Volver a los artículos
Consentement
Consentimiento RGPD Cookies ePrivacy

Cookies y RGPD: todo lo que hay que saber en 2026

22 de octubre de 2025 17 min de lectura DPLIANCE

Cookies y RGPD: dos términos que todo editor de sitio web encuentra a diario, pero que pocos dominan realmente. Entre el reglamento europeo, la directiva ePrivacy, las recomendaciones de la CNIL (autoridad francesa de protección de datos) y las sanciones que se acumulan, el marco jurídico es denso. Esta guía hace balance de todo lo que hay que saber en 2026 para estar en conformidad.

Una cookie es un pequeño archivo de texto depositado en el terminal del usuario (ordenador, smartphone, tableta) por el servidor del sitio visitado o por un tercero. Permite almacenar información: preferencias de idioma, identificador de sesión, historial de navegación, datos de segmentación publicitaria.

Las cookies no son todas iguales. Algunas son indispensables para el funcionamiento del sitio. Otras sirven para rastrear el comportamiento del usuario con fines comerciales. Es esta distinción la que fundamenta todo el marco jurídico.

Es importante comprender que el término “cookie” en el contexto reglamentario cubre un perímetro más amplio que las solas cookies HTTP. La CNIL (autoridad francesa de protección de datos) utiliza el término “rastreadores” que engloba también el fingerprinting (huella digital del navegador), los píxeles espía, el almacenamiento local (localStorage, sessionStorage), los identificadores publicitarios móviles y cualquier otra tecnología que permita seguir la actividad de un usuario. Las reglas descritas en esta guía se aplican al conjunto de estas tecnologías.

Las tres categorías de cookies

Cookies estrictamente necesarias

Permiten el funcionamiento básico del sitio: autenticación, memorización del carrito de compra, equilibrado de carga del servidor, conservación de preferencias de seguridad, protección contra el fraude (tokens CSRF). Estas cookies están exentas de consentimiento en virtud del artículo 82 de la ley francesa Informatique et Libertés.

El criterio determinante es la necesidad técnica: sin estas cookies, el servicio solicitado por el usuario no podría funcionar. Por ejemplo, una cookie de sesión que mantiene la autenticación del usuario es estrictamente necesaria. En cambio, una cookie que memoriza las preferencias de personalización del contenido (tema oscuro, idioma preferido) es objeto de debate — la CNIL (autoridad francesa de protección de datos) tiende a considerar que las cookies de preferencias no esenciales requieren un consentimiento, salvo si son indispensables para la prestación del servicio explícitamente solicitado.

Cookies de medición de audiencia

Miden la frecuentación del sitio: número de visitantes, páginas vistas, tiempo dedicado, tasa de rebote, recorridos de navegación. La CNIL (autoridad francesa de protección de datos) prevé una exención de consentimiento bajo condiciones estrictas:

  • Los datos deben ser anónimos (sin cruce con otros tratamientos que permitan la identificación)
  • Los datos deben utilizarse exclusivamente por el editor del sitio (sin transmisión a terceros)
  • Los datos no deben cruzarse con otros tratamientos (CRM, base de clientes, publicidad)
  • La duración de vida del rastreador debe limitarse a 13 meses máximo
  • El alcance del rastreador debe limitarse a un único sitio o una única aplicación

Solo ciertas herramientas se benefician de esta exención. La CNIL (autoridad francesa de protección de datos) mantiene una lista de soluciones conformes en su sitio, que incluye notablemente Matomo (en ciertas configuraciones) y algunas otras herramientas respetuosas con la vida privada. La mayoría de las configuraciones estándar de Google Analytics, por ejemplo, no cumplen estos criterios — en particular porque los datos transitan por los servidores de Google y pueden cruzarse con otros servicios.

Cookies de marketing y publicitarias

Segmentación comportamental, retargeting, medición de campañas publicitarias, botones de compartir social que depositan rastreadores, scripts de chatbots de marketing, herramientas de test A/B que recopilan datos personales: todas estas cookies requieren un consentimiento explícito y previo. Es la categoría más regulada y más sancionada.

