Requisits del bàner de cookies GDPR: La llista de verificació definitiva de compliment per al 2026
El fonament legal
Les obligacions de consentiment de cookies provenen del GDPR (Regulation 2016/679) i la ePrivacy Directive (2002/58/EC). La ePrivacy Directive requereix consentiment abans d'emmagatzemar informació al dispositiu de l'usuari (Article 5(3)), mentre que el GDPR defineix el consentiment vàlid (Article 4(11), Article 7, Recital 32).
Els 14 requisits
1. Consentiment previ
Les cookies no essencials no s'han d'activar fins que l'usuari doni el seu consentiment. L'Article 5(3) de la ePrivacy Directive és explícit. CNIL va multar Google amb EUR 150 milions (2022) per carregar cookies abans de la interacció de l'usuari.
2. Consentiment lliurement atorgat
El consentiment no pot ser una condició d'accés (GDPR Article 4(11)). No es pot agrupar el consentiment de cookies amb els termes de servei.
3. Selecció granular de finalitats
Els usuaris han de consentir cada finalitat de manera independent — analítica, publicitat, funcional (GDPR Recital 43). Un únic "Acceptar-ho tot" sense selecció de categories és insuficient.
4. Igual prominència per a Acceptar i Rebutjar
Rebutjar ha de ser tan visible com Acceptar. CNIL requereix un botó "Rebutjar-ho tot" a la primera capa amb el mateix pes visual. Microsoft va ser multada amb EUR 60 milions (2022) en part per amagar l'opció de rebuig.
5. Sense caselles premarcades
Sentència CJEU Planet49 (C-673/17, 2019): les caselles premarcades no són consentiment vàlid. Totes les categories han d'estar desactivades per defecte.
6. Sense murs de cookies
Bloquejar l'accés al lloc fins que es doni el consentiment és generalment no conforme. L'EDPB i la DPA neerlandesa ho han confirmat.
7. Llenguatge clar i senzill
GDPR Article 7(2) — les sol·licituds de consentiment han d'utilitzar un llenguatge clar i senzill. "Utilitzem cookies per millorar la vostra experiència" és insuficient.
8. Coincidència d'idioma
GDPR Article 12(1) — la informació ha de ser intel·ligible. El bàner ha de coincidir amb l'idioma del lloc web.
9. Enllaç a la política de cookies
GDPR Articles 13-14 requereixen informació completa. El bàner ha d'enllaçar a una política de cookies completa que llisti totes les cookies.
10. Retirada fàcil
GDPR Article 7(3) — la retirada ha de ser tan fàcil com donar el consentiment. Un widget persistent o un enllaç al peu de pàgina ha de permetre reobrir la interfície de consentiment.
11. Registre del consentiment
GDPR Article 7(1) — heu de demostrar que s'ha obtingut el consentiment. Registreu marques de temps, opcions i versions del bàner.
12. Divulgació de tercers
GDPR Article 13(1)(e) — divulgueu tots els destinataris de dades de tercers. Sota TCF 2.3, la llista de proveïdors ha de ser accessible des de la interfície de consentiment.
13. Transparència en la retenció de dades
GDPR Article 13(2)(a) — divulgueu quant de temps persisteixen les cookies.
14. Adaptabilitat mòbil
No hi ha exempció GDPR per a mòbils. Els botons han de ser tocables, el text llegible, la interfície funcional en totes les mides de pantalla.
Llista de verificació ràpida d'auditoria
- Cap cookie no essencial s'activa abans del consentiment
- Acceptar i Rebutjar són igualment visibles a la primera capa
- La selecció de categories individuals està disponible
- Sense commutadors preseleccionats per a categories no essencials
- El lloc és accessible fins i tot si l'usuari rebutja tot
- L'idioma del bàner coincideix amb l'idioma del contingut
- S'utilitza un llenguatge senzill i no tècnic
- L'enllaç a la política de cookies completa és visible al bàner
- La política de cookies llista cada cookie per nom, finalitat i durada
- Un widget persistent permet reobrir la interfície de consentiment
- Retirar el consentiment requereix el mateix nombre de clics que donar-lo
- Els registres de consentiment es guarden amb marques de temps
- Els destinataris de tercers estan divulgats
- El bàner és funcional en dispositius mòbils
- Sense colors, mides o redacció manipuladors
Automatitzeu-ho: FlexyConsent gestiona tots els requisits de sèrie — CMP certificat per Google amb IAB TCF 2.3, Consent Mode V2, 43+ idiomes, plans des d'EUR 0/mes. Comenceu a panel.flexyconsent.com.