En 2024, la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD) impuso 281 sanciones por un total de 35,6 millones de euros, la cifra m\u00e1s alta registrada hasta la fecha. Y uno de los motivos de sanci\u00f3n m\u00e1s recurrentes sigue siendo el mismo: cookies no esenciales activadas antes de que el usuario d\u00e9 su consentimiento.<\/p>\n\n\n\n
Si tienes una web en Espa\u00f1a, o si tu web recibe visitas de usuarios espa\u00f1oles, la LOPDGDD te afecta directamente. No hace falta que seas una gran empresa ni que tengas equipo legal. Lo que s\u00ed necesitas es entender qu\u00e9 exige la ley para las cookies y el seguimiento, y tener las herramientas adecuadas para cumplirla sin que derive en un problema t\u00e9cnico o legal.<\/p>\n\n\n\n
La Ley Org\u00e1nica 3\/2018 de Protecci\u00f3n de Datos Personales y garant\u00eda de los derechos digitales, conocida como LOPDGDD, es la norma espa\u00f1ola que regula c\u00f3mo se tratan los datos personales en Espa\u00f1a. Sustituy\u00f3 a la anterior Ley Org\u00e1nica de Protecci\u00f3n de Datos (LOPD) de 1999, que hab\u00eda quedado obsoleta frente a la realidad del entorno digital actual.<\/p>\n\n\n\n
El cambio m\u00e1s importante fue que la LOPDGDD lleg\u00f3 para adaptar el ordenamiento jur\u00eddico espa\u00f1ol al Reglamento General de Protecci\u00f3n de Datos europeo (RGPD), que entr\u00f3 en aplicaci\u00f3n en mayo de 2018. Es decir, la LOPDGDD es la capa regulatoria espa\u00f1ola que complementa y desarrolla el RGPD a nivel nacional.<\/p>\n\n\n\n
La LOPDGDD adapta el reglamento europeo a las particularidades del derecho espa\u00f1ol, a\u00f1ade derechos digitales espec\u00edficos (como el derecho a la desconexi\u00f3n digital en el \u00e1mbito laboral) y concreta los plazos, procedimientos y competencias que corresponden a la AEPD como autoridad de control en Espa\u00f1a.\u00bfA qui\u00e9n afecta la LOPDGDD?<\/p>\n\n\n\n
La LOPDGDD se aplica a:<\/p>\n\n\n\n
Por ejemplo, tener Google Analytics activo en una web en espa\u00f1ol puede ser motivo suficiente para que esta normativa se aplique a tu empresa.<\/p>\n\n\n\n
En resumen: si tu web instala cookies en el dispositivo de tus visitantes (y pr\u00e1cticamente todas lo hacen), la LOPDGDD es tu marco legal de referencia.<\/p>\n\n\n\n
Cuando se habla de normativa de cookies en Espa\u00f1a, en realidad entran en juego tres normas que se complementan entre s\u00ed: el RGPD, la LOPDGDD y la LSSI-CE.<\/p>\n\n\n\n
El Reglamento General de Protecci\u00f3n de Datos establece las reglas b\u00e1sicas sobre tratamiento de datos personales en la UE. Cuando las cookies recogen datos de los usuarios, como ocurre con muchas cookies de anal\u00edtica o publicidad, el RGPD exige una base legal, que en la mayor\u00eda de casos es el consentimiento expl\u00edcito.<\/p>\n\n\n\n
La LOPDGDD desarrolla y complementa el RGPD en el ordenamiento jur\u00eddico espa\u00f1ol y define el marco de actuaci\u00f3n de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos (AEPD). Por eso suele aparecer citada en procedimientos sancionadores cuando una web incumple las normas de protecci\u00f3n de datos.<\/p>\n\n\n\n
La Ley de Servicios de la Sociedad de la Informaci\u00f3n regula espec\u00edficamente el uso de cookies en Espa\u00f1a. Su art\u00edculo 22.2 establece que las webs deben informar a los usuarios y obtener su consentimiento antes de instalar cookies no necesarias en su dispositivo.<\/p>\n\n\n\n
En la pr\u00e1ctica, las tres normas funcionan juntas: la LSSI-CE regula la instalaci\u00f3n de cookies, mientras que el RGPD y la LOPDGDD regulan el tratamiento de los datos personales que estas puedan recoger.
<\/p>\n\n\n\n
Aqu\u00ed est\u00e1 el n\u00facleo de lo que debes tener en cuenta si gestionas una web. La normativa no es especialmente complicada, pero s\u00ed es exigente en los detalles.<\/p>\n\n\n\n
Ninguna cookie no esencial puede cargarse antes de que el usuario haya dado su consentimiento. Esto incluye:<\/p>\n\n\n\n
El consentimiento tiene que ser una acci\u00f3n afirmativa clara: hacer clic en \u00abAceptar\u00bb cuenta. Seguir navegando por la p\u00e1gina, no. Las opciones premarcadas tampoco son v\u00e1lidas. Y el bot\u00f3n de \u00abRechazar\u00bb tiene que estar igual de visible que el de \u00abAceptar\u00bb, en el mismo nivel y con el mismo peso visual.<\/p>\n\n\n\n
Tu web necesita una p\u00e1gina de pol\u00edtica de cookies que explique de forma comprensible:<\/p>\n\n\n\n
No vale un texto gen\u00e9rico copiado de cualquier plantilla: como veremos a continuaci\u00f3n, la AEPD ha sancionado expresamente por informaci\u00f3n \u00abgen\u00e9rica\u00bb en los banners de cookies.<\/p>\n\n\n\n
Si la AEPD investiga tu web, el principio de responsabilidad proactiva del RGPD te obliga a demostrar que los usuarios dieron su consentimiento. <\/p>\n\n\n\n
Eso significa guardar un registro de: <\/p>\n\n\n\n
Sin ese registro, no puedes demostrar cumplimiento aunque tu banner funcione correctamente.<\/p>\n\n\n\n
Si un usuario puede aceptar las cookies en dos clics, tambi\u00e9n tiene que poder retirar su consentimiento en dos clics. Ocultar el panel de configuraci\u00f3n de cookies o hacerlo dif\u00edcil de encontrar es una infracci\u00f3n documentada: Massimo Dutti fue sancionada con 5.000 euros precisamente por no permitir que los usuarios modificasen f\u00e1cilmente las preferencias que hab\u00edan otorgado previamente.<\/p>\n\n\n
Escanea tu web gratis ahora y descubre si tus cookies cumplen con la LOPDGDD.<\/p>\n <\/div>\n <\/div>\n