El consentimiento RGPD ejemplos prácticos y requisitos legales es una de las búsquedas más frecuentes entre responsables del tratamiento que necesitan implementar formularios conformes. El Art. 4(11) del RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Obtener un consentimiento que cumpla todos estos requisitos no es trivial: la AEPD impuso en 2024 más de 12 millones EUR en sanciones relacionadas con deficiencias en la obtención del consentimiento, y la CNIL sancionó a Google con 50 millones EUR por falta de consentimiento válido en la personalización de publicidad. Esta guía proporciona formularios copiables y patrones de diseño probados ante las autoridades de control.
Puntos Clave
- El consentimiento RGPD debe ser libre, específico, informado e inequívoco, manifestado mediante una acción afirmativa clara (Art. 4(11) y Art. 7 RGPD).
- Las casillas premarcadas, los consentimientos agrupados y los muros de cookies no constituyen consentimiento válido (TJUE, Planet49, C-673/17).
- Cada finalidad de tratamiento requiere un consentimiento separado: no es conforme una única casilla que cubra múltiples usos.
- El interesado debe poder retirar el consentimiento con la misma facilidad con que lo otorgó.
- El responsable del tratamiento debe poder demostrar que obtuvo el consentimiento (principio de responsabilidad proactiva, Art. 5(2)).
Los seis requisitos del consentimiento RGPD
El Art. 7 del RGPD, interpretado a la luz del Art. 4(11) y las Directrices del CEPD 05/2020 sobre consentimiento, establece seis requisitos acumulativos que toda solicitud de consentimiento debe satisfacer.
Libre
El consentimiento es libre cuando el interesado tiene una opción genuina, sin coerción ni influencia indebida. El CEPD y la AEPD han señalado que el consentimiento no es libre cuando existe un desequilibrio de poder (relación laboral, relación con una administración pública) o cuando la prestación de un servicio se condiciona a un consentimiento que no es necesario para dicha prestación (“cookie walls” o muros de consentimiento).
La AEPD sancionó en 2023 a una cadena hotelera con 200.000 EUR (Expediente PS/00325/2022) por condicionar el acceso a la red Wi-Fi al consentimiento para el tratamiento de datos con fines de marketing.
Específico
Cada finalidad de tratamiento debe tener su propia solicitud de consentimiento. Un consentimiento genérico para “tratamiento de datos” sin especificar las finalidades es nulo. El interesado debe poder consentir a la analítica web sin consentir a la publicidad comportamental.
Informado
El interesado debe conocer, como mínimo: la identidad del responsable del tratamiento, las finalidades específicas del tratamiento, los tipos de datos recogidos, la existencia del derecho a retirar el consentimiento y, si procede, la existencia de transferencias internacionales.
Inequívoco mediante acción afirmativa
El silencio, la inacción o las casillas premarcadas no constituyen consentimiento. El TJUE lo confirmó en la sentencia Planet49 (C-673/17, octubre 2019): una casilla premarcada que el usuario debe desmarcar para rechazar las cookies no es una acción afirmativa clara.
Fácil de retirar
El Art. 7(3) RGPD exige que la retirada del consentimiento sea tan fácil como su otorgamiento. Si el consentimiento se otorga con un clic, debe poder retirarse con un clic. Un mecanismo que exija enviar un correo electrónico o llamar por teléfono para retirar el consentimiento es no conforme.
Demostrable
El Art. 7(1) RGPD establece que el responsable del tratamiento debe poder demostrar que el interesado consintió. Esto exige un registro que incluya quién consintió, cuándo, cómo, a qué finalidades y qué versión de la política de privacidad se le presentó.
Ejemplos de consentimiento conforme por escenario
Suscripción a newsletter
<form action="/suscripcion" method="post">
<label for="email">Dirección de correo electrónico</label>
<input type="email" id="email" name="email" required>
<label>
<input type="checkbox" name="consentimiento_newsletter" required>
Sí, deseo recibir el boletín semanal sobre cumplimiento RGPD.
Puedo <a href="/baja">darme de baja en cualquier momento</a>.
</label>
<p class="info-consentimiento">
Su correo electrónico será tratado por [Nombre del responsable]
exclusivamente para el envío del boletín. Consulte nuestra
<a href="/politica-privacidad">política de privacidad</a>.
</p>
<button type="submit">Suscribirme</button>
</form>
Elementos conformes: casilla desmarcada por defecto, finalidad específica, mecanismo de baja enlazado, identificación del responsable.
Banner de cookies
<div id="banner-cookies" role="dialog" aria-label="Consentimiento de cookies">
<p>Utilizamos cookies para el funcionamiento del sitio y para analítica.
Puede aceptar todas, rechazar todas o configurar sus preferencias.</p>
<div class="opciones-cookies">
<label>
<input type="checkbox" name="cookies_necesarias" checked disabled>
Necesarias (siempre activas)
</label>
<label>
<input type="checkbox" name="cookies_analitica">
Analítica
</label>
<label>
<input type="checkbox" name="cookies_marketing">
Marketing
</label>
</div>
<div class="acciones-cookies">
<button id="aceptar-todas">Aceptar todas</button>
<button id="rechazar-todas">Rechazar todas</button>
<button id="guardar-preferencias">Guardar preferencias</button>
</div>
</div>
Elementos conformes: opciones granulares por categoría, botón “Rechazar todas” tan prominente como “Aceptar todas” (exigido por la CNIL y la propuesta Digital Omnibus), cookies necesarias claramente separadas.
