O fundamento xurídico

As obrigas de consentimento de cookies derivan do GDPR (Regulation 2016/679) e da ePrivacy Directive (2002/58/EC). A ePrivacy Directive require consentimento antes de almacenar información no dispositivo do usuario (Article 5(3)), mentres que o GDPR define o consentimento válido (Article 4(11), Article 7, Recital 32).

Os 14 requisitos

1. Consentimento previo

As cookies non esenciais non deben activarse ata que o usuario consinta. O Article 5(3) da ePrivacy Directive é explícito. A CNIL multou a Google con 150 millóns de euros (2022) por cargar cookies antes da interacción do usuario.

2. Consentimento libre

O consentimento non pode ser unha condición de acceso (GDPR Article 4(11)). Non se permite agrupar o consentimento de cookies cos termos de servizo.

3. Selección granular de finalidades

Os usuarios deben consentir a cada finalidade de forma independente — analítica, publicidade, funcional (GDPR Recital 43). Un único "Aceptar todo" sen selección de categorías é insuficiente.

4. Igual prominencia para Aceptar e Rexeitar

Rexeitar debe ser tan visible como Aceptar. A CNIL require un botón "Rexeitar todo" na primeira capa con igual peso visual. Microsoft foi multada con 60 millóns de euros (2022) en parte por ocultar a opción de rexeitamento.

5. Sen casillas premarcadas

Sentenza CJEU Planet49 (C-673/17, 2019): as casillas premarcadas non constitúen consentimento válido. Todas as categorías deben estar desactivadas por defecto.

6. Sen muros de cookies

Bloquear o acceso ao sitio ata obter consentimento é xeralmente non conforme. O EDPB e a DPA neerlandesa confirmaron isto.

7. Linguaxe clara e sinxela

GDPR Article 7(2) — as solicitudes de consentimento deben usar linguaxe clara e sinxela. "Usamos cookies para mellorar a túa experiencia" é insuficiente.

8. Correspondencia lingüística

GDPR Article 12(1) — a información debe ser comprensible. O banner debe coincidir coa lingua do sitio web.

9. Ligazón á política de cookies

GDPR Articles 13-14 requiren información completa. O banner debe incluír unha ligazón á política de cookies completa que liste cada cookie.

10. Retirada sinxela

GDPR Article 7(3) — a retirada debe ser tan sinxela como dar o consentimento. Un widget persistente ou unha ligazón no pé de páxina debe permitir reabrir a interface de consentimento.

11. Rexistro do consentimento

GDPR Article 7(1) — debes demostrar que se obtivo o consentimento. Rexistra marcas de tempo, opcións e versións do banner.

12. Divulgación de terceiros

GDPR Article 13(1)(e) — divulga todos os destinatarios de datos de terceiros. Baixo TCF 2.3, a lista de provedores debe ser accesible desde a interface de consentimento.

13. Transparencia na retención de datos

GDPR Article 13(2)(a) — divulga canto tempo persisten as cookies.

14. Responsividade móbil

Non hai exención do GDPR para móbiles. Os botóns deben ser pulsables, o texto lexible e a interface funcional en todos os tamaños de pantalla.

Lista de verificación rápida

• Ningunha cookie non esencial se activa antes do consentimento
• Aceptar e Rexeitar son igualmente visibles na primeira capa
• A selección individual de categorías está dispoñible
• Non hai alternadores preseleccionados para categorías non esenciais
• O sitio é accesible aínda que o usuario rexeite todo
• A lingua do banner coincide coa lingua do contido
• Úsase linguaxe clara e non técnica
• A ligazón á política de cookies completa é visible no banner
• A política de cookies lista cada cookie por nome, finalidade e duración
• Un widget persistente permite reabrir a interface de consentimento
• Retirar o consentimento require o mesmo número de clics que dalo
• Os rexistros de consentimento almacénanse con marcas de tempo
• Os destinatarios de terceiros están divulgados
• O banner é funcional en dispositivos móbiles
• Non hai cores, tamaños ou redacción manipuladores

Automatiza isto: FlexyConsent xestiona cada requisito de serie — CMP certificado por Google con IAB TCF 2.3, Consent Mode V2, máis de 43 linguas, plans desde 0 EUR/mes. Comeza en panel.flexyconsent.com.