Banner de cookies conforme a la CNIL: guía completa 2026
Su banner de cookies probablemente no es conforme. No es una provocacion: en 2025, la CNIL (autoridad francesa de proteccion de datos) impuso cerca de 487 millones de euros en multas, de las cuales una parte masiva esta relacionada con violaciones de la legislacion sobre cookies. Google recibio 325 millones de euros, Shein 150 millones. La conformidad ya no es un tema teorico — es un riesgo financiero, juridico y reputacional que cada editor de sitio web debe tomar en serio.
Esta guía detalla las exigencias exactas de la CNIL (autoridad francesa de proteccion de datos) para un banner de cookies conforme en 2026, los errores mas comunes, los dark patterns prohibidos, y las soluciones concretas para ponerse en regla.
Lo que la CNIL exige exactamente
El marco juridico se basa en dos textos complementarios: el articulo 82 de la ley Informatique et Libertes (transposicion de la directiva ePrivacy) y el RGPD, en particular sus articulos 4(11) y 7 sobre el consentimiento.
La recomendacion de la CNIL (autoridad francesa de proteccion de datos) del 17 de septiembre de 2020 (deliberacion n.o 2020-092) sigue siendo el texto de referencia. Fue actualizada en diciembre de 2025 para integrar las reglas sobre el consentimiento multi-terminales. Aqui estan los principios fundamentales que todo editor debe dominar.
1. El consentimiento debe ser un acto positivo claro
La simple continuacion de la navegacion no vale como consentimiento. El usuario debe hacer clic explicitamente en un boton de aceptacion. Ninguna cookie no esencial puede depositarse antes de esta accion.
Concretamente, esto significa que el hecho de hacer scroll, cerrar el banner con una cruz, o hacer clic en un enlace del sitio no constituye un consentimiento valido. La CNIL (autoridad francesa de proteccion de datos) descarto explicitamente estas practicas en su recomendacion de septiembre de 2020. Solo un clic deliberado en un boton claramente identificado como un acto de aceptacion es admisible.
Esta exigencia tiene consecuencias tecnicas directas: su sitio debe ser capaz de funcionar normalmente sin ninguna cookie no esencial mientras el usuario no haya hecho su eleccion. Los scripts de terceros deben bloquearse tecnicamente, no simplemente ocultarse con un overlay visual.
2. Rechazar debe ser tan simple como aceptar
Este es el punto que hace caer a la mayoria de los sitios. La CNIL (autoridad francesa de proteccion de datos) exige que el mecanismo de rechazo sea accesible en la misma pantalla y con la misma facilidad que el mecanismo de aceptacion. Un boton “Aceptar” en color y un enlace “Configurar” en gris no son suficientes.
La exigencia va mas alla de la simple presencia de un boton de rechazo. La CNIL (autoridad francesa de proteccion de datos) espera una simetria real: mismo tamaño de fuente, mismo peso visual, mismo numero de clics necesarios. Si la aceptacion requiere un solo clic, el rechazo tambien debe requerir un solo clic. Si el boton “Aceptar todo” es verde y prominente, el boton “Rechazar todo” debe tener un tratamiento visual equivalente.
En enero de 2022, fue precisamente esta asimetria la que valio a Google una multa de 150 millones de euros y a Facebook una multa de 60 millones de euros. Ambos sitios ofrecian un boton de aceptacion en un clic, pero el rechazo requeria navegar por submenus y desmarcar opciones una por una.
3. La informacion debe ser clara y completa
El usuario debe saber, antes de consentir:
- Quien deposita las cookies (identidad de los responsables del tratamiento y de terceros)
- Con que fines (publicidad dirigida, medicion de audiencia, personalizacion del contenido, compartir en redes sociales)
- Como retirar su consentimiento posteriormente
- Que duracion de conservacion esta prevista para las cookies depositadas
Esta informacion debe redactarse en un lenguaje claro y accesible, no en una jerga juridica incomprensible. La CNIL (autoridad francesa de proteccion de datos) insiste en que el consentimiento debe ser “informado” — lo que supone que el usuario haya realmente entendido a que consiente. Una lista de 200 socios publicitarios presentada en bloque de texto no cumple esta exigencia de claridad.
4. El consentimiento debe ser especifico
El usuario debe poder consentir finalidad por finalidad. Un consentimiento global (“aceptar todo”) es posible, pero no debe ser la unica opcion. El detalle por categoria debe seguir siendo accesible.
En la practica, esto implica proponer como minimo las siguientes categorias: cookies de medicion de audiencia, cookies publicitarias, cookies de personalizacion, cookies de redes sociales. El usuario debe poder aceptar las cookies de audiencia rechazando las cookies publicitarias, por ejemplo. Este nivel de granularidad es un derecho, no una opcion.
La agrupacion de finalidades distintas bajo una misma casilla de verificacion es una violacion del principio de especificidad. Cada finalidad debe corresponder a una eleccion distinta e independiente.
5. La duracion de conservacion de las elecciones esta regulada
La CNIL (autoridad francesa de proteccion de datos) recomienda conservar las elecciones del usuario (consentimiento o rechazo) durante un periodo de 6 meses. Despues, el banner debe presentarse nuevamente. Para los rastreadores de medicion de audiencia exentos de consentimiento, la duracion de vida recomendada es de 13 meses maximo.
Esta duracion de 6 meses es una recomendacion, no una obligacion legal estricta. Sin embargo, en caso de control, la CNIL (autoridad francesa de proteccion de datos) espera que el editor pueda justificar la duracion elegida. Una duracion de 12 o 24 meses seria dificil de defender en relacion con el principio de minimizacion y la necesidad de asegurarse de que el consentimiento sigue vigente.
Es importante señalar que esta duracion se aplica tanto al consentimiento como al rechazo. Si el usuario rechazo las cookies hace 6 meses, es legitimo reproponerle la eleccion — pero sin dark patterns ni acoso.
6. Cero scripts antes del consentimiento
Ninguna cookie no estrictamente necesaria debe depositarse antes de la recogida del consentimiento. Es la regla mas violada: la CNIL (autoridad francesa de proteccion de datos) sanciono a Shein en septiembre de 2025 precisamente porque cookies publicitarias se depositaban desde la llegada al sitio, antes de cualquier interaccion con el banner.
La dificultad tecnica es real. Muchos sitios integran scripts de terceros en el <head> de sus paginas HTML: Google Analytics, el pixel de Facebook, scripts de chat en linea, herramientas de A/B testing. Estos scripts depositan cookies desde su carga, antes incluso de que el banner se muestre.
Para ser conforme, su CMP (Consent Management Platform) debe bloquear tecnicamente la ejecucion de estos scripts. No un bloqueo cosmetico (mostrar el banner por encima) — un bloqueo real verificado por inspeccion del trafico de red. Es exactamente lo que la CNIL (autoridad francesa de proteccion de datos) prueba durante sus controles en linea.
7. La prueba del consentimiento es obligatoria
El articulo 7 del RGPD es explicito: el responsable del tratamiento debe estar en condiciones de demostrar que la persona ha consentido. Esto implica conservar una prueba con fecha, identificable y verificable de la eleccion de cada usuario.
Una prueba valida debe contener como minimo:
- Un identificador tecnico que permita encontrar la eleccion de un usuario dado (no necesariamente un nombre, pero si un identificador unico)
- Una marca de tiempo precisa del momento en que se recogio el consentimiento
- El detalle de las finalidades aceptadas y rechazadas por el usuario
- La version del banner presentada en el momento de la eleccion (el contenido informativo mostrado)
Una cookie local que contiene consent=true no constituye una prueba admisible. El usuario puede borrarla, un script puede modificarla, y sobre todo el editor no puede presentarla a la CNIL (autoridad francesa de proteccion de datos) como prueba fiable. La prueba debe almacenarse del lado del servidor.
Los dark patterns prohibidos por la CNIL
En diciembre de 2024, la CNIL (autoridad francesa de proteccion de datos) requirio a varios editores por el uso de dark patterns en sus banners de cookies. Los dark patterns son tecnicas de diseño que manipulan al usuario para orientarlo hacia una eleccion que no es de su interes. Aqui estan las practicas que constituyen violaciones caracterizadas.
