Una respuesta directa antes de entrar en detalle
Las cookies son pequeños archivos de texto que una web guarda en tu navegador para recordar información: tu sesión, tu idioma, tus hábitos de navegación. La ley española (artículo 22.2 de la LSSI) exige que, salvo las estrictamente necesarias, ninguna cookie se instale sin el consentimiento previo e informado del usuario.
Hasta aquí la teoría. El problema es que la mayoría de banners de cookies que se ven en webs de pymes españolas no cumplen los criterios que la AEPD dejó negro sobre blanco en su Guía sobre el uso de cookies, actualizada en julio de 2023. Y un banner mal configurado no es un detalle estético: es una infracción sancionable. En esta guía te explicamos qué tipos de cookies existen, qué exige exactamente la normativa en 2026 y cómo ponerte al día sin volverte loco.
Tipos de cookies: no todas son iguales ante la ley
La clasificación que importa a efectos legales es la que atiende a la finalidad de la cookie, porque de ella depende si necesitas consentimiento o no.
| Tipo | Qué hacen | ¿Necesitan consentimiento? |
|---|---|---|
| Técnicas o necesarias | Permiten que la web funcione: carrito de compra, inicio de sesión, seguridad, preferencias imprescindibles | No (están exentas) |
| De preferencias o personalización | Recuerdan idioma, región o configuración elegida por el usuario | Depende: si las elige el propio usuario, pueden quedar exentas; si las impone la web, sí |
| De análisis o medición | Miden visitas, páginas vistas, comportamiento (Google Analytics, Matomo en modo no exento...) | Sí |
| De publicidad comportamental o marketing | Crean perfiles de navegación para mostrar anuncios personalizados (píxel de Meta, Google Ads...) | Sí, siempre |
Además, las cookies pueden ser propias (las instala tu dominio) o de terceros (las instala otro, como Google o Meta a través de tu web), y de sesión (se borran al cerrar el navegador) o persistentes (permanecen un tiempo definido). A efectos de consentimiento, lo decisivo sigue siendo la finalidad: una cookie de marketing de terceros y persistente es el caso que más garantías exige.
Qué exige la Guía de la AEPD desde 2023
La AEPD actualizó su Guía sobre el uso de cookies en julio de 2023 para alinearla con las directrices europeas sobre patrones engañosos en banners de consentimiento, y dio de plazo hasta el 11 de enero de 2024 para adaptarse. Desde entonces, estos son los criterios que tu web tiene que cumplir:
1. Botón de rechazar al mismo nivel que el de aceptar
Si tu banner tiene un botón de "Aceptar" en primera capa, debe ofrecer también la opción de rechazar las cookies en esa misma capa y con la misma facilidad. Esconder el rechazo tras un enlace de "configurar", usar colores que hagan casi invisible el botón de rechazar o redactar las opciones para empujar al usuario a aceptar son prácticas que la AEPD considera contrarias a la normativa.
2. Consentimiento previo: nada se carga antes de aceptar
Las cookies no exentas no pueden instalarse hasta que el usuario consienta. Este es el incumplimiento técnico más habitual: webs con un banner aparentemente correcto que, sin embargo, cargan Google Analytics o el píxel de Meta desde el primer segundo. El banner no es un trámite decorativo; tiene que bloquear de verdad los scripts hasta obtener el "sí".
3. Seguir navegando no es consentir
Desde la actualización de 2020 de la propia guía (a raíz de la jurisprudencia europea sobre consentimiento), continuar navegando por la web no constituye consentimiento válido. Tampoco lo son las casillas premarcadas. El consentimiento debe ser una acción afirmativa clara.
4. Sin muros de cookies sin alternativa
Los llamados "muros de cookies" (no puedes ver el contenido si no aceptas) solo se admiten si se ofrece una alternativa real de acceso al servicio sin necesidad de aceptar cookies, que puede ser, por ejemplo, una suscripción de pago. Denegar el acceso sin más opción que tragar con el rastreo invalida el consentimiento, porque deja de ser libre.
5. Información clara y retirada fácil
El usuario debe poder saber qué cookies usas, de quién son y para qué, mediante una política de cookies accesible y actualizada. Y retirar el consentimiento debe ser tan fácil como darlo: lo habitual es un enlace permanente del tipo "Configurar cookies" en el pie de página. La AEPD recomienda además renovar el consentimiento periódicamente (como referencia, una validez no superior a 24 meses).
