Cumplimiento

Banner de cookies AEPD: conformidad 2026

Banner de cookies AEPD 2026: requisitos de la Guía sobre cookies, errores sancionados y configuración conforme. Multas hasta 600.000 EUR.

TD
Dr. Thiébaut Devergranne
23 de mayo de 20266 min read

En una frase. La AEPD exige banners de cookies con rechazo en primera capa al mismo nivel que la aceptación, consentimiento granular por finalidad y cero tracking previo al consentimiento; cualquier desviación se sanciona con base en el artículo 22 LSSI hasta 600.000 EUR.

Puntos clave

  • Base legal: artículo 22.2 LSSI + RGPD + Guía AEPD sobre el uso de cookies (julio 2023, vigente 2026).
  • Botones “Aceptar” y “Rechazar” deben estar al mismo nivel visual y de fricción.
  • “Continuar navegando” como consentimiento está prohibido desde 2021.
  • Walls de cookies admitidos solo con alternativa real (incluida de pago, criterios CEPD 2024).
  • Sanciones LSSI: hasta 30.000 EUR (leves), 150.000 EUR (graves), 600.000 EUR (muy graves).

1. Marco normativo aplicable a cookies en España

Las cookies se rigen en España por la confluencia de tres normas:

  • Artículo 22.2 LSSI (Ley 34/2002), que exige consentimiento previo informado para almacenar o acceder a información en el terminal del usuario.
  • RGPD: cuando las cookies tratan datos personales, se aplican los principios y bases jurídicas.
  • Guía sobre el uso de cookies AEPD (versión vigente julio 2023), que detalla cómo cumplir el artículo 22 LSSI.

La Guía AEPD no es norma con rango de ley, pero es el criterio interpretativo aplicado por la AEPD en procedimientos sancionadores.

2. Cookies que requieren consentimiento

  • Cookies analíticas no propias o que envían datos a terceros.
  • Cookies publicitarias y de personalización.
  • Cookies de redes sociales para insertar contenido o botones de compartir.
  • Cookies de geolocalización con finalidades comerciales.
  • Píxeles, fingerprinting, identificadores en localStorage, sessionStorage e IndexedDB.

3. Cookies exentas

El artículo 22.2 LSSI exime las cookies estrictamente necesarias:

  • Cookies de sesión para autenticación.
  • Cookies para recordar el contenido de una cesta de compra.
  • Cookies de balanceo de carga.
  • Cookies de seguridad para detectar intentos de acceso indebido.
  • Cookies de personalización de interfaz solicitadas por el usuario (idioma, contraste).

Las cookies analíticas propias sin perfilado y agregadas se consideran admisibles sin consentimiento por la Guía AEPD, criterio que difiere ligeramente de la CNIL francesa.

4. Anatomía de un banner conforme

Primera capa (visible al entrar al sitio):

  • Información clara sobre uso de cookies y finalidades principales.
  • Identidad del editor y categorías de terceros.
  • Tres botones con la misma jerarquía visual: “Aceptar todas”, “Rechazar todas”, “Configurar”.
  • Enlace a la política de cookies completa.

Segunda capa (panel de configuración):

  • Lista de categorías con casillas desactivadas por defecto (excepto técnicas).
  • Información detallada de cada cookie: nombre, finalidad, plazo, tercero.
  • Posibilidad de aceptar o rechazar por categoría.

5. Errores frecuentes sancionados por la AEPD

Error Multa típica
Botón aceptar destacado, rechazar oculto en segunda capa 5.000 – 30.000 EUR
Carga de cookies de tracking antes del consentimiento 10.000 – 100.000 EUR
Casillas marcadas por defecto 5.000 – 25.000 EUR
Falta de botón rechazar 10.000 – 80.000 EUR
Banner que no permite cambiar el consentimiento 3.000 – 15.000 EUR
Política de cookies inexistente o desactualizada 2.000 – 20.000 EUR
Uso de dark patterns 15.000 – 100.000 EUR

6. Casos reales relevantes

  • Vueling (PS/00056/2024): 30.000 EUR por banner sin opción de rechazo en primera capa.
  • Open Bank (2023): 100.000 EUR por instalación de cookies de terceros antes del consentimiento.
  • Glovo (2024): 30.000 EUR por dark patterns en el banner.
  • PCComponentes (2025): 60.000 EUR por configuración de cookies inaccesible y falta de equivalencia.