El boton “Aceptar” sobredimensionado
Presentar el boton de aceptacion en un color vivo, un tamaño de fuente grande, mientras que el boton de rechazo es un simple enlace textual poco visible. La CNIL (autoridad francesa de proteccion de datos) considera que esta asimetria visual sesga la eleccion del usuario e invalida el caracter “libre” del consentimiento.
El rechazo enterrado en la configuracion
Obligar al usuario a navegar por submenus o paginas sucesivas para rechazar las cookies, mientras que un solo clic basta para aceptar. Esto es exactamente lo que se le reprochó a Google y Facebook en enero de 2022, lo que les valio 150 y 60 millones de euros de multas respectivamente.
El lenguaje ambiguo
Formular el rechazo en terminos complejos como “Declino las finalidades no esenciales” en lugar de un simple “Rechazar todo”. La ambiguedad del lenguaje es un dark pattern identificado por la CNIL (autoridad francesa de proteccion de datos). El vocabulario debe ser simple, directo y comprensible para todos.
Los botones “Aceptar” multiples
Presentar varios botones de aceptacion mientras que el boton de rechazo solo aparece una vez, perdido en el texto.
El pre-marcado de casillas
Toda casilla pre-marcada para una cookie no esencial invalida el consentimiento. El consentimiento debe ser un acto positivo, no un defecto que el usuario deba anular activamente. Esta regla se deriva directamente de la sentencia Planet49 del Tribunal de Justicia de la Union Europea (1 de octubre de 2019).
El banner recurrente despues del rechazo
Representar el banner en cada pagina o despues de unos segundos cuando el usuario ha rechazado las cookies constituye una forma de acoso. La eleccion del usuario debe respetarse durante toda la duracion de conservacion prevista (6 meses recomendados).
Los errores mas frecuentes
Error 1: los scripts de terceros cargados antes del consentimiento
Un tag de Google Analytics, un pixel de Facebook o un script de chat en linea cargados en el <head> de la pagina, antes de que el banner se muestre. Incluso si el banner esta presente, el daño esta hecho: las cookies ya estan depositadas.
Error 2: el consentimiento no renovable
El usuario acepto las cookies, pero no puede cambiar de opinion facilmente. La CNIL (autoridad francesa de proteccion de datos) exige que el mecanismo de retirada del consentimiento sea accesible en todo momento y tan simple como el consentimiento inicial.
Error 3: la ausencia de prueba
Muchas CMP registran la eleccion del usuario en una cookie local, pero no conservan ninguna prueba del lado del servidor. En caso de control de la CNIL (autoridad francesa de proteccion de datos), el editor no puede demostrar que el consentimiento se recogio conforme a las exigencias.
Error 4: las cookies “estrictamente necesarias” demasiado generosas
Algunos editores clasifican cookies de medicion de audiencia o de personalizacion como “estrictamente necesarias” para evitar pedir el consentimiento. La CNIL (autoridad francesa de proteccion de datos) tiene criterios estrictos: solo las cookies indispensables para el funcionamiento tecnico del servicio estan exentas.
Error 5: la ausencia de actualizacion
Las recomendaciones evolucionan. La actualizacion de diciembre de 2025 sobre el consentimiento multi-terminales añade nuevas obligaciones para los sitios con autenticacion. Un banner configurado en 2021 probablemente ya no es conforme en 2026.
Error 6: la politica de cookies obsoleta o ausente
El banner de consentimiento remite a una politica de cookies que no se ha actualizado desde hace años, que no lista las cookies realmente utilizadas, o que no menciona los terceros que depositan rastreadores.
La tabla de sanciones recientes
| Empresa | Monto | Fecha | Motivo principal |
|---|---|---|---|
| 325 M EUR | Septiembre 2025 | Cookies depositadas sin consentimiento en la creacion de cuentas | |
| Shein | 150 M EUR | Septiembre 2025 | Cookies publicitarias depositadas antes de interaccion con el banner |
| 150 M EUR | Enero 2022 | Rechazo de cookies mas complejo que la aceptacion | |
| 60 M EUR | Enero 2022 | Rechazo de cookies mas complejo que la aceptacion | |
| American Express | 1,5 M EUR | Noviembre 2025 | Incumplimiento de las reglas de cookies |
| Conde Nast (Vanity Fair) | 750 000 EUR | Noviembre 2025 | Cookies depositadas a pesar del rechazo del usuario |
Como Cookilio responde a cada exigencia
En DPLIANCE, pensamos que el consentimiento no es un obstaculo a evitar. Es un compromiso a cumplir. Cookilio fue concebido para responder especificamente a cada exigencia de la CNIL (autoridad francesa de proteccion de datos).
