mismo nivel: Aceptar, Rechazar, Configurar

    • Enlace a Política de cookies y a Preferencias (siempre disponible en el footer)

  • Segunda capa (panel de preferencias):

    • Finalidades con descripción comprensible.

    • Interruptores desactivados por defecto salvo las exentas.

    • Lista de terceros por finalidad (p. ej., “Medición → Google Analytics”).

    • Duración (sesión/30 min/13 meses) y tipo (propia/tercero).

    • Botones Guardar y Rechazar todo a la vista.

Ejemplo de texto (primera capa):
“Usamos cookies propias y de terceros para analizar el uso del sitio y mostrar publicidad personalizada. Puedes aceptar, rechazar o configurar tus preferencias. Más info en nuestra Política de cookies.”

Antipatrones que debes evitar:

  • Ocultar “Rechazar” tras un clic extra o con un color invisible.

  • Forzar “Aceptar” para ver el contenido (“muro de cookies”) sin ofrecer alternativa equivalente.

  • Usar frases ambiguas (“al seguir navegando aceptas…”).

  • Disparar Google Analytics / píxeles antes de la elección.

Medición de audiencia: cuándo puede estar exenta y condiciones

La medición puede reducirse al mínimo para intentar quedar exenta, pero en la práctica muchas implementaciones no lo logran. Para aproximarte a un escenario de menor riesgo:

Requisitos técnicos y contractuales del proveedor

  • Anonimización/seudonimización real (sin IDs persistentes ni huellas).

  • No combinación con datos de otras webs o servicios.

  • Retención corta (p. ej., < 13 meses) y sin reidentificación.

  • Configuración server-side sin almacenamiento de identificadores personales.

  • Acuerdo de encargo de tratamiento (si el proveedor actúa como encargado) que excluya usos propios.

Riesgos comunes (identificadores, transferencia, uso cruzado de datos)

  • Parámetros UTM o IDs de usuario que terminan en cookies/almacenamiento local.

  • Activar Advertising Features sin querer.

  • Transferencias internacionales sin garantías adecuadas.

  • Enlaces de redes sociales y mapas que cargan cookies al pintar el componente.

Consejo operativo: si dudas, trata la analítica como no exenta: pide consentimiento y bloquea hasta obtenerlo.

Política de cookies que pasa auditorías: estructura y ejemplos de texto

Tu política es la “segunda capa” permanente y debe coincidir con lo que hace el banner (nada de contradicciones). Estructura recomendada:

Finalidades, duración, terceros y cómo revocar consentimiento

  1. Qué son las cookies y tipos (técnicas, preferencias, analíticas, publicidad).

  2. Quién es el responsable y datos de contacto.

  3. Finalidades y base jurídica (consentimiento / interés legítimo exclusivo para exentas).

  4. Tabla de cookies (nombre, proveedor, finalidad, duración, tipo).

  5. Cómo cambiar/retirar el consentimiento (enlace a panel y a navegadores).

  6. Transferencias y encargados (enlaza a políticas de terceros).

  7. Fecha de última actualización.

Plantilla breve (adaptable):

“Puedes cambiar tu decisión en cualquier momento desde Preferencias de cookies (pie de página). Si aceptas la analítica, usaremos los datos para entender el rendimiento del sitio sin elaborar perfiles individuales. No instalamos cookies no exentas sin tu consentimiento.”

Tabla-modelo editable

Nombre Proveedor Finalidad Duración Tipo Exenta
consent_status Propia Recordar tu elección 12 meses Técnica
_ga Google Analytics Medición de audiencia 13 meses Tercero No
_fbp Meta Publicidad/remarketing 3 meses Tercero No

Mantén esta tabla sincronizada con lo que realmente se carga (usa un escáner y revisa tras cada cambio web).

Implementación paso a paso (WordPress, Shopify y GA4 con Consent Mode)

La clave está en bloquear por defecto y desbloquear según la preferencia.

cumplimiento normativa de AEPD de cookies

Activación por consentimiento y registro de logs

  1. CMP/gestor (plugin o tag manager) que cree variables por finalidad: consent.analytics, consent.ads.

  2. Bloqueo previo en el Tag Manager: activa el disparo de GA4/ads solo si consent.analytics === true o consent.ads === true.

  3. Consent Mode v2 (GA4/Google Ads): inicializa con denied y actualiza cuando acepten.

<pre><code>&lt;script&gt;
// Estado por defecto: denegar
gtag(‘consent’, ‘default’, {
‘ad_storage’: ‘denied’,
‘ad_user_data’: ‘denied’,
‘ad_personalization’: ‘denied’,
‘analytics_storage’: ‘denied’
});

// Al aceptar analítica
function acceptAnalytics(){
gtag(‘consent’, ‘update’, { ‘analytics_storage’: ‘granted’ });
}

// Al aceptar publicidad
function acceptAds(){
gtag(‘consent’, ‘update’, {
‘ad_storage’: ‘granted’,
‘ad_user_data’: ‘granted’,
‘ad_personalization’: ‘granted’
});
}
&lt;/script&gt;</code></pre>

Registro mínimo de decisiones (prueba de cumplimiento):

Guárdalo solo si es necesario y sin identificar personas; bastan totales agregados para demostrar que respetas elecciones.

