Qué exige el RGPD de un banner de cookies

El RGPD y la Directiva ePrivacy establecen cinco reglas innegociables para el consentimiento de cookies:

• Libremente otorgado: Rechazar cookies debe ser tan fácil como aceptarlas.
• Específico: El consentimiento debe solicitarse por separado para cada finalidad.
• Informado: Los usuarios deben saber a qué consienten antes de consentir.
• Inequívoco: Las casillas premarcadas y la navegación continuada no cuentan.
• Revocable: Los usuarios deben poder retirar el consentimiento en cualquier momento.

Ejemplo 1: El banner "Solo aceptar" (No conforme)

Cómo se ve

Una pequeña barra con "Usamos cookies para mejorar tu experiencia" y un único botón "Aceptar". Sin opción de rechazo, sin ajustes.

Por qué falla

Sin elección real, sin información sobre cookies, sin forma de rechazar. CNIL multó a Google con 150 millones EUR y a Facebook con 60 millones EUR en 2022 por exactamente este patrón.

Veredicto: Ilegal según el RGPD.

Ejemplo 2: Aceptar todo + pequeño enlace "Gestionar preferencias" (No conforme)

Cómo se ve

Un botón destacado "Aceptar todo" con un pequeño enlace gris "Gestionar preferencias". Sin botón "Rechazar todo".

Por qué falla

La jerarquía visual empuja a los usuarios hacia la aceptación. Rechazar requiere dos clics mientras que aceptar requiere uno. Varias APD han dictaminado que esto no es consentimiento libremente otorgado.

Veredicto: No conforme. Rechazar debe ser tan accesible como Aceptar.

Ejemplo 3: Botones iguales de Aceptar y Rechazar (Conforme)

Cómo se ve

Dos botones del mismo tamaño: "Aceptar todo" y "Rechazar todo". Debajo, un enlace "Gestionar preferencias". Breve explicación de las finalidades de las cookies.

Por qué funciona

Elección libre genuina, ambas opciones igualmente prominentes, un clic cada una. Este es el patrón que CNIL recomendó explícitamente.

Veredicto: Conforme. La base que todo sitio web debería cumplir.

Ejemplo 4: El muro de cookies (No conforme)

Cómo se ve

Superposición a pantalla completa que bloquea todo el contenido. La única opción es "Aceptar cookies".

Por qué falla

Artículo 7(4) del RGPD — el consentimiento no es libre si el acceso al servicio depende de él. La APD holandesa concluyó que los muros de cookies generalmente no están permitidos.

Veredicto: No conforme en la mayoría de jurisdicciones de la UE.

Ejemplo 5: Casillas premarcadas (No conforme)

Cómo se ve

Banner detallado con categorías de cookies y casillas — pero todas están premarcadas.

Por qué falla

La sentencia Planet49 del TJUE (2019) resolvió esto definitivamente: las casillas premarcadas no constituyen consentimiento válido. El consentimiento requiere una acción afirmativa clara.

Veredicto: Explícitamente ilegal según la jurisprudencia del TJUE.

Ejemplo 6: El enfoque por capas (Conforme — Mejor práctica)

Cómo se ve

Primera capa: banner compacto con botones Aceptar todo, Rechazar todo y Personalizar. Segunda capa: centro de preferencias detallado con interruptores por categoría y lista de proveedores. Tercera capa: política de cookies completa.

Por qué funciona

Equilibra información con usabilidad. La primera capa ofrece elección, la segunda detalle, la tercera transparencia total. Recomendado explícitamente por el CEPD.

Veredicto: Mejor práctica. El estándar de oro para el cumplimiento.

Ejemplo 7: Etiquetas de botones engañosas (No conforme)

Cómo se ve

"Estoy de acuerdo" versus "No estoy de acuerdo en rechazar cookies no esenciales". O: "Aceptar configuración recomendada" versus "Usar versión limitada".

Por qué falla

El considerando 42 del RGPD requiere lenguaje claro y sencillo. Dobles negaciones, consecuencias implícitas y etiquetas manipuladoras no son conformes.

Veredicto: No conforme. Use etiquetas claras y neutrales.

Ejemplo 8: El banner conforme bien hecho

Cómo se ve

Una barra inferior limpia con: título claro, explicación breve, tres botones con el mismo estilo (Aceptar todo, Rechazar todo, Gestionar preferencias) y un enlace a la política de cookies. Gestionar preferencias abre un centro de preferencias con interruptores individuales, lista de proveedores y botón Guardar.

Por qué funciona

Cumple todos los requisitos: elección libre, botones simétricos, información por capas, lenguaje sencillo, sin casillas premarcadas, fácil revocación mediante icono de configuración de cookies.

Veredicto: Totalmente conforme.

Multas reales por banners incorrectos

• Google (Francia, 2022): 150 millones EUR — la opción de rechazo era más difícil de encontrar que la de aceptación.
• Facebook (Francia, 2022): 60 millones EUR — mismo problema de asimetría.
• Microsoft (Francia, 2022): 60 millones EUR — cookies publicitarias establecidas sin consentimiento válido.
• TikTok (Francia, 2023): 5 millones EUR — rechazar cookies requería más pasos que aceptar.

Lista de verificación de cumplimiento

• ¿Hay un botón visible "Rechazar todo" en la primera capa?
• ¿Son Aceptar y Rechazar igualmente prominentes?
• ¿Están todas las casillas desmarcadas por defecto?
• ¿Se muestra el banner antes de establecer cookies no esenciales?
• ¿Pueden los usuarios acceder a controles granulares por categoría?
• ¿Se registra el consentimiento con marca de tiempo?
• ¿Pueden los usuarios cambiar el consentimiento en cualquier momento?
• ¿Está el banner en el idioma del usuario?
• ¿Al hacer clic en Rechazar se previenen realmente las cookies no esenciales?

Cómo FlexyConsent lo gestiona de serie

FlexyConsent es un CMP certificado por Google con soporte IAB TCF 2.3. Aborda todos los requisitos de cumplimiento:

• Botones iguales de Aceptar y Rechazar en la primera capa
• Enfoque por capas integrado (primera capa para elección, segunda para controles granulares)
• Sin casillas premarcadas — todas las categorías opcionales desmarcadas por defecto
• Google Consent Mode V2 integrado de serie
• 43 idiomas con detección automática
• Geolocalización para banners específicos por región
• Registro de consentimiento y pruebas para auditorías
• Planes desde 0 EUR/mes

Configure un banner conforme en menos de cinco minutos en panel.flexyconsent.com.