Consentimiento explicito: el banner multi-etapas (wizard) guia al usuario en un recorrido claro, sin manipulacion.
Simetria aceptacion/rechazo: el boton “Rechazar todo” esta siempre presente al mismo nivel y con la misma visibilidad que “Aceptar todo”. Ningun dark pattern, ninguna asimetria visual.
Cero scripts antes del consentimiento: Cookilio bloquea tecnicamente la ejecucion de todo script de terceros mientras el usuario no haya hecho su eleccion.
Prueba de consentimiento server-side: cada eleccion se registra del lado del servidor con un correlation ID unico y una marca de tiempo. En caso de control, tiene la prueba completa.
Autoalojamiento: los datos de consentimiento permanecen en sus propios servidores. Ningun transito por un servicio de terceros. Soberania total sobre sus datos.
Widget ultra-ligero: construido en Preact, el widget Cookilio minimiza el impacto en el rendimiento de su sitio.
Retirada del consentimiento accesible: un widget flotante permite al usuario modificar sus elecciones en cualquier momento, en un clic.
Descubrir Cookilio — a partir de 9 EUR sin impuestos/mes.
FAQ
Un banner de cookies es obligatorio para todos los sitios?
Si, desde el momento en que deposita cookies no estrictamente necesarias para el funcionamiento del servicio. Esto incluye las cookies de medicion de audiencia (salvo las exentas por la CNIL bajo condiciones estrictas), las cookies publicitarias, las cookies de redes sociales y las cookies de personalizacion.
Que se arriesga en caso de no conformidad?
La CNIL (autoridad francesa de proteccion de datos) puede pronunciar multas de hasta el 4 % de la facturacion anual mundial. Las sanciones recientes muestran que la CNIL (autoridad francesa de proteccion de datos) no duda en golpear fuerte: 325 millones para Google, 150 millones para Shein.
El consentimiento por la continuacion de la navegacion es valido?
No. La CNIL (autoridad francesa de proteccion de datos) descarto explicitamente esta practica en su recomendacion de septiembre de 2020. El consentimiento debe resultar de un acto positivo claro, tipicamente un clic en un boton dedicado.
Cuanto tiempo sigue siendo valido el consentimiento?
La CNIL (autoridad francesa de proteccion de datos) recomienda 6 meses como buena practica para la conservacion de las elecciones del usuario. Mas alla, el banner debe presentarse nuevamente para renovar la eleccion.
Se puede utilizar un cookie wall para condicionar el acceso al sitio?
Bajo condiciones estrictas. El Consejo de Estado juzgo el 19 de junio de 2020 que la CNIL (autoridad francesa de proteccion de datos) no podia prohibir los cookie walls de manera general. Pero la CNIL (autoridad francesa de proteccion de datos) publico criterios estrictos: se necesita una alternativa equivalente, sin discriminacion en el acceso al contenido, y una transparencia total sobre el mecanismo. Los servicios publicos y los sitios en posicion de monopolio no pueden usar cookie wall.
Como verificar si mi banner es conforme?
Realice una auditoría en tres etapas. Primero, verifique visualmente que el boton de rechazo sea tan visible como el boton de aceptacion, en la misma pantalla, con el mismo numero de clics. Luego, verifique tecnicamente que ninguna cookie no esencial se deposite antes de la interaccion con el banner (herramientas de desarrollo del navegador, pestaña Red). Finalmente, verifique que conserva una prueba del lado del servidor de cada consentimiento recogido.
Fuentes: CNIL, Recomendacion cookies del 17 de septiembre de 2020 — CNIL, Reglas cookies — CNIL, Dark patterns in cookie banners — CNIL, Sancion Google 325 M EUR — CNIL, Sancion Shein 150 M EUR — CNIL, Recomendacion consentimiento multi-terminales