Todos los artículos del blog

Consentimiento de cookies: qué exige el RGPD, qué prohíbe la AEPD y cómo cumplir

Close
Tiempo de lectura
7 min
Actualizado
Abr 28, 2026
Compartir
Ilustración de un banner de cookies

El consentimiento de cookies no es un clic en «Aceptar». Es un acto jurídico con requisitos específicos. Te explicamos qué debe cumplir tu banner para que el consentimiento sea válido según el RGPD, la LOPDGDD y los criterios de la AEPD en 2025.*

Qué es el consentimiento de cookies

El consentimiento de cookies es la autorización que el usuario da, de forma voluntaria y activa, para que tu web active cookies y tecnologías de seguimiento que procesan sus datos personales. Según el artículo 4.11 del RGPD, el consentimiento es «toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

En la práctica, esto significa que antes de activar cualquier cookie no esencial (analíticas, publicitarias, de redes sociales…), tu web necesita la aceptación clara por parte del usuario. Sin ese consentimiento previo, activar esas cookies se considera incumplir la normativa.

La AEPD (Agencia Española de Protección de Datos) aplica esta definición siguiendo las directrices del Comité Europeo de Protección de Datos (CEPD), y desde enero de 2024 ha intensificado las inspecciones y sanciones relacionadas con banners de cookies que no recogen un consentimiento válido.

Los 5 requisitos para un consentimiento de cookies válido

Aunque parezca que solo basta con que el usuario haga clic en un botón, para que el consentimiento sea válido según el RGPD, la LOPDGDD y los criterios de la AEPD, debe cumplir cinco condiciones simultáneamente.

Libre

El usuario debe poder aceptar o rechazar las cookies sin ninguna consecuencia negativa. No se puede condicionar el acceso al contenido a la aceptación de cookies (los llamados «cookie walls»), salvo en supuestos muy específicos donde se ofrezca una alternativa real. Si rechazar las cookies implica perder funcionalidades esenciales del sitio, el consentimiento no se considera libre.

Específico

El consentimiento debe darse para cada finalidad de forma diferenciada. No es válido un botón genérico de «Aceptar todo» sin posibilidad de elegir entre categorías (analíticas, de marketing, de publicidad). El usuario debe poder aceptar unas y rechazar otras.

Informado

Antes de tomar una decisión, el usuario debe saber qué está aceptando. El banner debe indicar, como mínimo, que el sitio utiliza cookies, con qué finalidades y quién las gestiona. La información detallada (listado completo de cookies, duraciones, proveedores) debe estar accesible a través de un enlace a la política de cookies.

Inequívoco

El consentimiento debe expresarse mediante una acción afirmativa clara: hacer clic en «Aceptar» o seleccionar categorías concretas. No constituyen consentimiento válido el scroll, continuar navegando, cerrar el banner ni la inacción del usuario. Las casillas premarcadas tampoco son válidas.

Revocable

El usuario debe poder retirar su consentimiento en cualquier momento, de forma tan fácil como lo dio. Esto forma parte de los derechos de privacidad digital que la normativa garantiza a los usuarios. El panel de configuración de cookies debe ser accesible permanentemente desde la web (normalmente mediante un enlace en el footer o un icono flotante). Dicha revocación debe surtir efecto de forma inmediata.

Qué prohíbe la AEPD expresamente en 2025

La guía de cookies de la AEPD, actualizada con las directrices del CEPD sobre patrones engañosos, prohíbe prácticas específicas que siguen siendo frecuentes en muchas webs españolas:

Casillas premarcadas: Las opciones de cookies no pueden estar preseleccionadas. El usuario debe activarlas de forma voluntaria.

Botón «Rechazar» menos visible que «Aceptar»: Ambos botones deben tener el mismo tamaño, prominencia y nivel de accesibilidad. Diseños que ocultan «Rechazar» en un enlace de texto, en un color con bajo contraste o en una segunda pantalla no cumplen con la normativa.

