Volver a los artículos
Consentement
Consentimiento RGPD Cookies CMP

Gestion del consentimiento cookies: guía RGPD 2026

3 de diciembre de 2025 6 min de lectura DPLIANCE

La gestion del consentimiento de cookies no es un tema tecnico accesorio. Es el punto de contacto entre su sitio web, el derecho europeo y la confianza de sus usuarios. En 2025, la CNIL (autoridad francesa de proteccion de datos) pronuncio 83 sanciones por un monto total de cerca de 487 millones de euros. La gran mayoria de los incumplimientos se refieren al consentimiento: cookies depositadas antes del acuerdo, prueba inexistente, rechazo mal implementado.

Esta guía cubre todo lo que un editor de sitio debe saber para implementar una gestion del consentimiento conforme al RGPD en 2026.

Por que la gestion del consentimiento es crucial

Un riesgo financiero real

Los montos de las sanciones de la CNIL (autoridad francesa de proteccion de datos) ya no son simbolicos. En septiembre de 2025, Google recibio 325 millones de euros y Shein 150 millones por incumplimientos relacionados con cookies. Las pymes y ETI no se libran: la CNIL (autoridad francesa de proteccion de datos) invito explicitamente a todos los organismos privados y publicos a auditar sus sitios.

Un riesgo reputacional

Un banner de cookies no conforme es visible para cada visitante. Es a menudo el primer punto de contacto con su marca. Un dark pattern envia un señal claro: no respeta las elecciones de sus usuarios.

El articulo 82 de la ley Informatique et Libertes, el articulo 7 del RGPD y la recomendacion de la CNIL (autoridad francesa de proteccion de datos) del 17 de septiembre de 2020 no dejan lugar a la interpretacion.

Como la CNIL controla

Controles en linea automatizados

La CNIL (autoridad francesa de proteccion de datos) analiza el trafico de red generado por los sitios web. Utiliza herramientas automatizadas que reproducen el comportamiento de un usuario: carga de la pagina, inspeccion de cookies depositadas antes de cualquier interaccion, verificacion de las peticiones de red salientes.

Verificacion de la efectividad de las elecciones

La CNIL (autoridad francesa de proteccion de datos) no se limita a verificar la presencia de un banner. Prueba si el rechazo es efectivamente respetado en la implementacion tecnica. En el caso Conde Nast / Vanity Fair (noviembre de 2025), la CNIL (autoridad francesa de proteccion de datos) constato que cookies seguian siendo depositadas y leidas despues de que el usuario habia hecho clic en “Rechazar todo”. La multa de 750 000 euros sancionaba especificamente este desfase entre la apariencia de conformidad y la realidad tecnica.

Elegir un CMP: los criterios que importan

1. Bloqueo efectivo de los scripts

El CMP debe bloquear tecnicamente la ejecucion de los scripts de terceros mientras el usuario no haya consentido. No un bloqueo simbolico — un bloqueo real, verificable por inspeccion del trafico de red.

2. Prueba de consentimiento server-side

La prueba del consentimiento (articulo 7 RGPD) debe almacenarse del lado del servidor, con un identificador unico y una marca de tiempo. Una cookie local que contiene “consent=true” no constituye una prueba.

3. Localizacion de los datos

Donde se almacenan los datos de consentimiento? En un proveedor americano sometido al Cloud Act? En sus propios servidores? Los datos de consentimiento son ellos mismos datos personales.

4. Rendimiento

El widget de consentimiento se carga en cada pagina, para cada visitante. Un script pesado degrada los Core Web Vitals, penaliza su SEO y deteriora la experiencia del usuario.

5. Conformidad reglamentaria real

Un CMP puede estar certificado IAB TCF y sin embargo no ser conforme a las exigencias de la CNIL (autoridad francesa de proteccion de datos). Verifique: el boton “Rechazar todo” esta presente por defecto en la primera pantalla? Las cookies estan realmente bloqueadas antes del consentimiento?

Comparativa de soluciones del mercado

Tarteaucitron

Solucion open source francesa, gratuita. Puntos fuertes: gratuidad, comunidad activa, bloqueo de scripts por tags. Puntos debiles: sin prueba de consentimiento server-side nativa, configuracion tecnica necesaria, mantenimiento enteramente a su cargo.

Axeptio

Solucion francesa, interfaz cuidada. Puntos fuertes: UX trabajada y original, buena integracion con los principales CMS. Puntos debiles: alojamiento de datos en Axeptio, tarificacion que sube con el trafico, sin prueba server-side con correlation IDs.

Didomi

Solucion orientada a grandes cuentas. Puntos fuertes: compatible TCF 2.2, interfaz de reporting avanzada, soporte multi-paises. Puntos debiles: complejidad de configuracion, coste elevado, datos alojados en Didomi.

CookieBot (Usercentrics)

Solucion danesa, muy extendida en Europa. Puntos fuertes: escaneo automatico de cookies, amplia base de datos de scripts conocidos. Puntos debiles: datos alojados fuera de Francia, widget a veces pesado, tarificacion por numero de paginas.

Cookilio (DPLIANCE)

Solucion francesa, concebida especificamente para la conformidad con la CNIL (autoridad francesa de proteccion de datos). Puntos fuertes:

  • Cero scripts antes del consentimiento: bloqueo tecnico real
  • Prueba server-side: cada eleccion se registra del lado del servidor con un correlation ID unico
  • Autoalojamiento: los datos de consentimiento permanecen en sus propios servidores. Soberania total
  • Widget ultra-ligero: construido en Preact, impacto minimo en el rendimiento
  • Banner multi-etapas: wizard que guia al usuario sin dark pattern
  • Tarificacion simple: 9 EUR sin impuestos/mes + 250 EUR sin impuestos de instalacion

Descubrir Cookilio

FAQ

Un CMP es obligatorio?

Tecnicamente, no. El RGPD y la CNIL (autoridad francesa de proteccion de datos) no imponen el uso de un CMP como tal. Imponen la recogida de un consentimiento conforme, el bloqueo de scripts antes del consentimiento, y la conservacion de una prueba. En la practica, estas obligaciones son casi imposibles de cumplir sin una herramienta dedicada.

El TCF 2.2 es obligatorio?

No. El TCF es un estandar de la industria publicitaria (IAB Europe), no una obligacion legal. Es pertinente si trabaja con socios publicitarios programaticos. Pero ser conforme TCF no significa ser conforme a las exigencias de la CNIL (autoridad francesa de proteccion de datos).

Se puede usar el interes legitimo para las cookies analytics?

La CNIL (autoridad francesa de proteccion de datos) no reconoce el interes legitimo como base juridica para el deposito de cookies. Para las cookies de medicion de audiencia, existe una exencion de consentimiento, pero bajo condiciones estrictas.

Como verificar que mi CMP bloquea realmente los scripts?

Abra las herramientas de desarrollo de su navegador (pestaña “Red”), elimine todas las cookies, recargue la pagina y observe las peticiones de red antes de interactuar con el banner. Si ve llamadas hacia dominios de terceros, su CMP no bloquea efectivamente los scripts.

Fuentes: CNIL, Recomendacion cookies del 17 de septiembre de 2020 — CNIL, Dark patterns in cookie banners — CNIL, Sancion Google 325 M EUR — CNIL, Sancion Shein 150 M EUR

Escríbanos

contact@dpliance.com
Contáctenos