Las directrices del CEPD de 2020 actualizadas en 2024 admiten cookie walls cuando existe alternativa real y equivalente. El criterio aplicado en Europa es el “pay or consent”: permitir al usuario acceder al servicio sin cookies de tracking a cambio de una suscripción de pago razonable. La AEPD ha aceptado este modelo en sitios de prensa con suscripción inferior a 5 EUR/mes que no se considera abusiva. Cookie walls sin alternativa son nulos.

8. Renovación del consentimiento

La Guía AEPD establece que el consentimiento de cookies debe renovarse al menos cada 24 meses. Algunos sectores (banca, sanidad) aplican plazos más cortos. El consentimiento revocado por el usuario debe respetarse inmediatamente, incluyendo eliminación de cookies ya almacenadas en el terminal cuando sea técnicamente posible.

9. Documentación obligatoria

El responsable debe poder demostrar:

  • El consentimiento prestado por cada usuario (registro técnico).
  • La versión del banner mostrada en cada momento (control de versiones).
  • La política de cookies vigente con histórico.
  • Inventario actualizado de cookies con finalidades y plazos.
  • Contratos con encargados que procesan datos de cookies, en línea con el artículo 28 RGPD.

Los CMP basados en TCF de IAB Europe deben configurarse correctamente. El TCF v2.2 incorpora botón de rechazo en primera capa y diferenciación clara de bases jurídicas. La AEPD no ha invalidado el TCF como sí hizo la APD belga inicialmente, pero exige que la implantación concreta cumpla el artículo 22 LSSI.

11. Auditoría técnica del banner

Comprobaciones recomendadas trimestralmente:

  • Abrir el sitio en modo incógnito y verificar qué cookies se cargan antes de cualquier interacción.
  • Pulsar “Rechazar” y verificar que no se carga ninguna cookie no técnica.
  • Verificar equivalencia visual y de fricción entre aceptar y rechazar.
  • Cambiar de página tras rechazar y comprobar que el rechazo se mantiene.
  • Revocar el consentimiento y verificar que las cookies se eliminan.

Herramientas: Cookiebot scanner, OneTrust audit, herramientas DevTools del navegador.

12. Cookies y RGPD: bases jurídicas

Cuando las cookies tratan datos personales (la IP suele serlo, conforme a la doctrina sobre IP como dato personal), se aplica el RGPD. La base jurídica habitual es el consentimiento del artículo 6.1.a, debiendo cumplir los requisitos del artículo 7. El interés legítimo no es base válida para cookies publicitarias según el CEPD.

FAQ

¿Es obligatorio el botón rechazar en primera capa?

Sí. La Guía AEPD desde julio 2023 lo exige expresamente con la misma fricción y visibilidad que el botón aceptar.

¿Puedo usar cookies analíticas sin consentimiento?

Solo si son propias, agregadas y sin perfilado de usuarios. Google Analytics no cumple este criterio sin configuración estricta de IP anonymization y deshabilitación de signal sharing.

¿El scroll equivale a consentimiento?

No. Desde 2020 el CEPD y la AEPD han declarado expresamente que continuar navegando, hacer scroll o pulsar enlaces no constituye consentimiento válido.

¿Cuánto puede sancionarme la AEPD por cookies?

Hasta 30.000 EUR (leves), 150.000 EUR (graves), 600.000 EUR (muy graves). Las multas más frecuentes oscilan entre 5.000 EUR y 100.000 EUR.

¿El banner debe aparecer en todos los idiomas del sitio?

Sí. Si el sitio se ofrece en varios idiomas, el banner y la política deben estar disponibles en cada idioma ofrecido al usuario.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →