Banner de cookies conforme al RGPD: guía completa 2026
Su banner de cookies probablemente no es conforme. No es una provocacion: en 2025, la AEPD impuso 40 millones de euros en sanciones repartidos en 299 expedientes, un aumento del 14 % respecto a 2024. Casos como Aena (10 M EUR), Vodafone España (8 M EUR) y CaixaBank (6 M EUR) demuestran que las autoridades sancionan con firmeza creciente. La conformidad ya no es un tema teorico — es un riesgo financiero, juridico y reputacional que cada editor de sitio web debe tomar en serio.
Esta guía detalla las exigencias del RGPD y de las autoridades de proteccion de datos para un banner de cookies conforme en 2026, los errores mas comunes, los dark patterns prohibidos, y las soluciones concretas para ponerse en regla.
Lo que el RGPD exige exactamente
El marco juridico se basa en la directiva ePrivacy (transpuesta en cada Estado miembro) y el RGPD, en particular sus articulos 4(11) y 7 sobre el consentimiento. En Francia, la CNIL publico recomendaciones detalladas que sirven de referencia en toda Europa, y en Espana, la AEPD aplica las mismas exigencias derivadas del RGPD.
Aqui estan los principios fundamentales que todo editor debe dominar.
1. El consentimiento debe ser un acto positivo claro
La simple continuacion de la navegacion no vale como consentimiento. El usuario debe hacer clic explicitamente en un boton de aceptacion. Ninguna cookie no esencial puede depositarse antes de esta accion.
Concretamente, esto significa que el hecho de hacer scroll, cerrar el banner con una cruz, o hacer clic en un enlace del sitio no constituye un consentimiento valido. Las autoridades de proteccion de datos europeas — incluidas la CNIL y la AEPD — han descartado explicitamente estas practicas. Solo un clic deliberado en un boton claramente identificado como un acto de aceptacion es admisible.
Esta exigencia tiene consecuencias tecnicas directas: su sitio debe ser capaz de funcionar normalmente sin ninguna cookie no esencial mientras el usuario no haya hecho su eleccion. Los scripts de terceros deben bloquearse tecnicamente, no simplemente ocultarse con un overlay visual.
2. Rechazar debe ser tan simple como aceptar
Este es el punto que hace caer a la mayoria de los sitios. El RGPD exige que el mecanismo de rechazo sea accesible en la misma pantalla y con la misma facilidad que el mecanismo de aceptacion. Un boton “Aceptar” en color y un enlace “Configurar” en gris no son suficientes.
La exigencia va mas alla de la simple presencia de un boton de rechazo. Las autoridades de proteccion de datos esperan una simetria real: mismo tamaño de fuente, mismo peso visual, mismo numero de clics necesarios. Si la aceptacion requiere un solo clic, el rechazo tambien debe requerir un solo clic. Si el boton “Aceptar todo” es verde y prominente, el boton “Rechazar todo” debe tener un tratamiento visual equivalente.
En enero de 2022, fue precisamente esta asimetria la que valio a Google una multa de 150 millones de euros y a Facebook una multa de 60 millones de euros. Ambos sitios ofrecian un boton de aceptacion en un clic, pero el rechazo requeria navegar por submenus y desmarcar opciones una por una.
3. La informacion debe ser clara y completa
El usuario debe saber, antes de consentir:
- Quien deposita las cookies (identidad de los responsables del tratamiento y de terceros)
- Con que fines (publicidad dirigida, medicion de audiencia, personalizacion del contenido, compartir en redes sociales)
- Como retirar su consentimiento posteriormente
- Que duracion de conservacion esta prevista para las cookies depositadas
Esta informacion debe redactarse en un lenguaje claro y accesible, no en una jerga juridica incomprensible. El RGPD insiste en que el consentimiento debe ser “informado” — lo que supone que el usuario haya realmente entendido a que consiente. Una lista de 200 socios publicitarios presentada en bloque de texto no cumple esta exigencia de claridad.
4. El consentimiento debe ser especifico
El usuario debe poder consentir finalidad por finalidad. Un consentimiento global (“aceptar todo”) es posible, pero no debe ser la unica opcion. El detalle por categoria debe seguir siendo accesible.