Opt-in de marketing en checkout
<fieldset>
<legend>Mantenerse informado (opcional)</legend>
<label>
<input type="checkbox" name="consentimiento_email_promo">
Enviarme ofertas y novedades por correo electrónico.
</label>
<label>
<input type="checkbox" name="consentimiento_sms_promo">
Enviarme ofertas por SMS.
</label>
<p class="info-consentimiento">
Puede retirar su consentimiento en cualquier momento desde su
<a href="/cuenta/preferencias">configuración de cuenta</a>.
Esto no afecta a su pedido.
</p>
</fieldset>
Elementos conformes: consentimiento de marketing separado de la transacción de compra, canal separado (email vs SMS), indicación clara de que el rechazo no afecta al servicio.
Errores frecuentes a evitar
Casillas premarcadas
El error más frecuente y más sancionado. El TJUE lo declaró expresamente no conforme en Planet49 (C-673/17). La AEPD ha impuesto sanciones por este motivo en múltiples expedientes.
Consentimiento agrupado
Agrupar múltiples finalidades en una única casilla (por ejemplo, “Acepto recibir comunicaciones comerciales y que mis datos se compartan con terceros”) invalida el consentimiento por falta de especificidad. Cada finalidad requiere una opción separada.
Muros de consentimiento (cookie walls)
Condicionar el acceso a un sitio web o servicio a la aceptación de todas las cookies no necesarias vulnera el principio de libertad del consentimiento. El CEPD abordó esta cuestión en las Directrices 05/2020, y la AEPD la ha recogido en sus orientaciones sobre cookies.
Lenguaje ambiguo
Expresiones como “podemos utilizar sus datos” o “al continuar navegando acepta nuestras cookies” no cumplen el requisito de acción afirmativa clara. El lenguaje debe ser directo, en primera persona y sin dobles negaciones.
Gestión y registro del consentimiento
El principio de responsabilidad proactiva (Art. 5(2) RGPD) exige que el responsable del tratamiento pueda demostrar que obtuvo un consentimiento válido. El registro debe documentar la identidad del interesado, la fecha y hora exactas del consentimiento, el método utilizado (clic en casilla, doble opt-in, etc.), las finalidades concretas a las que consintió y la versión de la política de privacidad presentada.
Las plataformas de gestión del consentimiento (CMP) automatizan esta recopilación y facilitan la demostración del cumplimiento ante la AEPD u otras autoridades de control. Sin embargo, la plataforma debe configurarse correctamente: la CNIL sancionó en 2025 a organizaciones que utilizaban CMP con configuraciones por defecto que no cumplían los requisitos del RGPD.
La gestión del consentimiento a escala requiere automatización. Legiscope integra la gestión del consentimiento con el registro de actividades de tratamiento, generando un registro auditable que vincula cada consentimiento con la finalidad y la base legal correspondiente.
FAQ
¿Es el consentimiento siempre obligatorio para tratar datos personales bajo el RGPD?
No. El consentimiento es una de las seis bases legales del Art. 6(1) RGPD. Otras bases incluyen la ejecución de un contrato, el cumplimiento de una obligación legal, los intereses vitales, el interés público y el interés legítimo. El consentimiento es inadecuado cuando existe un desequilibrio de poder (relación laboral) o cuando se condiciona la prestación del servicio al consentimiento. En estos casos, debe identificarse y documentarse una base legal alternativa.
¿Qué ocurre si una organización no puede demostrar que obtuvo el consentimiento?
Si el responsable del tratamiento no puede demostrar que obtuvo un consentimiento válido conforme al Art. 7(1) RGPD, se presume que el tratamiento carece de base legal. La AEPD ha sancionado en múltiples expedientes a organizaciones que realizaban comunicaciones comerciales sin poder acreditar el consentimiento de los destinatarios, con multas que oscilan entre 6.000 EUR y 150.000 EUR por expediente.
¿Cuánto tiempo es válido un consentimiento RGPD?
El RGPD no establece un plazo de caducidad del consentimiento. Sin embargo, el CEPD y la AEPD recomiendan renovar el consentimiento periódicamente, especialmente cuando las finalidades del tratamiento cambian, cuando ha transcurrido un periodo prolongado de inactividad del interesado o cuando se modifica significativamente la política de privacidad. Una práctica habitual es enviar “recordatorios de permisos” cada 12-24 meses para confirmar que el consentimiento sigue vigente.
¿Cómo debe diseñarse un banner de cookies conforme al RGPD en España?
Un banner de cookies conforme debe ofrecer opciones granulares por categoría (necesarias, analítica, marketing), incluir botones “Aceptar todas” y “Rechazar todas” igualmente prominentes, no utilizar casillas premarcadas para cookies no necesarias, informar sobre la identidad del responsable y las finalidades y enlazar a la política de cookies completa. La AEPD publicó en 2020 una Guía sobre el uso de cookies actualizada que sigue siendo la referencia en España, complementada por las orientaciones del CEPD y las exigencias de la propuesta Digital Omnibus de noviembre de 2025.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
