Cómo usar las cookies en tu web y cumplir con la ley
Cómo Usar las Cookies en Tu Web y Cumplir con la Ley
El aviso de cookies no es solo el molesto banner que aparece cuando entras en una web. Es un requisito legal en España y la UE, y hacerlo mal puede acarrear multas de hasta 20 millones de euros o el 4% del volumen de negocio global.
Qué son las cookies y por qué necesitan consentimiento
Las cookies son pequeños archivos que tu web guarda en el navegador del usuario para recordar información: idioma preferido, productos en el carrito, o —las más polémicas— datos de seguimiento para publicidad y analítica. Las cookies de seguimiento requieren consentimiento explícito del usuario.
Tipos de cookies
Cookies técnicas (no requieren consentimiento)
Las que hacen funcionar la web: sesión de usuario, carrito de compra, preferencias de idioma. Son necesarias y están exentas de consentimiento.
Cookies analíticas (requieren consentimiento)
Google Analytics y similares. Requieren consentimiento previo del usuario, aunque en la práctica muchos sitios las tratan con criterio más laxo.
Cookies publicitarias (requieren consentimiento estricto)
Facebook Pixel, Google Ads Remarketing. Requieren consentimiento explícito claro. Son las más estrictamente reguladas.
Cómo cumplir con la ley en España
Necesitas: banner de cookies al primer acceso, explicación clara de qué cookies usas, posibilidad de aceptar o rechazar cada tipo, y enlace a política de cookies detallada. El banner debe ser antes de cargar las cookies no esenciales.
Herramientas para gestionar cookies
Cookiebot, Axeptio o CookieYes son herramientas (algunas con versión gratuita) que generan banners conformes y gestionan el consentimiento automáticamente. Para WordPress, el plugin "Complianz" o "Cookie Notice" son populares.
La política de cookies: un documento obligatorio en tu web
El banner de consentimiento es solo la puerta de entrada. La ley exige además que tu web cuente con una política de cookies accesible en todo momento, independientemente de si el usuario ha aceptado o rechazado el uso de cookies. Este documento debe incluir al menos:
- Listado de todas las cookies utilizadas y su finalidad concreta.
- Identificación del responsable de cada cookie (propia o de terceros).
- Duración de cada cookie y si persiste tras cerrar el navegador.
- Instrucciones claras para revocar el consentimiento en cualquier momento.
Un error frecuente es copiar una política genérica que no refleja las cookies reales del sitio. Las autoridades de control comprueban que el listado sea exacto, así que conviene auditarlo cada vez que se instala un nuevo plugin o herramienta de analítica.
Consecuencias de incumplir la normativa de cookies
La Agencia Española de Protección de Datos (AEPD) puede sancionar el incumplimiento de la LSSI y el RGPD con multas que van desde los 6.000 euros por infracciones leves hasta los 20 millones de euros o el 4% del volumen de negocio anual en los casos más graves. Más allá de la cuantía económica, una sanción pública daña la reputación de la marca y genera desconfianza en clientes potenciales. Los aspectos que más revisa la AEPD son: ausencia de banner, banners que no permiten rechazar cookies con la misma facilidad que aceptarlas, y cookies de terceros que se cargan antes de obtener el consentimiento.
Preguntas frecuentes
¿Puedo usar Google Analytics sin pedir consentimiento?
No. Google Analytics utiliza cookies analíticas que identifican al usuario entre sesiones, por lo que requieren consentimiento previo según el RGPD. Existen configuraciones de anonimización de IP y modos de consentimiento de Google que reducen el impacto, pero no eliminan la obligación de informar y obtener permiso antes de activar la cookie.
¿El banner tiene que aparecer en todas las páginas o solo en la primera visita?
Solo en la primera visita (o cuando el usuario borra sus cookies). Una vez que el usuario ha tomado una decisión, el banner no debe volver a mostrarse salvo que la política cambie o haya transcurrido el plazo de validez del consentimiento, que suele establecerse en 12 meses.
¿Un botón de "Aceptar todo" sin opción de rechazo es válido?
No. La AEPD y las directrices del Comité Europeo de Protección de Datos exigen que rechazar las cookies sea igual de sencillo que aceptarlas. Un banner con solo el botón "Aceptar" o que oculta el rechazo en varios clics no es conforme y puede derivar en sanción.
¿Las webs pequeñas o blogs personales también deben cumplir?
Sí. La normativa aplica a cualquier sitio web que ofrezca servicios a usuarios en la UE, con independencia del tamaño del negocio o del número de visitas. Aunque las multas se modulan según la gravedad y el volumen de negocio, la obligación de informar y obtener consentimiento es universal.
Reserva una llamada gratuita con Tangram Consulting →
Artículos relacionados
- RGPD y consentimiento de cookies en una web Drupal
- RGPD para pymes: cómo cumplir la normativa de protección de datos paso a paso
- Accesibilidad web obligatoria para empresas: normativa 2026 y qué debes cumplir
¿Quieres aplicar esto en tu proyecto? En Tangram Consulting te asesoramos sin compromiso y te ayudamos a dar el siguiente paso.