Que esixe o GDPR dun banner de cookies

O GDPR e a Directiva ePrivacy establecen cinco regras innegociables para o consentimento de cookies:

• Libremente outorgado: Rexeitar cookies debe ser tan fácil como aceptalas.
• Específico: O consentimento debe solicitarse por separado para cada finalidade.
• Informado: Os usuarios deben saber a que consenten antes de consentir.
• Inequívoco: As casillas premarcadas e a navegación continuada non contan.
• Revogable: Os usuarios deben poder retirar o consentimento en calquera momento.

Exemplo 1: O banner "Só aceptar" (Non conforme)

Como se ve

Unha pequena barra con "Usamos cookies para mellorar a túa experiencia" e un único botón "OK". Sen opción de rexeitamento, sen axustes.

Por que falla

Ningunha elección real, ningunha información sobre cookies, ningunha forma de rexeitar. CNIL multou a Google con 150 millóns EUR e a Facebook con 60 millóns EUR en 2022 por este patrón exacto.

Veredicto: Ilegal segundo o GDPR.

Exemplo 2: Aceptar todo + pequeno enlace "Xestionar preferencias" (Non conforme)

Como se ve

Un botón destacado "Aceptar todo" cun pequeno enlace gris "Xestionar preferencias". Sen botón "Rexeitar todo".

Por que falla

A xerarquía visual empuxa os usuarios cara á aceptación. Rexeitar require dous clics mentres que aceptar require un. Varias APD ditaminaron que isto non é consentimento libremente outorgado.

Veredicto: Non conforme. Rexeitar debe ser tan accesible como Aceptar.

Exemplo 3: Botóns iguais de Aceptar e Rexeitar (Conforme)

Como se ve

Dous botóns do mesmo tamaño: "Aceptar todo" e "Rexeitar todo". Abaixo, un enlace "Xestionar preferencias". Breve explicación das finalidades das cookies.

Por que funciona

Elección libre xenuína, ambas opcións igualmente prominentes, un clic cada unha. Este é o patrón que CNIL recomendou explicitamente.

Veredicto: Conforme. A base que todo sitio web debería cumprir.

Exemplo 4: O muro de cookies (Non conforme)

Como se ve

Superposición a pantalla completa que bloquea todo o contido. A única opción é "Aceptar cookies".

Por que falla

Artigo 7(4) do GDPR — o consentimento non é libre se o acceso ao servizo depende del. A APD neerlandesa concluíu que os muros de cookies xeralmente non están permitidos.

Veredicto: Non conforme na maioría de xurisdicións da UE.

Exemplo 5: Casillas premarcadas (Non conforme)

Como se ve

Banner detallado con categorías de cookies e casillas — pero todas están premarcadas.

Por que falla

A sentenza Planet49 do TXUE (2019) resolveu isto definitivamente: as casillas premarcadas non constitúen consentimento válido. O consentimento require unha acción afirmativa clara.

Veredicto: Explicitamente ilegal segundo a xurisprudencia do TXUE.

Exemplo 6: O enfoque por capas (Conforme — Mellor práctica)

Como se ve

Primeira capa: banner compacto con botóns Aceptar todo, Rexeitar todo e Personalizar. Segunda capa: centro de preferencias detallado con interruptores por categoría e lista de provedores. Terceira capa: política de cookies completa.

Por que funciona

Equilibra información con usabilidade. A primeira capa ofrece elección, a segunda detalle, a terceira transparencia total. Recomendado explicitamente polo CEPD.

Veredicto: Mellor práctica. O estándar de ouro para o cumprimento.

Exemplo 7: Etiquetas de botóns enganosas (Non conforme)

Como se ve

"Estou de acordo" versus "Non estou de acordo en rexeitar cookies non esenciais". Ou: "Aceptar configuración recomendada" versus "Usar versión limitada".

Por que falla

O considerando 42 do GDPR require linguaxe clara e sinxela. Dobres negacións, consecuencias implícitas e etiquetas manipuladoras non son conformes.

Veredicto: Non conforme. Use etiquetas claras e neutrals.

Exemplo 8: O banner conforme ben feito

Como se ve

Unha barra inferior limpa con: título claro, explicación breve, tres botóns co mesmo estilo (Aceptar todo, Rexeitar todo, Xestionar preferencias) e un enlace á política de cookies. Xestionar preferencias abre un centro de preferencias con interruptores individuais, lista de provedores e botón Gardar.

Por que funciona

Cumpre todos os requisitos: elección libre, botóns simétricos, información por capas, linguaxe sinxela, sen casillas premarcadas, fácil revogación mediante icona de configuración de cookies.

Veredicto: Totalmente conforme.

Multas reais por banners incorrectos

• Google (Francia, 2022): 150 millóns EUR — a opción de rexeitamento era máis difícil de atopar que a de aceptación.
• Facebook (Francia, 2022): 60 millóns EUR — mesmo problema de asimetría.
• Microsoft (Francia, 2022): 60 millóns EUR — cookies publicitarias establecidas sen consentimento válido.
• TikTok (Francia, 2023): 5 millóns EUR — rexeitar cookies requiría máis pasos que aceptar.

Lista de verificación de cumprimento

• Hai un botón visible "Rexeitar todo" na primeira capa?
• Son Aceptar e Rexeitar igualmente prominentes?
• Están todas as casillas desmarcadas por defecto?
• Móstrase o banner antes de establecer cookies non esenciais?
• Poden os usuarios acceder a controis granulares por categoría?
• Rexístrase o consentimento con marca de tempo?
• Poden os usuarios cambiar o consentimento en calquera momento?
• Está o banner no idioma do usuario?
• Ao facer clic en Rexeitar prevéñense realmente as cookies non esenciais?

Como FlexyConsent xestiona isto de serie

FlexyConsent é un CMP certificado por Google con soporte IAB TCF 2.3. Aborda todos os requisitos de cumprimento:

• Botóns iguais de Aceptar e Rexeitar na primeira capa
• Enfoque por capas integrado (primeira capa para elección, segunda para controis granulares)
• Sen casillas premarcadas — todas as categorías opcionais desmarcadas por defecto
• Google Consent Mode V2 integrado de serie
• 43 idiomas con detección automática
• Xeolocalización para banners específicos por rexión
• Rexistro de consentimento e probas para auditorías
• Plans desde 0 EUR/mes

Configure un banner conforme en menos de cinco minutos en panel.flexyconsent.com.