Estas cookies son a menudo las más numerosas en un sitio. Una auditoría técnica revela frecuentemente que decenas de cookies de terceros son depositadas por los scripts publicitarios, las redes sociales y las herramientas de marketing — a menudo sin que el editor lo sepa, a través de cadenas de subcontratación publicitaria opacas.

¿Qué dice el RGPD exactamente?

El RGPD (Reglamento General de Protección de Datos), en vigor desde mayo de 2018, regula el tratamiento de datos personales. No menciona las cookies de forma explícita, pero se aplica desde el momento en que una cookie permite identificar directa o indirectamente a una persona — lo cual es el caso de la práctica totalidad de las cookies de marketing y de medición de audiencia.

Artículo 4(11): la definición del consentimiento

El consentimiento se define como “toda manifestación de voluntad, libre, específica, informada e inequívoca por la cual la persona afectada acepta, mediante una declaración o un acto positivo claro, que datos personales que le conciernen sean objeto de un tratamiento.”

Cuatro condiciones acumulativas: libre, específica, informada, inequívoca. Si falta una, el consentimiento es inválido.

  • Libre: el usuario no debe sufrir ninguna presión, ninguna consecuencia negativa en caso de rechazo. Un cookie wall sin alternativa contraviene potencialmente esta exigencia.
  • Específica: el consentimiento debe referirse a una finalidad precisa. Agrupar publicidad y medición de audiencia bajo un mismo consentimiento no es específico.
  • Informada: el usuario debe disponer de toda la información necesaria para comprender aquello a lo que consiente. Una jerga técnica incomprensible no informa a nadie.
  • Inequívoca: el consentimiento debe resultar de un acto positivo, no de una inacción. El silencio, las casillas premarcadas o la inactividad no constituyen un consentimiento.

Artículo 7: las condiciones del consentimiento

El artículo 7 impone tres obligaciones suplementarias:

  1. Prueba del consentimiento: el responsable del tratamiento debe poder demostrar que la persona ha consentido. Una cookie local no basta — se necesita una traza verificable, con marca de tiempo, almacenada del lado del servidor.

  2. Separación de finalidades: si el consentimiento se solicita en el marco de una declaración escrita que concierne también a otras cuestiones, la solicitud de consentimiento debe presentarse de manera distinta, en una forma comprensible y fácilmente accesible, y formulada en términos claros y sencillos.

  3. Derecho de retirada: la persona debe poder retirar su consentimiento en cualquier momento, y debe ser tan simple retirarlo como darlo. Un botón “Aceptar” en un clic pero una retirada que requiere enviar un correo electrónico al DPO no es conforme.

Artículo 6: la base jurídica del tratamiento

Para las cookies no esenciales, la única base jurídica aplicable es el consentimiento (artículo 6.1.a). El interés legítimo no puede invocarse para justificar el depósito de cookies publicitarias o de rastreo. La CNIL (autoridad francesa de protección de datos) ha sido muy clara en este punto, en oposición a ciertas interpretaciones del TCF (Transparency and Consent Framework) del IAB que permiten la invocación del interés legítimo para ciertas finalidades.

¿Qué dice la directiva ePrivacy?

La directiva 2002/58/CE (directiva “vida privada y comunicaciones electrónicas”), llamada directiva ePrivacy, es el texto específico a las cookies. Su artículo 5(3) establece el principio: toda acción destinada a almacenar información o a acceder a información ya almacenada en el terminal de un usuario requiere el consentimiento previo de éste, salvo si el almacenamiento es estrictamente necesario para la prestación del servicio.

En Francia, este artículo está transpuesto por el artículo 82 de la ley Informatique et Libertés.

La directiva ePrivacy es un texto de 2002, actualizado en 2009. Un proyecto de reglamento ePrivacy está en discusión a nivel europeo desde 2017 para reemplazarla, pero aún no ha concluido en 2026. Este retraso crea una situación paradójica: las reglas aplicables a las cookies se basan en un texto de más de 20 años, completado por el RGPD y las interpretaciones de las autoridades nacionales. Las reglas actuales siguen en vigor, y la CNIL (autoridad francesa de protección de datos) las aplica con un rigor creciente.