En la practica, esto implica proponer como minimo las siguientes categorias: cookies de medicion de audiencia, cookies publicitarias, cookies de personalizacion, cookies de redes sociales. El usuario debe poder aceptar las cookies de audiencia rechazando las cookies publicitarias, por ejemplo. Este nivel de granularidad es un derecho, no una opcion.
La agrupacion de finalidades distintas bajo una misma casilla de verificacion es una violacion del principio de especificidad. Cada finalidad debe corresponder a una eleccion distinta e independiente.
5. La duracion de conservacion de las elecciones esta regulada
Las autoridades de proteccion de datos recomiendan conservar las elecciones del usuario (consentimiento o rechazo) durante un periodo de 6 meses. Despues, el banner debe presentarse nuevamente. Para los rastreadores de medicion de audiencia exentos de consentimiento, la duracion de vida recomendada es de 13 meses maximo.
Esta duracion de 6 meses es una recomendacion, no una obligacion legal estricta. Sin embargo, en caso de control, la autoridad competente (la AEPD en Espana) espera que el editor pueda justificar la duracion elegida. Una duracion de 12 o 24 meses seria dificil de defender en relacion con el principio de minimizacion y la necesidad de asegurarse de que el consentimiento sigue vigente.
Es importante señalar que esta duracion se aplica tanto al consentimiento como al rechazo. Si el usuario rechazo las cookies hace 6 meses, es legitimo reproponerle la eleccion — pero sin dark patterns ni acoso.
6. Cero scripts antes del consentimiento
Ninguna cookie no estrictamente necesaria debe depositarse antes de la recogida del consentimiento. Es la regla mas violada: la CNIL sanciono a Shein en septiembre de 2025 precisamente porque cookies publicitarias se depositaban desde la llegada al sitio, antes de cualquier interaccion con el banner.
La dificultad tecnica es real. Muchos sitios integran scripts de terceros en el <head> de sus paginas HTML: Google Analytics, el pixel de Facebook, scripts de chat en linea, herramientas de A/B testing. Estos scripts depositan cookies desde su carga, antes incluso de que el banner se muestre.
Para ser conforme, su CMP (Consent Management Platform) debe bloquear tecnicamente la ejecucion de estos scripts. No un bloqueo cosmetico (mostrar el banner por encima) — un bloqueo real verificado por inspeccion del trafico de red. Es exactamente lo que las autoridades de proteccion de datos prueban durante sus controles en linea.
7. La prueba del consentimiento es obligatoria
El articulo 7 del RGPD es explicito: el responsable del tratamiento debe estar en condiciones de demostrar que la persona ha consentido. Esto implica conservar una prueba con fecha, identificable y verificable de la eleccion de cada usuario.
Una prueba valida debe contener como minimo:
- Un identificador tecnico que permita encontrar la eleccion de un usuario dado (no necesariamente un nombre, pero si un identificador unico)
- Una marca de tiempo precisa del momento en que se recogio el consentimiento
- El detalle de las finalidades aceptadas y rechazadas por el usuario
- La version del banner presentada en el momento de la eleccion (el contenido informativo mostrado)
Una cookie local que contiene consent=true no constituye una prueba admisible. El usuario puede borrarla, un script puede modificarla, y sobre todo el editor no puede presentarla a la autoridad de proteccion de datos como prueba fiable. La prueba debe almacenarse del lado del servidor.
Los dark patterns prohibidos por las autoridades de proteccion de datos
En diciembre de 2024, la CNIL requirio a varios editores por el uso de dark patterns en sus banners de cookies. La AEPD en Espana y el resto de autoridades europeas mantienen la misma posicion. Los dark patterns son tecnicas de diseño que manipulan al usuario para orientarlo hacia una eleccion que no es de su interes. Aqui estan las practicas que constituyen violaciones caracterizadas.
El boton “Aceptar” sobredimensionado
Presentar el boton de aceptacion en un color vivo, un tamaño de fuente grande, mientras que el boton de rechazo es un simple enlace textual poco visible. Las autoridades de proteccion de datos consideran que esta asimetria visual sesga la eleccion del usuario e invalida el caracter “libre” del consentimiento.
