Què exigeix el GDPR d'un bàner de cookies

El GDPR i la Directiva ePrivacy estableixen cinc regles innegociables per al consentiment de cookies:

• Lliurement atorgat: Rebutjar cookies ha de ser tan fàcil com acceptar-les.
• Específic: El consentiment s'ha de sol·licitar per separat per a cada finalitat.
• Informat: Els usuaris han de saber a què consenten abans de consentir.
• Inequívoc: Les caselles premarcades i la navegació continuada no compten.
• Revocable: Els usuaris han de poder retirar el consentiment en qualsevol moment.

Exemple 1: El bàner "Només acceptar" (No conforme)

Com es veu

Una petita barra amb "Utilitzem cookies per millorar la vostra experiència" i un únic botó "D'acord". Sense opció de rebuig, sense configuració.

Per què falla

Cap elecció genuïna, cap informació sobre cookies, cap manera de rebutjar. CNIL va multar Google amb EUR 150 milions i Facebook amb EUR 60 milions el 2022 per aquest patró exacte.

Veredicte: Il·legal segons el GDPR.

Exemple 2: Acceptar tot + petit enllaç "Gestionar preferències" (No conforme)

Com es veu

Un botó destacat "Acceptar tot" amb un petit enllaç gris "Gestionar preferències". Sense botó "Rebutjar tot".

Per què falla

La jerarquia visual empeny els usuaris cap a l'acceptació. Rebutjar requereix dos clics mentre que acceptar en requereix un. Diverses APD han dictaminat que això no és consentiment lliurement atorgat.

Veredicte: No conforme. Rebutjar ha de ser tan accessible com Acceptar.

Exemple 3: Botons iguals d'Acceptar i Rebutjar (Conforme)

Com es veu

Dos botons de la mateixa mida: "Acceptar tot" i "Rebutjar tot". A sota, un enllaç "Gestionar preferències". Breu explicació de les finalitats de les cookies.

Per què funciona

Elecció lliure genuïna, ambdues opcions igualment destacades, un clic cadascuna. Aquest és el patró que CNIL va recomanar explícitament.

Veredicte: Conforme. La base que hauria de complir cada web.

Exemple 4: El mur de cookies (No conforme)

Com es veu

Superposició a pantalla completa que bloqueja tot el contingut. L'única opció és "Acceptar cookies".

Per què falla

Article 7(4) del GDPR — el consentiment no és lliurement atorgat si l'accés al servei està condicionat. L'APD neerlandesa va concloure que els murs de cookies generalment no estan permesos.

Veredicte: No conforme a la majoria de jurisdiccions de la UE.

Exemple 5: Caselles premarcades (No conforme)

Com es veu

Bàner detallat que mostra categories de cookies amb caselles — però totes estan premarcades.

Per què falla

La sentència Planet49 del TJUE (2019) va resoldre això definitivament: les caselles premarcades no constitueixen consentiment vàlid. El consentiment requereix una acció afirmativa clara.

Veredicte: Explícitament il·legal segons la jurisprudència del TJUE.

Exemple 6: L'enfocament per capes (Conforme — Millor pràctica)

Com es veu

Primera capa: bàner compacte amb botons Acceptar tot, Rebutjar tot i Personalitzar. Segona capa: centre de preferències detallat amb commutadors per categoria i llista de proveïdors. Tercera capa: política de cookies completa.

Per què funciona

Equilibra informació amb usabilitat. La primera capa ofereix elecció, la segona detall, la tercera transparència completa. Recomanat explícitament per l'EDPB.

Veredicte: Millor pràctica. L'estàndard d'or per al compliment.

Exemple 7: Etiquetes de botons enganyoses (No conforme)

Com es veu

"Estic d'acord" versus "No estic d'acord a rebutjar cookies no essencials". O: "Acceptar configuració recomanada" versus "Utilitzar versió limitada".

Per què falla

El considerant 42 del GDPR requereix un llenguatge clar i senzill. Dobles negacions, conseqüències implícites i etiquetes manipuladores no són conformes.

Veredicte: No conforme. Utilitzeu etiquetes clares i neutrals.

Exemple 8: El bàner conforme ben fet

Com es veu

Una barra inferior neta amb: títol clar, explicació breu, tres botons amb el mateix estil (Acceptar tot, Rebutjar tot, Gestionar preferències) i un enllaç a la política de cookies. Gestionar preferències obre un centre de preferències amb commutadors individuals, llista de proveïdors i botó Desar.

Per què funciona

Compleix tots els requisits: elecció lliure, botons simètrics, informació per capes, llenguatge senzill, sense caselles premarcades, fàcil retirada mitjançant icona de configuració de cookies.

Veredicte: Totalment conforme.

Multes reals per bàners incorrectes

• Google (França, 2022): EUR 150 milions — l'opció de rebuig era més difícil de trobar que la d'acceptació.
• Facebook (França, 2022): EUR 60 milions — mateixa asimetria.
• Microsoft (França, 2022): EUR 60 milions — cookies publicitàries establertes sense consentiment vàlid.
• TikTok (França, 2023): EUR 5 milions — rebutjar cookies requeria més passos que acceptar.

Llista de verificació de compliment

• Hi ha un botó visible "Rebutjar tot" a la primera capa?
• Són Acceptar i Rebutjar igualment destacats?
• Estan totes les caselles desmarcades per defecte?
• Es mostra el bàner abans que s'estableixin cookies no essencials?
• Poden els usuaris accedir a controls granulars per categoria?
• Es registra el consentiment amb marca de temps?
• Poden els usuaris canviar el consentiment en qualsevol moment?
• Està el bàner en l'idioma de l'usuari?
• En fer clic a Rebutjar, es prevenen realment les cookies no essencials?

Com FlexyConsent gestiona això de sèrie

FlexyConsent és un CMP certificat per Google amb suport IAB TCF 2.3. Aborda tots els requisits de compliment:

• Botons iguals d'Acceptar i Rebutjar a la primera capa
• Enfocament per capes integrat (primera capa per elecció, segona per controls granulars)
• Sense caselles premarcades — totes les categories opcionals desmarcades per defecte
• Google Consent Mode V2 integrat de sèrie
• 43 idiomes amb detecció automàtica
• Geolocalització per a bàners específics per regió
• Registre de consentiment i proves per a auditories
• Plans des de EUR 0/mes

Configureu un bàner conforme en menys de cinc minuts a panel.flexyconsent.com.