La relación entre la directiva ePrivacy y el RGPD es la de la lex specialis: la directiva ePrivacy es el texto especial que se aplica con prioridad para todo lo que concierne al acceso al terminal del usuario (depósito y lectura de cookies). El RGPD se aplica a continuación para todo lo que concierne al tratamiento de los datos recopilados a través de estas cookies.

¿Qué dice la CNIL (autoridad francesa de protección de datos)?

La CNIL (autoridad francesa de protección de datos) es la autoridad nacional encargada de la aplicación de estos textos en Francia. Sus directrices y su recomendación del 17 de septiembre de 2020 (deliberación n.º 2020-091 y n.º 2020-092) constituyen el marco de referencia para los editores franceses.

Los puntos clave de la recomendación CNIL (autoridad francesa de protección de datos)

Sin depósito antes del consentimiento. Ninguna cookie no esencial puede depositarse o leerse antes de que el usuario haya expresado su elección. La CNIL (autoridad francesa de protección de datos) sancionó a Shein con 150 millones de euros en septiembre de 2025 precisamente por esta violación: cookies publicitarias eran depositadas desde la llegada al sitio.

Simetría de las opciones. El mecanismo de rechazo debe estar presente al mismo nivel y con la misma facilidad que la aceptación. Un botón “Rechazar todo” debe ser tan visible como “Aceptar todo”. Esta exigencia se refiere al tamaño, el color, la posición y el número de clics necesarios.

Información previa. El usuario debe conocer la identidad de los responsables del tratamiento, las finalidades de las cookies y la manera de retirar su consentimiento, antes de hacer su elección. Esta información debe ser clara, concisa y comprensible.

Consentimiento granular. El usuario debe poder consentir finalidad por finalidad. Un botón “Aceptar todo” está autorizado, pero el detalle por categoría debe permanecer accesible. El usuario debe poder aceptar las cookies de audiencia rechazando las cookies publicitarias.

Retirada del consentimiento. Un mecanismo de retirada debe ser accesible en todo momento, tan simplemente como se dio el consentimiento. Un widget flotante, un enlace en el pie de página o un botón permanente son soluciones aceptables.

Prueba del consentimiento. El editor debe poder demostrar en todo momento que ha recogido un consentimiento válido, con un identificador, una marca de tiempo y el detalle de las elecciones.

La actualización de diciembre de 2025

La deliberación n.º 2025-131, publicada en el Diario oficial el 18 de enero de 2026, añade un apartado sobre el consentimiento multi-terminales (cross-device). Un editor puede ahora recoger un consentimiento único para todos los terminales conectados a la misma cuenta de usuario, bajo condiciones estrictas:

  • Universo autenticado únicamente: el consentimiento cross-device solo se aplica a los usuarios conectados a una cuenta
  • Simetría perfecta entre aceptación y rechazo en todos los terminales
  • Información previa del usuario sobre el carácter cross-device del consentimiento
  • Pseudonimización de los identificadores técnicos utilizados para vincular los terminales
  • Posibilidad de retirada en cada terminal individualmente

Esta actualización responde a una necesidad práctica de los editores (evitar volver a solicitar el consentimiento en cada dispositivo) manteniendo un alto nivel de protección de los usuarios.

Checklist de conformidad cookies 2026

Estos son los puntos a verificar para estar en regla. Esta checklist puede servir de base para una auditoría interna.

Antes del depósito de cookies

  • Ninguna cookie no esencial se deposita antes de la recogida del consentimiento
  • Los scripts de terceros (analytics, publicidad, social) están bloqueados técnicamente mientras el usuario no haya consentido
  • Las cookies “estrictamente necesarias” son realmente indispensables para el funcionamiento del servicio
  • Un inventario completo de las cookies depositadas por el sitio se mantiene actualizado
  • Cada cookie está clasificada en la categoría correcta (necesaria, audiencia, marketing, personalización)

El banner de consentimiento

  • Un botón “Aceptar todo” y un botón “Rechazar todo” están presentes al mismo nivel
  • Los dos botones tienen el mismo tamaño, la misma visibilidad, el mismo peso visual
  • La información sobre las finalidades y los responsables del tratamiento es accesible antes de la elección
  • El consentimiento por finalidad (granular) está disponible
  • Ningún dark pattern se utiliza (sin premarcado, sin lenguaje ambiguo, sin botón de rechazo oculto)
  • El banner está redactado en un lenguaje claro y comprensible

