El fundamento legal

Las obligaciones de consentimiento de cookies provienen del GDPR (Regulation 2016/679) y la ePrivacy Directive (2002/58/EC). La ePrivacy Directive requiere consentimiento antes de almacenar información en el dispositivo del usuario (Article 5(3)), mientras que el GDPR define el consentimiento válido (Article 4(11), Article 7, Recital 32).

Los 14 requisitos

1. Consentimiento previo

Las cookies no esenciales no deben activarse hasta que el usuario consienta. El Article 5(3) de la ePrivacy Directive es explícito. CNIL multó a Google con EUR 150 millones (2022) por cargar cookies antes de la interacción del usuario.

2. Consentimiento otorgado libremente

El consentimiento no puede ser una condición de acceso (GDPR Article 4(11)). No se puede agrupar el consentimiento de cookies con los términos de servicio.

3. Selección granular de fines

Los usuarios deben consentir cada fin de forma independiente — analítica, publicidad, funcional (GDPR Recital 43). Un único "Aceptar todo" sin selección de categorías es insuficiente.

4. Igual prominencia para Aceptar y Rechazar

Rechazar debe ser tan visible como Aceptar. CNIL exige un botón "Rechazar todo" en la primera capa con igual peso visual. Microsoft fue multada con EUR 60 millones (2022) en parte por ocultar la opción de rechazo.

5. Sin casillas premarcadas

Sentencia CJEU Planet49 (C-673/17, 2019): las casillas premarcadas no constituyen consentimiento válido. Todas las categorías deben estar desactivadas por defecto.

6. Sin muros de cookies

Bloquear el acceso al sitio hasta que se otorgue el consentimiento es generalmente no conforme. El EDPB y la DPA neerlandesa lo han confirmado.

7. Lenguaje claro y sencillo

GDPR Article 7(2) — las solicitudes de consentimiento deben usar un lenguaje claro y sencillo. "Usamos cookies para mejorar tu experiencia" es insuficiente.

8. Coincidencia de idioma

GDPR Article 12(1) — la información debe ser inteligible. El banner debe coincidir con el idioma del sitio web.

9. Enlace a la política de cookies

GDPR Articles 13-14 requieren información completa. El banner debe enlazar a una política de cookies completa que liste cada cookie.

10. Retirada fácil

GDPR Article 7(3) — la retirada debe ser tan fácil como otorgar el consentimiento. Un widget persistente o un enlace en el pie de página debe permitir reabrir la interfaz de consentimiento.

11. Registro de consentimiento

GDPR Article 7(1) — debes demostrar que se obtuvo el consentimiento. Registra marcas de tiempo, elecciones y versiones del banner.

12. Divulgación de terceros

GDPR Article 13(1)(e) — divulga todos los destinatarios de datos de terceros. Bajo TCF 2.3, la lista de proveedores debe ser accesible desde la interfaz de consentimiento.

13. Transparencia en la retención de datos

GDPR Article 13(2)(a) — divulga cuánto tiempo persisten las cookies.

14. Responsividad móvil

No hay exención GDPR para móviles. Los botones deben ser pulsables, el texto legible y la interfaz funcional en todos los tamaños de pantalla.

Lista de verificación rápida de auditoría

• Ninguna cookie no esencial se activa antes del consentimiento
• Aceptar y Rechazar son igualmente visibles en la primera capa
• La selección de categorías individuales está disponible
• Sin interruptores preseleccionados para categorías no esenciales
• El sitio es accesible incluso si el usuario rechaza todo
• El idioma del banner coincide con el idioma del contenido
• Se usa un lenguaje sencillo y no técnico
• El enlace a la política de cookies completa es visible en el banner
• La política de cookies lista cada cookie por nombre, fin y duración
• Un widget persistente permite reabrir la interfaz de consentimiento
• Retirar el consentimiento requiere el mismo número de clics que otorgarlo
• Los registros de consentimiento se guardan con marcas de tiempo
• Los destinatarios de terceros están divulgados
• El banner es funcional en dispositivos móviles
• Sin colores, tamaños o redacción manipuladores

Automatízalo: FlexyConsent maneja todos los requisitos de serie — CMP certificado por Google con IAB TCF 2.3, Consent Mode V2, 43+ idiomas, planes desde EUR 0/mes. Comienza en panel.flexyconsent.com.