El rechazo enterrado en la configuracion
Obligar al usuario a navegar por submenus o paginas sucesivas para rechazar las cookies, mientras que un solo clic basta para aceptar. Esto es exactamente lo que se le reprochó a Google y Facebook en enero de 2022, lo que les valio 150 y 60 millones de euros de multas respectivamente.
El lenguaje ambiguo
Formular el rechazo en terminos complejos como “Declino las finalidades no esenciales” en lugar de un simple “Rechazar todo”. La ambiguedad del lenguaje es un dark pattern identificado por las autoridades de proteccion de datos. El vocabulario debe ser simple, directo y comprensible para todos.
Los botones “Aceptar” multiples
Presentar varios botones de aceptacion mientras que el boton de rechazo solo aparece una vez, perdido en el texto.
El pre-marcado de casillas
Toda casilla pre-marcada para una cookie no esencial invalida el consentimiento. El consentimiento debe ser un acto positivo, no un defecto que el usuario deba anular activamente. Esta regla se deriva directamente de la sentencia Planet49 del Tribunal de Justicia de la Union Europea (1 de octubre de 2019).
El banner recurrente despues del rechazo
Representar el banner en cada pagina o despues de unos segundos cuando el usuario ha rechazado las cookies constituye una forma de acoso. La eleccion del usuario debe respetarse durante toda la duracion de conservacion prevista (6 meses recomendados).
Los errores mas frecuentes
Error 1: los scripts de terceros cargados antes del consentimiento
Un tag de Google Analytics, un pixel de Facebook o un script de chat en linea cargados en el <head> de la pagina, antes de que el banner se muestre. Incluso si el banner esta presente, el daño esta hecho: las cookies ya estan depositadas.
Error 2: el consentimiento no renovable
El usuario acepto las cookies, pero no puede cambiar de opinion facilmente. El RGPD exige que el mecanismo de retirada del consentimiento sea accesible en todo momento y tan simple como el consentimiento inicial.
Error 3: la ausencia de prueba
Muchas CMP registran la eleccion del usuario en una cookie local, pero no conservan ninguna prueba del lado del servidor. En caso de control de la autoridad de proteccion de datos (la AEPD en Espana), el editor no puede demostrar que el consentimiento se recogio conforme a las exigencias.
Error 4: las cookies “estrictamente necesarias” demasiado generosas
Algunos editores clasifican cookies de medicion de audiencia o de personalizacion como “estrictamente necesarias” para evitar pedir el consentimiento. Las autoridades de proteccion de datos tienen criterios estrictos: solo las cookies indispensables para el funcionamiento tecnico del servicio estan exentas.
Error 5: la ausencia de actualizacion
Las recomendaciones evolucionan. La actualizacion de diciembre de 2025 sobre el consentimiento multi-terminales añade nuevas obligaciones para los sitios con autenticacion. Un banner configurado en 2021 probablemente ya no es conforme en 2026.
Error 6: la politica de cookies obsoleta o ausente
El banner de consentimiento remite a una politica de cookies que no se ha actualizado desde hace años, que no lista las cookies realmente utilizadas, o que no menciona los terceros que depositan rastreadores.
La tabla de sanciones recientes
| Empresa | Monto | Fecha | Motivo principal |
|---|---|---|---|
| 325 M EUR | Septiembre 2025 | Cookies depositadas sin consentimiento en la creacion de cuentas | |
| Shein | 150 M EUR | Septiembre 2025 | Cookies publicitarias depositadas antes de interaccion con el banner |
| 150 M EUR | Enero 2022 | Rechazo de cookies mas complejo que la aceptacion | |
| 60 M EUR | Enero 2022 | Rechazo de cookies mas complejo que la aceptacion | |
| American Express | 1,5 M EUR | Noviembre 2025 | Incumplimiento de las reglas de cookies |
| Conde Nast (Vanity Fair) | 750 000 EUR | Noviembre 2025 | Cookies depositadas a pesar del rechazo del usuario |
Como Cookilio responde a cada exigencia
En DPLIANCE, pensamos que el consentimiento no es un obstaculo a evitar. Es un compromiso a cumplir. Cookilio fue concebido para responder especificamente a cada exigencia del RGPD.