Qué pasa si no cumples: el régimen sancionador
Las infracciones en materia de cookies se sancionan principalmente por la LSSI (Ley 34/2002). Su régimen sancionador contempla multas de hasta 30.000 euros para las infracciones leves y de 30.001 a 150.000 euros para las graves, según los artículos 38 y siguientes.
Y hay un segundo frente: si el consentimiento que recoges no es válido y con esas cookies tratas datos personales (perfiles de navegación, identificadores de usuario), puede entrar en juego también el RGPD, con su propio régimen de multas, mucho más severo. Lo explicamos con detalle en nuestro artículo sobre sanciones de la AEPD y lo que pagan las pymes.
La AEPD sanciona con regularidad a empresas de todos los tamaños por banners que no permiten rechazar, por cookies cargadas antes del consentimiento y por políticas de cookies inexistentes o desactualizadas. Las resoluciones son públicas y pueden consultarse en aepd.es. No hace falta ser una multinacional para recibir una: basta una denuncia de un usuario o un competidor.
Cómo cumplir con la normativa de cookies, paso a paso
- Audita tu web. Identifica todas las cookies que se instalan realmente (las tuyas y las de terceros). Hay herramientas que escanean el sitio; la sorpresa habitual es encontrar el doble de cookies de las esperadas.
- Clasifícalas por finalidad. Técnicas, preferencias, análisis, marketing. Las exentas pueden cargarse siempre; el resto, solo tras consentimiento.
- Instala un gestor de consentimiento (CMP) que bloquee de verdad. El banner debe impedir la carga de scripts no exentos hasta que el usuario acepte, ofrecer "Rechazar" en primera capa y guardar prueba del consentimiento.
- Publica una política de cookies completa. Qué cookies, de quién, finalidad, duración y cómo revocar. Enlazada desde el banner y desde el pie de página.
- Revisa periódicamente. Cada vez que añadas una herramienta (un chat, un píxel, un mapa embebido) tu inventario de cookies cambia.
Si gestionas también campañas de captación, te interesa revisar las reglas paralelas del email marketing bajo el RGPD y la LSSI: la lógica del consentimiento es la misma y los errores también se parecen.
Cookies y RGPD: dos normas que se solapan
Conviene tener claro el reparto: la LSSI regula la instalación de cookies en el equipo del usuario, y el RGPD regula el tratamiento de los datos personales que esas cookies recogen. Una misma web puede infringir las dos a la vez. Si quieres entender el marco general de protección de datos que envuelve todo esto, tienes nuestra guía completa sobre qué es el RGPD y el resumen de qué fue de la antigua LOPD.
Preguntas frecuentes
¿Es obligatorio el banner de cookies en todas las webs?
Solo si tu web instala cookies que requieren consentimiento. Una web puramente informativa que use exclusivamente cookies técnicas no necesita banner, aunque sí debe informar de ellas en su política de cookies o de privacidad. En la práctica, casi cualquier web con analítica, vídeos embebidos o píxeles publicitarios necesita banner.
¿Google Analytics necesita consentimiento?
Sí. Las cookies de medición y análisis no están entre las exentas según el criterio de la AEPD, por lo que no deben cargarse hasta que el usuario consienta. Existen configuraciones y alternativas de medición más respetuosas con la privacidad, pero la regla general para la analítica convencional es consentimiento previo.
¿Puedo bloquear el acceso a mi web a quien rechace las cookies?
Solo si ofreces una alternativa real para acceder al contenido sin aceptarlas, por ejemplo una versión de pago. Un muro de cookies sin alternativa convierte el consentimiento en forzado y, por tanto, en inválido.
¿Cuánto me puede costar un banner de cookies mal hecho?
Las infracciones de la LSSI en materia de cookies se mueven entre multas de hasta 30.000 euros (leves) y de 30.001 a 150.000 euros (graves). Si además el tratamiento de datos asociado vulnera el RGPD, la sanción puede tramitarse por esa vía, con importes potencialmente superiores. La cuantía concreta depende de la gravedad, la duración y el tamaño de la empresa.
Pon tu web en regla sin pelearte con la técnica
Auditar cookies, configurar un gestor de consentimiento que bloquee de verdad y redactar la política correctamente es exactamente el tipo de tarea que se hace una vez y bien. Nuestro servicio de cumplimiento legal (RGPD, LOPDGDD y LSSI desde 249 euros al año) incluye la adecuación de tu web: banner conforme a la guía de la AEPD, textos legales implantados y soporte cuando la normativa vuelva a cambiar. Cuéntanos tu caso y lo dejamos resuelto.