Consentimiento por scroll o navegación continuada: Seguir navegando o hacer scroll no constituye otorgar el consentimiento. La AEPD lo ha descartado explícitamente como mecanismo válido.

Cookies activas antes del consentimiento: Ninguna cookie no esencial puede instalarse hasta que el usuario haya tomado una decisión afirmativa. Si tu banner se carga pero las cookies de analítica o publicidad ya están activas, estás incumpliendo la ley. Esto es especialmente frecuente en sitios WordPress, donde los plugins pueden activar cookies al cargar la página sin que el propietario lo sepa. Si usas WordPress, consulta nuestra guía sobre cómo configurar un cookie banner conforme en WordPress.

Patrones engañosos (dark patterns): Colores, tamaños o textos diseñados para inducir al usuario a aceptar (por ejemplo, un botón «Aceptar» verde y grande frente a un «Rechazar» gris y pequeño) se consideran manipulación del consentimiento y no son válidos.

Consentimiento granular: qué significa y por qué es obligatorio

El consentimiento granular implica que el usuario pueda elegir qué categorías de cookies acepta y cuáles rechaza. Como mínimo, tu banner debe diferenciar entre:

- Cookies estrictamente necesarias (no requieren consentimiento, pero el usuario debe ser informado de su existencia).

- Cookies de preferencias o funcionalidad.

- Cookies analíticas o estadísticas.

- Cookies de marketing o publicidad.

El usuario debe poder aceptar, por ejemplo, las cookies analíticas y rechazar las de marketing. Un botón único de «Aceptar todo» solo es válido si existe una alternativa igualmente visible que permita la selección granular o el rechazo total.

El registro de consentimiento: por qué es obligatorio y cuánto tiempo conservarlo

El RGPD establece que el responsable del tratamiento debe poder demostrar que el usuario dio su consentimiento (principio de responsabilidad proactiva, art. 5.2 RGPD). Esto significa que necesitas un registro de cada consentimiento que incluya, como mínimo:

- Qué aceptó o rechazó el usuario (categorías seleccionadas).

- Cuándo lo hizo (fecha y hora).

- Cómo se presentó la información en ese momento (versión del banner).

- Un identificador del consentimiento (no necesariamente datos personales del usuario).

Este registro debe estar disponible en caso de inspección por parte de la AEPD. No existe un plazo legal específico para su conservación, pero la práctica recomendada es mantenerlo durante el mismo periodo que dure el consentimiento (máximo 24 meses según la AEPD) más un margen adicional razonable para poder responder a posibles reclamaciones. Ten en cuenta que el usuario puede ejercer en cualquier momento su derecho al olvido y solicitar la supresión de sus datos, lo que incluye los datos recogidos mediante cookies.

Recuerda que el registro de consentimiento es solo una de las piezas del cumplimiento. Tu web también necesita un texto de protección de datos adecuado que informe al usuario sobre el tratamiento completo de sus datos personales.

¿Cada cuánto debe renovarse el consentimiento?

La AEPD recomienda que el consentimiento se renueve cada 24 meses como máximo. Transcurrido ese plazo, el banner debe volver a mostrarse al usuario para que confirme o modifique sus preferencias.

Además, el consentimiento debe renovarse siempre que se produzcan cambios relevantes en las cookies de tu web: si añades nuevas categorías, incorporas nuevos proveedores de terceros o modificas las finalidades del tratamiento, el consentimiento previo ya no es válido para esas nuevas condiciones.

Sanciones reales de la AEPD por consentimiento de cookies no válido

La AEPD ha pasado de las advertencias a las sanciones. Estos son algunos casos recientes:

  • SEAT (septiembre 2024): Sanción de 20.000 € (reducida a 12.000 €) por dos infracciones: instalar cookies de funcionalidad y segmentación sin consentimiento previo del usuario, y no permitir que los usuarios eliminaran las cookies una vez aceptadas. La AEPD actuó de oficio, sin necesidad de que mediara una reclamación.
  • Colegio Montessori de Tres Cantos (2024): Sanción de 5.000 € por no mostrar ningún aviso de cookies al acceder a la web ni ofrecer mecanismo alguno para configurar las preferencias.
  • Vueling Airlines (2019): Sanción de 30.000 € por no ofrecer a los usuarios la opción de rechazar cookies no esenciales durante la navegación.