Después del consentimiento

  • Un mecanismo de retirada del consentimiento es accesible en todo momento (icono flotante, enlace en el pie de página)
  • Las elecciones del usuario se conservan durante 6 meses máximo
  • El banner se muestra de nuevo al expirar este plazo
  • En caso de rechazo, ninguna cookie no esencial se deposita ni se lee
  • El rechazo se respeta efectivamente (verificado por inspección del tráfico de red)

La prueba

  • Cada elección se registra con una marca de tiempo y un identificador único
  • La prueba se almacena del lado del servidor (no únicamente en una cookie local)
  • Las pruebas son conservadas y accesibles en caso de control de la CNIL (autoridad francesa de protección de datos)
  • La versión del banner presentada en el momento de la elección está archivada

La documentación

  • La política de cookies está actualizada y es accesible desde cada página
  • La lista de cookies utilizadas, sus finalidades y su duración de vida está documentada
  • Los subcontratistas que depositan cookies están identificados
  • El registro de tratamientos incluye los tratamientos vinculados a las cookies

Las sanciones que se acumulan

El año 2025 marca un punto de inflexión en la aplicación. La CNIL (autoridad francesa de protección de datos) ha pronunciado 83 sanciones por un total de 486.839.500 euros. Entre los casos vinculados a las cookies:

  • Google: 325 millones de euros (septiembre de 2025) por cookies depositadas sin consentimiento durante la creación de cuentas y publicidades insertadas en Gmail.
  • Shein: 150 millones de euros (septiembre de 2025) por cookies publicitarias depositadas antes de cualquier interacción con el banner.
  • American Express: 1,5 millones de euros (noviembre de 2025) por incumplimiento de las reglas de cookies.
  • Condé Nast / Vanity Fair: 750.000 euros (noviembre de 2025) por cookies depositadas a pesar del rechazo del usuario.

Estas sanciones ya no se dirigen solo a los gigantes. La CNIL (autoridad francesa de protección de datos) ha invitado explícitamente a todos los organismos privados y públicos a auditar sus sitios web y aplicaciones móviles. Los controles en línea automatizados permiten a la CNIL (autoridad francesa de protección de datos) verificar la conformidad de cualquier sitio, sin desplazamiento ni aviso previo. El riesgo es real para todas las empresas, independientemente de su tamaño.

Elegir la herramienta adecuada

Un CMP (Consent Management Platform) es la herramienta técnica que implementa su banner de consentimiento. Pero no todos los CMP son iguales. La elección de su CMP tiene un impacto directo en su conformidad real — no solo en la apariencia de conformidad.

Los criterios esenciales:

  • Bloqueo real de scripts: el CMP debe bloquear técnicamente la ejecución de los scripts de terceros, no solo mostrar un banner decorativo. Verifíquelo por inspección del tráfico de red.
  • Prueba server-side: la prueba del consentimiento debe almacenarse del lado del servidor, no únicamente en una cookie local. Una cookie consent=true no es una prueba.
  • Alojamiento de datos: ¿dónde se almacenan los datos de consentimiento? ¿En un tercero estadounidense sometido al Cloud Act, o en sus propios servidores? Los datos de consentimiento son en sí mismos datos personales.
  • Rendimiento: el widget no debe degradar los Core Web Vitals de su sitio. Un script pesado penaliza su SEO y la experiencia de usuario.
  • Conformidad CNIL (autoridad francesa de protección de datos): el CMP debe respetar las recomendaciones de la CNIL (autoridad francesa de protección de datos), no solo el estándar IAB TCF. Ser conforme TCF no significa ser conforme CNIL (autoridad francesa de protección de datos).
  • Autonomía: ¿puede configurar y actualizar el CMP sin depender de un proveedor externo?