Pruebas: cómo validar antes de publicar

  • Navegador en privado + devtools → Application → Cookies: verifica que no se instalan no exentas al cargar.

  • Cambia preferencias y revisa que el estado actualiza Consent Mode y el disparo de etiquetas.

  • Escáner de cookies y auditoría visual del banner (contraste, legibilidad, “Rechazar” visible).

Checklist final de cumplimiento (legal + técnico)

  • Banner con Aceptar / Rechazar / Configurar al mismo nivel.

  • Bloqueo previo de analíticas/publicidad hasta el consentimiento.

  • Segunda capa con finalidades, terceros, duraciones y interruptores off por defecto.

  • Política de cookies alineada con la realidad técnica (tabla actualizada).

  • Cambio y retirada sencillos (enlace permanente a preferencias).

  • Sin scroll/seguir navegando como consentimiento ni pre-marcadas.

  • Consent Mode v2 configurado y probado.

  • Registros agregados de decisiones (opcional) para accountability.

  • Revisión tras cada nuevo script, plugin o embebido.

Errores frecuentes y cómo solucionarlos

1) “Rechazar” escondido o con contraste bajo.
Solución: mismo tamaño/color/posición que “Aceptar”. Comprueba accesibilidad (WCAG).

2) Cargar Analytics/Ads antes de la elección.
Solución: condición de disparo ligada a la preferencia; estado inicial denied.

3) Tabla de cookies desactualizada.
Solución: scan tras cada despliegue y sincroniza la política.

4) Muros de cookies sin alternativa equivalente.
Solución: ofrece acceso al contenido básico; si el servicio necesita cookies, explícalo y da opción.

5) “Medición exenta” mal configurada (IDs persistentes, retención larga).
Solución: elimina identificadores, baja retención, evita usos cruzados; si no cumples todo, pide consentimiento.

Recursos oficiales y buenas prácticas para 2025

  • Ley 34/2002 (LSSI) y RGPD como marco base.

  • Directrices nacionales sobre uso de cookies y consentimiento.

  • Documentación de Consent Mode v2 y guías de accesibilidad (para que el banner sea usable y conforme).

Conclusión

Cumplir de verdad exige alinear legal, diseño y técnica. Si bloqueas por defecto, explicas con claridad, das control real y mantienes tu política sincronizada con lo que hace tu web, estarás en la zona segura y con conversiones estables (los banners claros convierten mejor que los confusos).

Preguntas Frecuentes sobre normativa AEPD de cookies:

1) ¿Es obligatorio mostrar “Rechazar” al mismo nivel que “Aceptar”?

Sí. La AEPD incorporó este criterio (posición, formato y nivel equivalentes) y dio de plazo hasta el 11 de enero de 2024 para adaptarse. Agencia Española de Protección de Datos

2) ¿“Seguir navegando” o el scroll sirven como consentimiento?

No. El EDPB lo invalida: se necesita una acción afirmativa clara.

3) ¿Son legales los “muros de cookies”?

En general no, si impiden el acceso sin aceptar cookies. Solo podrían plantearse cuando se ofrezca una alternativa equivalente (y la nueva guía aclara que no tiene por qué ser gratuita).

4) ¿Qué cookies están exentas de consentimiento?

Las técnicas/estrictamente necesarias y, si el usuario las elige, algunas de personalización (p. ej., idioma). Si las fija el editor o se usan para otras finalidades, piden consentimiento.

5) ¿Qué debe incluir la política de cookies?

Definición, tipología, finalidades, base jurídica, tabla (nombre, proveedor, duración, tipo), terceros, cómo cambiar/retirar el consentimiento y fecha de última actualización.

6)¿Cuánto “dura” el consentimiento? ¿Hay que renovarlo?

No hay plazo fijo: depende del contexto y de si cambian las operaciones. El EDPB recomienda refrescarlo en intervalos razonables.

7)¿Qué consecuencias tiene incumplir?

Hay sanciones y requerimientos. Ej.: en 2025 la CNIL multó a Google y Shein por prácticas de cookies sin consentimiento válido; en España, casos como Iberia han sido sancionados por no ofrecer rechazo claro.

8)¿Qué pasa si uso “idioma automático”?

Si el usuario elige el idioma, cookie técnica (exenta). Si lo deduces tú o lo combinas con otras finalidades, pide consentimiento.

Ver  ¿Merece la pena estar en Bing?

Contacta con Nosotros

    Si le ha gustado este artículo, no olvide visitar nuestro blog. También puede visitar nuestra web y observar cómo trabajamos.

    Otros artículos de interés

    PÍDENOS PRESUPUESTO AHORA

    Explícanos tu proyecto y te ayudaremos a ponerlo en marcha.

    SOLICITA PRESUPUESTO
    DISEÑO WEB
    MARKETING DIGITAL
    EMPRESA
    SECTORES

    Somos la Agencia líder en diseño de páginas web, diseño de tiendas online, posicionamiento SEO, campañas SEM y redes sociales.

    © 2024 · Diseño Web Barcelona · Todos los derechos reservados
    © 2026 · Diseño Web Barcelona · Todos los derechos reservados