LOPDGDD y cookies: web conforme (sin necesidad de un abogado)

En 2024, la Agencia Española de Protección de Datos (AEPD) impuso 281 sanciones por un total de 35,6 millones de euros, la cifra más alta registrada hasta la fecha. Y uno de los motivos de sanción más recurrentes sigue siendo el mismo: cookies no esenciales activadas antes de que el usuario dé su consentimiento.

Si tienes una web en España, o si tu web recibe visitas de usuarios españoles, la LOPDGDD te afecta directamente. No hace falta que seas una gran empresa ni que tengas equipo legal. Lo que sí necesitas es entender qué exige la ley para las cookies y el seguimiento, y tener las herramientas adecuadas para cumplirla sin que derive en un problema técnico o legal.

Qué es la LOPDGDD (y en qué se diferencia de la antigua LOPD)

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, conocida como LOPDGDD, es la norma española que regula cómo se tratan los datos personales en España. Sustituyó a la anterior Ley Orgánica de Protección de Datos (LOPD) de 1999, que había quedado obsoleta frente a la realidad del entorno digital actual.

El cambio más importante fue que la LOPDGDD llegó para adaptar el ordenamiento jurídico español al Reglamento General de Protección de Datos europeo (RGPD), que entró en aplicación en mayo de 2018. Es decir, la LOPDGDD es la capa regulatoria española que complementa y desarrolla el RGPD a nivel nacional.

La LOPDGDD adapta el reglamento europeo a las particularidades del derecho español, añade derechos digitales específicos (como el derecho a la desconexión digital en el ámbito laboral) y concreta los plazos, procedimientos y competencias que corresponden a la AEPD como autoridad de control en España.¿A quién afecta la LOPDGDD?

¿A quién afecta la LOPDGDD?

La LOPDGDD se aplica a:

• Cualquier empresa o profesional con sede en España que trate datos personales, independientemente de su tamaño.
• Pymes, autónomos y freelancers que recopilen datos de usuarios a través de su web (formularios de contacto, newsletter, cookies de análisis o publicidad...).
• Empresas fuera de España, incluidas las que no tienen sede en la Unión Europea, si su web está dirigida a usuarios españoles o si monitoriza su comportamiento. 

Por ejemplo, tener Google Analytics activo en una web en español puede ser motivo suficiente para que esta normativa se aplique a tu empresa.

En resumen: si tu web instala cookies en el dispositivo de tus visitantes (y prácticamente todas lo hacen), la LOPDGDD es tu marco legal de referencia.

LOPDGDD, RGPD y LSSI-CE: el marco legal de las cookies en España

Cuando se habla de normativa de cookies en España, en realidad entran en juego tres normas que se complementan entre sí: el RGPD, la LOPDGDD y la LSSI-CE.

RGPD

El Reglamento General de Protección de Datos establece las reglas básicas sobre tratamiento de datos personales en la UE. Cuando las cookies recogen datos de los usuarios, como ocurre con muchas cookies de analítica o publicidad, el RGPD exige una base legal, que en la mayoría de casos es el consentimiento explícito.

LOPDGDD

La LOPDGDD desarrolla y complementa el RGPD en el ordenamiento jurídico español y define el marco de actuación de la Agencia Española de Protección de Datos (AEPD). Por eso suele aparecer citada en procedimientos sancionadores cuando una web incumple las normas de protección de datos.

LSSI-CE

La Ley de Servicios de la Sociedad de la Información regula específicamente el uso de cookies en España. Su artículo 22.2 establece que las webs deben informar a los usuarios y obtener su consentimiento antes de instalar cookies no necesarias en su dispositivo.

En la práctica, las tres normas funcionan juntas: la LSSI-CE regula la instalación de cookies, mientras que el RGPD y la LOPDGDD regulan el tratamiento de los datos personales que estas puedan recoger. 

Qué exige la LOPDGDD para las cookies de tu web

Aquí está el núcleo de lo que debes tener en cuenta si gestionas una web. La normativa no es especialmente complicada, pero sí es exigente en los detalles.

