¿Es obligatorio el banner de cookies?

La obligación nace de dos normas que actúan de forma combinada:

• Artículo 22.2 de la LSSI (Ley 34/2002 de Servicios de la Sociedad de la Información): todo lo que se almacena o se lee en el equipo terminal del usuario (cookies, almacenamiento local, identificadores de seguimiento) requiere, con carácter general, el consentimiento previo e informado. La excepción es estrecha: que sea de uso exclusivamente técnico, es decir, estrictamente necesario para prestar el servicio que el usuario ha solicitado. Este artículo traspone la Directiva ePrivacy (2002/58/CE).
• RGPD, artículo 6.1.a): para el tratamiento posterior de los datos obtenidos de ese modo (por ejemplo, analítica o marketing), la base jurídica adecuada suele ser únicamente el consentimiento. Un "interés legítimo" (art. 6.1.f) no basta para las cookies de seguimiento, según el criterio de la AEPD y sus guías.

En la práctica significa esto: si tu web usa Google Analytics, el píxel de Meta, vídeos de YouTube incrustados, fuentes cargadas desde servidores de terceros u otras herramientas de marketing y estadística, el banner de consentimiento es obligatorio. Y debe aparecer antes de que esas herramientas lleguen a cargarse.

No hace falta banner si tu web emplea únicamente cookies técnicamente necesarias y no incrusta servicios que transfieran datos a terceros. Suelen considerarse de uso técnico, según las guías de la AEPD:

• Cookies de inicio de sesión y de sesión, para que el usuario permanezca autenticado.
• Funciones de carrito de la compra en una tienda online.
• Funciones de seguridad y de reparto de carga (balanceo).
• El propio almacenamiento de la decisión de consentimiento del usuario.

Importante: el listón está alto. "Necesaria" significa que el servicio no funciona para el usuario sin esa cookie, no que te resulte práctica a ti o útil para el marketing. La medición de audiencia, los test A/B o el seguimiento de conversiones casi nunca entran en la excepción.

Un malentendido extendido: muchos elementos en apariencia inofensivos (mapas incrustados, fuentes externas, vídeos embebidos) cargan datos desde servidores de terceros y, por tanto, activan la obligación de banner. Si lo necesitas o no solo se puede responder con fiabilidad revisando todos los trackers que realmente se cargan.

De la normativa, la Directiva ePrivacy y las guías de la AEPD se derivan unos requisitos mínimos claros:

• "Rechazar todo" en igualdad de condiciones en el primer nivel. Aceptar y rechazar deben estar igual de visibles y ser igual de accesibles ya en la primera capa del banner. La AEPD exige que rechazar sea tan fácil como aceptar; no vale que rechazar quede escondido un nivel por debajo, tras "Configuración".
• Bloquear los trackers antes. Herramientas como Google Tag Manager solo pueden cargarse tras un consentimiento válido, no en el momento de abrir la página. Si un tracker se carga antes de que el usuario haya hecho clic, el banner es pura cosmética y el tratamiento es ilícito.
• Sin patrones engañosos (dark patterns). Rechazar no puede ser más complicado que aceptar. Nada de botones de aceptar muy resaltados junto a enlaces grises de rechazar.
• Finalidades claras y lista completa de proveedores. El usuario debe entender para qué se tratan los datos y qué terceros intervienen.
• Retirar el consentimiento debe ser tan fácil como darlo. La decisión tiene que poder modificarse en cualquier momento.

Si falta uno solo de estos puntos, te expones a reclamaciones, denuncias ante la AEPD y, en el peor de los casos, a sanciones por parte de la autoridad de control.

Estos malentendidos son los que con más frecuencia generan problemas:

• "Con tener un banner basta, da igual cómo." Falso. Un banner sin botón de rechazo equivalente, o con trackers que cargan de antemano, no te protege: incluso documenta la infracción.
• "El interés legítimo vale para la analítica." No. Para las cookies de marketing y estadística, el consentimiento es la única base jurídica sostenible.
• "Un banner puesto una vez sigue siendo conforme para siempre." No. En cuanto se añade una herramienta, un plugin o un elemento incrustado nuevo, cambia el mapa de trackers. Sin un escaneo periódico, toda solución de consentimiento se queda obsoleta.

Sobre todo para agencias web y freelancers con varias webs de clientes, esto se vuelve inabarcable enseguida: cada web tiene una lista de trackers distinta y cada actualización de un plugin puede traer cookies nuevas. Por eso conviene mantener también la política de privacidad al día, sincronizada con el seguimiento real de cada web.

¿Quieres ir sobre seguro? Haz el escaneo gratuito de tu web con BlueOcean Privacy AI. En minutos te muestra qué trackers cargan realmente tus páginas y si tu banner cumple los requisitos, para todos tus clientes desde un único panel. Empieza el escaneo gratuito o reserva una cita de asesoramiento sin coste en blueoceanprivacy.io.