Cookies en España: guía práctica para pymes
Cómo revisar un banner de cookies en España: consentimiento, rechazar al mismo nivel, política, categorías y errores habituales.
Actualizado el
Cookies en España: guía práctica para pymes
Las cookies no son solo un aviso molesto al entrar en una web. Para una pyme, son una mezcla de privacidad, analítica, marketing, experiencia de usuario y confianza. Un banner mal diseñado puede incumplir criterios regulatorios, confundir al usuario y romper la medición.
Esta guía no sustituye asesoramiento legal. Sirve para revisar con criterio el sistema de cookies de una web española y detectar qué conviene corregir antes de activar analítica, remarketing o herramientas de terceros.
La Agencia Española de Protección de Datos actualizó su guía de cookies en julio de 2023. En su nota oficial, la AEPD explicó que las acciones de aceptar y rechazar cookies deben presentarse en lugar y formato destacados, al mismo nivel, y que no debe ser más complicado rechazar que aceptar (AEPD, 11 de julio de 2023).
Además, las cookies se apoyan en el marco de la Ley 34/2002, especialmente en las obligaciones sobre dispositivos de almacenamiento y recuperación de datos del artículo 22.2. Esto no significa que una pyme tenga que convertirse en despacho legal, pero sí que debe revisar diseño, información y carga técnica.
Resumen
Esto no sustituye una revisión legal, fiscal, de seguridad o profesional del caso concreto: depende del tipo de empresa, datos tratados, obligaciones aplicables y procesos internos.
Un banner de cookies no cumple por existir. Para hacerlo bien, una pyme debe saber qué scripts carga, qué finalidades requieren consentimiento, cómo se rechazan o configuran y qué queda documentado si alguien revisa la web.
Qué debe resolver un sistema de cookies
Un sistema de cookies debería permitir:
- informar con claridad
- distinguir cookies técnicas de cookies que requieren consentimiento
- aceptar o rechazar con facilidad comparable
- configurar por finalidades
- retirar o cambiar consentimiento
- registrar decisiones cuando sea necesario
- no cargar cookies no necesarias antes de consentir
No basta con tener un plugin instalado. Hay que comprobar qué scripts cargan, cuándo cargan y cómo se informa.
Paso 1: inventario de cookies y scripts
Antes de tocar el banner, identifica qué se está cargando.
Revisa:
| Elemento | Pregunta |
|---|---|
| Analítica | Google Analytics, Plausible, Matomo u otra herramienta |
| Marketing | píxeles, remarketing, ads, afiliación |
| Vídeo/mapas | YouTube, Vimeo, Google Maps, embeds |
| Chat | chatbots, widgets de soporte |
| Formularios | Typeform, HubSpot, herramientas externas |
| Técnicas | sesión, seguridad, idioma, carrito |
La pregunta clave es: qué cookies son necesarias para prestar el servicio y cuáles sirven para medir, personalizar o hacer publicidad.
Paso 2: separa cookies técnicas de las que requieren consentimiento
No todas las cookies se tratan igual. La propia AEPD explicó en su actualización de 2023 que ciertas cookies de personalización elegidas por el usuario, como idioma o moneda, pueden tratarse como técnicas si no se usan para otras finalidades. En cambio, si el editor decide basándose en información obtenida del usuario, debe informar y ofrecer opción de aceptar o rechazar.
Checklist:
- cookies técnicas estrictamente necesarias
- cookies de preferencias elegidas por el usuario
- cookies analíticas
- cookies publicitarias
- cookies de terceros
- cookies de personalización no solicitada
No agrupes todo bajo “mejorar experiencia”. Esa frase no informa lo suficiente.
Paso 3: diseña el primer nivel del banner
El primer nivel debe ser claro y equilibrado.
Debería incluir:
- quién usa cookies
- para qué finalidades básicas
- botones de aceptar y rechazar al mismo nivel
- acceso a configuración
- enlace a política de cookies
- lenguaje sencillo
Evita:
- botón de aceptar muy visible y rechazar escondido
- colores que empujan a aceptar
- textos ambiguos como “continuar navegando”
- cerrar el banner como si fuera rechazar si en realidad acepta
- cargar marketing antes de consentir
La AEPD indicó que los criterios de la guía actualizada debían implementarse a más tardar el 11 de enero de 2024, así que en 2026 no conviene tratarlo como una recomendación futura.
Paso 4: configuración por finalidades
La segunda capa debe permitir entender y gestionar finalidades.
Ejemplo:
| Categoría | Acción recomendada |
|---|---|
| Técnicas | informar, normalmente no pedir consentimiento |
| Analítica | pedir consentimiento salvo caso exento validado |
| Publicidad | pedir consentimiento |
| Personalización no necesaria | pedir consentimiento |
| Terceros | explicar proveedor y finalidad |
No uses toggles preactivados para categorías no necesarias. El usuario debe poder decidir.
Paso 5: política de cookies
La política debe explicar, con lenguaje comprensible:
- qué son las cookies
- qué tipos se usan
- quién las instala
- finalidades
- duración
- terceros si existen
- cómo aceptar, rechazar o configurar
- cómo revocar consentimiento
- fecha de actualización
No copies una política genérica. Si la web usa herramientas concretas, la política debe reflejarlas.