Cookilio fue concebido por DPLIANCE exactamente para responder a estos criterios. Widget Preact ultra-ligero, cero scripts ejecutados antes del consentimiento, prueba de consentimiento server-side con correlation IDs, y autoalojamiento en sus propios servidores para una soberanía total.

El consentimiento no es un obstáculo a evitar. Es un compromiso a cumplir.

Descubrir Cookilio — a partir de 9 EUR sin impuestos/mes.

FAQ

¿Las cookies están cubiertas por el RGPD o por la directiva ePrivacy?

Los dos textos se aplican de manera complementaria. La directiva ePrivacy (transpuesta en Francia por el artículo 82 de la ley Informatique et Libertés) rige específicamente el depósito y la lectura de cookies en el terminal del usuario. El RGPD se aplica desde que los datos recopilados a través de las cookies permiten identificar a una persona, y define las condiciones de validez del consentimiento. La directiva ePrivacy es la lex specialis (ley especial) que prima sobre el RGPD para los aspectos específicos de las cookies.

¿Google Analytics requiere consentimiento?

Sí, en la mayoría de las configuraciones. La CNIL (autoridad francesa de protección de datos) prevé una exención de consentimiento para las herramientas de medición de audiencia, pero bajo condiciones estrictas: datos anónimos, uso exclusivo por el editor, sin cruce con otros tratamientos, duración de vida de los rastreadores limitada a 13 meses. Las configuraciones estándar de Google Analytics generalmente no cumplen estos criterios, en particular porque los datos transitan por los servidores de Google y pueden cruzarse con otros servicios Google.

¿Qué hacer si un usuario rechaza todas las cookies?

Debe respetar su elección íntegramente. Ninguna cookie no esencial debe depositarse ni leerse. El sitio debe seguir siendo plenamente funcional (salvo funcionalidades que por su naturaleza requieren cookies, como la personalización). No puede bloquear el acceso al contenido por el rechazo, salvo en el marco estricto de un cookie wall conforme. En la práctica, esto significa que su sitio debe estar diseñado para funcionar correctamente sin ninguna cookie no esencial.

¿Cuánto tiempo conservar la prueba del consentimiento?

La CNIL (autoridad francesa de protección de datos) no fija una duración precisa, pero la prueba debe estar disponible mientras el tratamiento basado en ese consentimiento esté en curso. En la práctica, conserve las pruebas durante la duración de validez del consentimiento (6 meses recomendados) más un plazo razonable para los controles — un año adicional es una práctica habitual. Más allá, las pruebas pueden suprimirse conforme al principio de minimización.

¿El reglamento ePrivacy va a reemplazar la directiva?

Un proyecto de reglamento ePrivacy está en discusión a nivel europeo desde 2017. En marzo de 2026, aún no ha sido adoptado. Las negociaciones se estancan en varios puntos, en particular el perímetro de la exención de consentimiento para las cookies de medición de audiencia y el tratamiento de los metadatos de comunicación. Las reglas actuales de la directiva ePrivacy y las recomendaciones de la CNIL (autoridad francesa de protección de datos) siguen siendo plenamente aplicables por una duración indeterminada.

¿El fingerprinting está sometido a las mismas reglas que las cookies?

Sí. La CNIL (autoridad francesa de protección de datos) utiliza el término “rastreadores” para englobar todas las tecnologías de seguimiento, incluido el fingerprinting (huella digital del navegador). El artículo 82 de la ley Informatique et Libertés se aplica a toda operación de acceso o inscripción de información en el terminal del usuario. El fingerprinting, que consiste en recopilar las características técnicas del navegador para crear un identificador único, está sometido al mismo régimen de consentimiento que las cookies.

Fuentes: CNIL (autoridad francesa de protección de datos), Cookies: que dit la loi? — CNIL (autoridad francesa de protección de datos), Directrices y recomendación del 17 de septiembre de 2020 — CNIL (autoridad francesa de protección de datos), Soluciones para herramientas de medición de audiencia — CNIL (autoridad francesa de protección de datos), Acciones 2025 — GDPR.eu, Cookies, the GDPR, and the ePrivacy Directive — CNIL (autoridad francesa de protección de datos), Recomendación consentimiento multi-terminales

Escríbanos

contact@dpliance.com
Contáctenos