Consentimiento explicito: el banner multi-etapas (wizard) guia al usuario en un recorrido claro, sin manipulacion.
Simetria aceptacion/rechazo: el boton “Rechazar todo” esta siempre presente al mismo nivel y con la misma visibilidad que “Aceptar todo”. Ningun dark pattern, ninguna asimetria visual.
Cero scripts antes del consentimiento: Cookilio bloquea tecnicamente la ejecucion de todo script de terceros mientras el usuario no haya hecho su eleccion.
Prueba de consentimiento server-side: cada eleccion se registra del lado del servidor con un correlation ID unico y una marca de tiempo. En caso de control, tiene la prueba completa.
Autoalojamiento: los datos de consentimiento permanecen en sus propios servidores. Ningun transito por un servicio de terceros. Soberania total sobre sus datos.
Widget ultra-ligero: construido en Preact, el widget Cookilio minimiza el impacto en el rendimiento de su sitio.
Retirada del consentimiento accesible: un widget flotante permite al usuario modificar sus elecciones en cualquier momento, en un clic.
Descubrir Cookilio — a partir de 9 EUR sin impuestos/mes.
FAQ
Un banner de cookies es obligatorio para todos los sitios?
Si, desde el momento en que deposita cookies no estrictamente necesarias para el funcionamiento del servicio. Esto incluye las cookies de medicion de audiencia (salvo las exentas por la autoridad competente bajo condiciones estrictas — en Francia, la CNIL tiene un programa de exencion especifico para analytics), las cookies publicitarias, las cookies de redes sociales y las cookies de personalizacion.
Que se arriesga en caso de no conformidad?
Las autoridades de proteccion de datos pueden pronunciar multas de hasta el 4 % de la facturacion anual mundial. Las sanciones recientes de la AEPD muestran que las autoridades no dudan en golpear fuerte: Aena (10 M EUR), Vodafone España (8 M EUR), CaixaBank (6 M EUR), Enérgya-VM (5 M EUR).
El consentimiento por la continuacion de la navegacion es valido?
No. Las autoridades de proteccion de datos europeas — incluida la CNIL en Francia — descartaron explicitamente esta practica. El RGPD exige que el consentimiento resulte de un acto positivo claro, tipicamente un clic en un boton dedicado.
Cuanto tiempo sigue siendo valido el consentimiento?
Las autoridades de proteccion de datos recomiendan 6 meses como buena practica para la conservacion de las elecciones del usuario. Mas alla, el banner debe presentarse nuevamente para renovar la eleccion.
Se puede utilizar un cookie wall para condicionar el acceso al sitio?
Bajo condiciones estrictas. En Francia, el Consejo de Estado juzgo el 19 de junio de 2020 que la CNIL no podia prohibir los cookie walls de manera general. La CNIL publico criterios estrictos: se necesita una alternativa equivalente, sin discriminacion en el acceso al contenido, y una transparencia total sobre el mecanismo. Los servicios publicos y los sitios en posicion de monopolio no pueden usar cookie wall. Estas mismas exigencias se aplican en Espana bajo la supervision de la AEPD.
Como verificar si mi banner es conforme?
Realice una auditoría en tres etapas. Primero, verifique visualmente que el boton de rechazo sea tan visible como el boton de aceptacion, en la misma pantalla, con el mismo numero de clics. Luego, verifique tecnicamente que ninguna cookie no esencial se deposite antes de la interaccion con el banner (herramientas de desarrollo del navegador, pestaña Red). Finalmente, verifique que conserva una prueba del lado del servidor de cada consentimiento recogido.
Fuentes: CNIL, Recomendacion cookies del 17 de septiembre de 2020 — CNIL, Reglas cookies — CNIL, Dark patterns in cookie banners — CNIL, Sancion Google 325 M EUR — CNIL, Sancion Shein 150 M EUR — CNIL, Recomendacion consentimiento multi-terminales