Estas sanciones muestran un patrón claro: la AEPD actúa tanto por reclamaciones como de oficio, y las infracciones más frecuentes están relacionadas con cookies que se activan sin consentimiento, banners sin opción real de rechazo y mecanismos de revocación que no funcionan.

Logo banner powered by Cookiebot by Usercentrics

Qué significa esto para tu web y cómo te ayuda Cookiebot

Recoger un consentimiento de cookies válido ha dejado de ser solo una cuestión legal para pasar a ser un elemento distintivo de la ética de la empresa detrás de la página web. Tu banner debe bloquear cookies antes del consentimiento, ofrecer opciones granulares con botones igualmente visibles, informar al usuario de forma clara, registrar cada decisión y permitir la revocación en cualquier momento. 

Cookiebot automatiza todo ese proceso: la tecnología de escaneo patentada detecta todas las cookies activas en tu web y las bloquea hasta que el usuario consiente; el banner cumple con los requisitos de la AEPD (botón de rechazar al mismo nivel, consentimiento granular por finalidad, sin patrones engañosos); cada consentimiento se registra con timestamp como prueba auditable y el usuario puede modificar o revocar sus preferencias en cualquier momento a través del panel de configuración. 

Además, Cookiebot se integra de forma nativa con Google Consent Mode v2, transmitiendo automáticamente las señales de consentimiento a Google Analytics y Google Ads. También renueva la solicitud de consentimiento cuando caduca y actualiza la declaración de cookies cada vez que el escáner detecta cambios en tu sitio. Funciona con WordPress, Shopify, Wix y cualquier otro CMS.

Con todo esto, tu sitio queda protegido y los visitantes disfrutan de la tranquilidad y confianza que tanto se valoran en el nuevo panorama digital. 

Cookiebot bg shield

Escanea tu web gratis con Cookiebot y comprueba si tu banner recoge un consentimiento válido según los criterios de la AEPD.

Escanear gratis

Preguntas frecuentes

¿Es lo mismo el consentimiento de cookies que aceptar la política de privacidad?

No. Son dos cosas distintas. El consentimiento de cookies se refiere específicamente a la autorización para activar tecnologías de seguimiento en el navegador del usuario. La aceptación de la política de privacidad es el reconocimiento de que el usuario ha sido informado sobre cómo se tratan sus datos. Además, el consentimiento de cookies debe ser granular (por categorías) y revocable en cualquier momento, lo que no aplica de la misma forma a la política de privacidad.

¿Las cookies técnicas necesitan consentimiento?

No. Las cookies estrictamente necesarias para el funcionamiento del sitio (sesión, carrito de compra, preferencias de idioma, seguridad) están exentas de la obligación de consentimiento. Sin embargo, sí debes informar al usuario de su existencia en tu política de cookies. También es recomendable que tus términos y condiciones incluyan una referencia al uso de cookies y remitan a la política correspondiente.

¿Qué ocurre si un usuario no interactúa con el banner?

Si el usuario no hace clic en ninguna opción (ni aceptar, ni rechazar, ni configurar), el consentimiento no se ha dado. Todas las cookies no esenciales deben permanecer bloqueadas. No se puede interpretar la inacción como aceptación.

¿Cada cuánto debe renovarse el consentimiento?

La AEPD recomienda un máximo de 24 meses. Transcurrido ese plazo, el banner debe volver a mostrarse para que el usuario confirme o modifique sus preferencias. Si cambias las cookies de tu web antes de ese plazo, la renovación debe ser inmediata.