Paso 6: comprueba carga técnica
La parte legal no sirve si técnicamente se cargan scripts antes de aceptar.
Prueba:
- abre la web en navegador limpio
- rechaza cookies
- revisa si aparecen cookies analíticas o publicitarias
- acepta solo analítica
- revisa qué cambia
- retira consentimiento
- comprueba que la elección se respeta
Herramientas como DevTools del navegador ayudan a revisar cookies y peticiones. Lo importante es no fiarse solo del diseño del banner.
Paso 7: documenta la decisión
Después de configurar el sistema, deja registro interno. No tiene que ser complejo, pero sí útil si alguien pregunta qué se hizo.
Documenta:
- fecha de revisión
- herramientas detectadas
- categorías de cookies
- proveedor del banner
- cambios realizados
- quién validó texto y carga técnica
- dónde está la política
- cuándo se revisará de nuevo
Esta documentación ayuda cuando marketing añade una herramienta nueva o cuando la web cambia de proveedor. Sin registro, cada actualización vuelve a empezar desde cero.
Qué hacer al añadir una herramienta nueva
Cada vez que instales una nueva herramienta de analítica, publicidad, chat, formulario o vídeo, repite una revisión corta.
Preguntas:
| Pregunta | Motivo |
|---|---|
| Instala cookies o tecnologías similares | afecta al banner |
| Es de tercero | requiere informar proveedor/finalidad |
| Carga antes de consentimiento | riesgo técnico |
| Se usa para publicidad | normalmente requiere consentimiento |
| Cambia la política | debe actualizarse texto |
| Afecta a formularios | revisar privacidad y consentimiento |
El cumplimiento se rompe muchas veces después de la primera configuración, cuando alguien añade un script “solo para probar”.
Cómo leer el banner desde experiencia de usuario
Un banner correcto también debe ser entendible. Pregúntate:
- se entiende quién pide permiso
- se entiende para qué se pide
- rechazar no parece una opción secundaria
- configurar no lleva a un laberinto
- el texto no amenaza ni manipula
- el usuario puede seguir navegando sin aceptar lo no necesario
La AEPD señaló en 2023 la importancia de evitar patrones engañosos. En una web de marca, esto no es solo privacidad: es confianza.
Cuándo pedir revisión externa
Pide apoyo legal o técnico si:
- usas publicidad comportamental
- combinas varias herramientas de terceros
- hay datos de menores o colectivos sensibles
- el banner lo gestiona un proveedor externo
- no sabes qué scripts cargan antes de consentir
- la política no coincide con la realidad técnica
- hay varios dominios o subdominios
También conviene revisar cuando cambias de CMS, implantas analítica nueva o lanzas campañas. El artículo 22.2 de la LSSI no se resuelve una vez para siempre si la web cambia cada mes.
Errores frecuentes en cookies y consentimiento
| Error | Riesgo |
|---|---|
| Rechazar más escondido que aceptar | consentimiento cuestionable |
| Cargar Google Analytics antes de consentir | incumplimiento técnico |
| Política genérica | información insuficiente |
| No distinguir finalidades | consentimiento poco granular |
| No permitir revocar | mala experiencia y riesgo |
| Plugins sin revisar | falsa sensación de cumplimiento |
| Textos oscuros | pérdida de confianza |
Checklist rápido
| Revisión | Estado |
|---|---|
| Inventario de cookies hecho | |
| Técnicas separadas de no necesarias | |
| Aceptar y rechazar al mismo nivel | |
| Configuración por finalidades | |
| Política específica de la web | |
| Scripts bloqueados hasta consentimiento | |
| Revocación disponible | |
| Prueba técnica realizada | |
| Revisión documentada | |
| Proceso para nuevas herramientas definido |
Preguntas frecuentes
¿Qué puede variar según la pyme?
No siempre. Depende del tipo de actividad, datos tratados, canales usados, proveedores, clientes y herramientas conectadas. Por eso conviene revisar el caso concreto antes de copiar una plantilla o activar una solución genérica.
¿Este artículo sustituye asesoramiento legal o técnico?
No. Sirve para ordenar criterios, detectar riesgos y preparar una revisión más informada. Si hay obligaciones legales, datos personales, seguridad o accesibilidad con impacto real, conviene validarlo con especialistas.
¿Qué debería documentar una pyme desde el principio?
Debería documentar qué se ha revisado, quién es responsable, qué herramientas intervienen, qué decisiones se han tomado y cuándo se volverá a comprobar. Esa trazabilidad evita que el cumplimiento dependa de memoria o de una configuración olvidada.
Siguiente paso para cookies y consentimiento
Un buen sistema de cookies no es solo cumplir: también es diseñar una experiencia clara y respetuosa. Para una pyme, lo sensato es revisar banner, política y carga técnica antes de invertir en analítica o campañas.
Si quieres revisar tu web, herramientas de medición y riesgos de consentimiento antes de escalar marketing, podemos verlo en un diagnóstico inicial con Intención.