Consentimiento previo y explícito antes de activar cookies no esenciales

Ninguna cookie no esencial puede cargarse antes de que el usuario haya dado su consentimiento. Esto incluye:

• Scripts de Google Analytics
• Píxeles de seguimiento
• Cookies de publicidad
• Herramientas de remarketing
• Cualquier tecnología de terceros que recopile datos de comportamiento

El consentimiento tiene que ser una acción afirmativa clara: hacer clic en «Aceptar» cuenta. Seguir navegando por la página, no. Las opciones premarcadas tampoco son válidas. Y el botón de «Rechazar» tiene que estar igual de visible que el de «Aceptar», en el mismo nivel y con el mismo peso visual.

Política de cookies clara y accesible

Tu web necesita una página de política de cookies que explique de forma comprensible:

• Qué cookies utilizas
• Para qué sirven
• Quién las instala (si son de terceros)
• Cuánto tiempo permanecen activas

No vale un texto genérico copiado de cualquier plantilla: como veremos a continuación, la AEPD ha sancionado expresamente por información «genérica» en los banners de cookies.

Registro del consentimiento como prueba de cumplimiento

Si la AEPD investiga tu web, el principio de responsabilidad proactiva del RGPD te obliga a demostrar que los usuarios dieron su consentimiento. 

Eso significa guardar un registro de: 

• Quién otorgó su consentimiento
• Cuándo
• Qué opciones eligió
• Con qué versión del banner 

Sin ese registro, no puedes demostrar cumplimiento aunque tu banner funcione correctamente.

Mecanismo para retirar el consentimiento con la misma facilidad

Si un usuario puede aceptar las cookies en dos clics, también tiene que poder retirar su consentimiento en dos clics. Ocultar el panel de configuración de cookies o hacerlo difícil de encontrar es una infracción documentada: Massimo Dutti fue sancionada con 5.000 euros precisamente por no permitir que los usuarios modificasen fácilmente las preferencias que habían otorgado previamente.

Sanciones reales de la AEPD por cookies

Las sanciones relacionadas con cookies afectan a empresas de todos los tamaños. Algunos ejemplos reales:

• SEAT recibió una sanción de 16.000 euros en septiembre de 2024 por instalar cookies de funcionalidad y segmentación —no esenciales— sin el consentimiento previo de los usuarios, y por no ofrecer mecanismos efectivos para revocar ese consentimiento.
• Freshly Cosmetics fue multada con 4.000 euros por tener todas las categorías de cookies premarcadas como aceptadas en su sitio web.
• Massimo Dutti pagó 5.000 euros por no permitir que los usuarios reconfigurasen fácilmente los consentimientos que habían dado previamente.
• Vueling fue sancionada porque su web no permitía a los usuarios configurar sus preferencias de cookies de manera adecuada.
• Un colegio de Tres Cantos recibió 5.000 euros de multa (reducida a 3.000 por reconocer los hechos) por no tener banner de cookies ni informar sobre las que utilizaba su web.

El patrón es claro: el problema no suele ser que las empresas utilicen cookies, sino que no gestionan correctamente el consentimiento antes de activarlas.

Lista de verificación: LOPDGDD y cookies para tu web

Antes de dar por cumplida la normativa, comprueba punto por punto:

✔ Mi web no carga cookies no esenciales antes del consentimiento

✔ El botón de «Rechazar» es tan visible como el de «Aceptar»

✔ No hay opciones premarcadas

✔ El usuario puede retirar el consentimiento fácilmente

✔ Existe una política de cookies actualizada

✔ Se guarda registro del consentimiento

✔ Se solicita consentimiento de nuevo si cambian las cookies

✔ Los plugins de terceros no instalan cookies antes del consentimiento

Lo que esto significa para tu web, y cómo Cookiebot te ayuda a gestionarlo

Cumplir con la LOPDGDD en materia de cookies no es solo evitar una multa: es también una señal de confianza para quienes visitan tu web. El problema es que gestionar todo esto manualmente implica:

• Detectar cookies
• Bloquear scripts
• Mantener la política actualizada
• Registrar consentimientos
• Controlar plugins y scripts externos

Para muchas empresas, mantener una web conforme es inviable sin un equipo técnico o legal específico.

Cookiebot automatiza todo ese proceso. Escanea tu web para detectar todas las cookies y tecnologías de rastreo activas, bloquea automáticamente las no esenciales hasta que el usuario consiente, genera una política de cookies actualizada, y guarda el registro de consentimiento que necesitas para demostrar cumplimiento ante la AEPD. Además, se integra con los principales CMS: WordPress, Shopify, Wix, Squarespace, Magento, y no requiere configuración técnica avanzada.