Guías Guía
Banner de cookies conforme al RGPD: así evitas sanciones
Un banner de cookies por sí solo no protege frente a sanciones: lo que importa es cómo se implementa. Esta guía muestra qué debe poder hacer un banner conforme a la ley en 2026.
¿Es obligatorio el banner de cookies?
El banner de cookies es obligatorio en cuanto un sitio web utiliza cookies o trackers no necesarios, por ejemplo para estadística o marketing. La base legal son el artículo 22 de la LSSI, el RGPD y la directiva ePrivacy.
Sin consentimiento solo pueden instalarse las cookies técnicamente necesarias. Todo lo demás —Google Analytics, el píxel de Meta, Maps, YouTube— requiere el consentimiento activo del visitante antes de cargarse. Así lo exige el artículo 22.2 de la LSSI y lo concreta la Guía sobre el uso de las cookies de la AEPD.
Quien lo ignora se expone a procedimientos sancionadores de la Agencia Española de Protección de Datos (AEPD), tanto por la vía de la LSSI como, cuando hay tratamiento de datos personales, por la del RGPD y la LOPDGDD.
¿Cómo debe ser el banner?
Un banner conforme a la ley necesita en el primer nivel botones equivalentes para "Aceptar todo" y "Rechazar todo". La Guía sobre el uso de las cookies de la AEPD es clara: rechazar debe ser tan fácil y visible como aceptar.
En concreto, esto significa:
- "Rechazar todo" en el primer nivel — del mismo tamaño, mismo color y con el mismo esfuerzo de clic que "Aceptar".
- Sin patrones engañosos (dark patterns) — nada de un botón verde de aceptar junto a un enlace gris de rechazar.
- Selección granular — el visitante debe poder elegir cada categoría por separado.
- Retirada en cualquier momento — la decisión debe poder modificarse con la misma facilidad con la que se otorgó.
Estos criterios siguen las directrices del Comité Europeo de Protección de Datos sobre consentimiento y se recogen en la guía de la AEPD.
Los errores que más se sancionan
Los errores más caros son: trackers que se disparan antes del consentimiento, un botón de rechazar escondido y una política de privacidad que no se corresponde con la realidad.
- Los trackers se disparan demasiado pronto. Si Google Analytics carga ya al abrir la página, hay una infracción clara del artículo 22 de la LSSI, diga lo que diga el banner.
- El banner aparece después de cargar. Muchas herramientas actúan tarde; para entonces los trackers ya han enviado datos.
- Política de privacidad desactualizada. Una herramienta nueva, un píxel nuevo, y el texto exigido por el artículo 13 del RGPD ya no coincide.
Cómo hacerlo bien
Utiliza un banner que bloquee técnicamente los trackers antes de que carguen, y mantén la política de privacidad sincronizada automáticamente con el tracking real.
Eso es exactamente lo que hace BlueOcean Privacy AI: los trackers esperan al consentimiento, el texto de privacidad se actualiza solo y un escaneo te muestra la nota real de cumplimiento de tu web frente al artículo 22 de la LSSI y al RGPD.
¿No sabes con seguridad si tus webs están limpias? En una breve conversación lo revisamos juntos.
Echemos un vistazo a tus sitios
En una llamada de 15 minutos verás cómo están los sitios de tus clientes — y cómo protegerlos sin esfuerzo.
Preguntas frecuentes
¿"Rechazar todo" tiene que estar en el primer nivel?
Sí. Según la Guía sobre el uso de las cookies de la AEPD y las directrices del Comité Europeo de Protección de Datos, debe existir un botón equivalente de "Rechazar todo" directamente en el primer nivel del banner, visualmente equiparable a "Aceptar".
¿Basta con un plugin de cookies gratuito?
Solo si bloquea de verdad los trackers antes del consentimiento y cubre la política de privacidad. Muchos plugins gratuitos solo muestran un banner pero no bloquean nada, lo que incumple el artículo 22 de la LSSI y es sancionable.
¿Qué consecuencias tiene un banner de cookies mal configurado?
La AEPD puede abrir un procedimiento sancionador por la vía de la LSSI y, cuando hay tratamiento de datos personales, también por la del RGPD y la LOPDGDD. La cuantía depende de la gravedad y de las circunstancias de cada caso, por lo que conviene corregir el banner antes de que llegue una reclamación.