En una frase. Una política de cookies conforme a la Guía de la AEPD (2023) necesita una tabla con cada cookie, su finalidad, titular y duración, un banner de dos capas con botón de “rechazar todo” en la primera capa, y un mecanismo para retirar el consentimiento tan fácil como se dio; abajo tienes la plantilla completa.
La política de cookies es, junto con el aviso legal y la política de privacidad, una de las tres piezas legales obligatorias de cualquier web española. Desde que la AEPD actualizó su Guía sobre el uso de cookies en 2023, exigir un botón de rechazo en la primera capa dejó de ser recomendable para ser obligatorio. Este modelo se ajusta a ese criterio y al art. 22.2 de la LSSI-CE.
Puntos clave
- El art. 22.2 LSSI exige consentimiento informado para instalar cookies que no sean estrictamente necesarias.
- La Guía de cookies de la AEPD (2023) obliga a que rechazar sea tan fácil como aceptar: botón de “rechazar todo” en la primera capa.
- El muro de cookies (bloquear el acceso si no se aceptan) solo se admite si existe una alternativa equivalente.
- Las cookies técnicas o de sesión estrictamente necesarias no requieren consentimiento.
- Debe existir un panel para retirar el consentimiento con la misma facilidad con la que se prestó.
1. Qué cookies necesitan consentimiento
No todas las cookies son iguales. La distinción determina qué puede instalar antes de obtener consentimiento.
| Tipo de cookie | ¿Consentimiento? | Ejemplo |
|---|---|---|
| Técnicas / estrictamente necesarias | No | Sesión, carrito de compra, balanceo de carga |
| Preferencias | Sí (salvo si las pide el usuario) | Idioma seleccionado |
| Analíticas / medición | Sí | Estadísticas de audiencia de terceros |
| Publicidad / seguimiento | Sí | Píxeles, remarketing, audiencias |
Las cookies analíticas propias de baja intrusividad tienen un tratamiento matizado en la Guía de la AEPD, pero por seguridad conviene solicitarlas también. La base para las que sí requieren permiso es el consentimiento del RGPD, con los mismos requisitos de validez.
2. Las dos capas de información
La AEPD exige un modelo de información por capas. La primera capa es el banner que aparece al entrar: identidad del responsable, finalidad, mención de si hay terceros y los botones “Aceptar todas”, “Rechazar todas” y “Configurar”, todos con el mismo peso visual. La segunda capa es la política de cookies completa, con la tabla detallada.
Un banner que solo ofrezca “Aceptar” y “Configurar”, sin rechazo directo, es la infracción de cookies más sancionada. Para elegir e implantar el gestor de consentimiento adecuado, repase la comparativa de plataformas de gestión del consentimiento y la guía de banner de cookies conforme a la AEPD.
3. Plantilla de política de cookies (segunda capa)
Política de cookies de [Empresa]
Una cookie es un archivo que se descarga en su dispositivo al acceder a determinadas páginas web para almacenar y recuperar información sobre su navegación.
¿Qué cookies utilizamos?
Cookie Titular Finalidad Duración Tipo [nombre] Propia Mantener la sesión Sesión Técnica [nombre] [tercero] Medición de audiencia 24 meses Analítica [nombre] [tercero] Publicidad personalizada 12 meses Publicidad ¿Cómo gestionar o retirar el consentimiento? Puede modificar su elección en cualquier momento desde el panel de configuración de cookies [enlace] o desde la configuración de su navegador.
Transferencias internacionales. Algunos proveedores tratan datos fuera del EEE; consulte las transferencias internacionales en nuestra política de privacidad.
La tabla debe reflejar las cookies reales de su web tras una auditoría técnica; una tabla desactualizada es tan sancionable como no tenerla.
4. Configuración granular y renovación del consentimiento
La segunda capa del banner debe permitir una configuración granular: el usuario tiene que poder aceptar las cookies analíticas y rechazar las publicitarias, o viceversa, no verse abocado a un “todo o nada”. Un panel con conmutadores por categoría (necesarias —siempre activas—, preferencias, analíticas, publicidad) cumple este requisito.
El consentimiento tampoco es eterno. La Guía de la AEPD recomienda renovarlo periódicamente, con una referencia habitual de 24 meses, y siempre que cambie sustancialmente la finalidad o los terceros implicados. Pasado ese plazo, el banner debe volver a solicitarse. Guardar cookies con un consentimiento caducado equivale a no tenerlo.
Un punto que suele descuidarse: si la web usa herramientas de terceros que fijan cookies (mapas embebidos, vídeos, botones sociales, chats), esas cookies deben bloquearse hasta que el usuario acepte la categoría correspondiente. Cargar el reproductor de vídeo o el mapa antes del consentimiento instala cookies de terceros sin permiso y es una de las incidencias que más se detectan en las auditorías técnicas de cookies.
5. Cómo auditar las cookies de su web
Antes de redactar la tabla, hay que saber qué cookies instala realmente la web. El procedimiento es sencillo: navegar por las secciones principales con las herramientas de desarrollo del navegador abiertas, listar cada cookie con su titular, finalidad y duración, y contrastar el resultado con lo que declara la política. Casi siempre aparecen cookies “olvidadas” de campañas antiguas o de plugins que ya no se usan. Esa auditoría debe repetirse cada vez que se añade una herramienta nueva a la web y, como mínimo, con carácter anual.
6. Sanciones por cookies
La AEPD sanciona de forma constante el uso de cookies sin consentimiento válido, con multas que en pymes suelen situarse entre 2.000 y 30.000 EUR, y superiores en grandes portales. La mayoría de resoluciones se abren por denuncias de usuarios que detectan cookies instaladas antes de aceptar o la ausencia de botón de rechazo. Mantener la coherencia entre lo que declara la política y lo que realmente instala la web es clave; herramientas de cumplimiento como Legiscope ayudan a documentar esa coherencia junto con el resto de obligaciones. Puede consultar el criterio general en la información sobre cookies de la AEPD y en las guías del CEPD.
Complete la web legal con el modelo de aviso legal y la plantilla de política de privacidad.
Véase también: modelo de formulario de consentimiento.
FAQ
¿Es obligatorio un botón de “rechazar todo” en el banner de cookies?
Sí. Desde la Guía de cookies de la AEPD de 2023, rechazar debe ser tan fácil como aceptar, lo que se traduce en un botón de rechazo en la primera capa con el mismo peso visual que el de aceptación.
¿Puedo instalar cookies analíticas sin consentimiento?
Como regla general, no. Solo las cookies técnicas estrictamente necesarias quedan exentas del art. 22.2 LSSI. Las analíticas de terceros requieren consentimiento; las analíticas propias de baja intrusividad tienen un tratamiento matizado, pero lo prudente es solicitarlas.
¿Es legal el muro de cookies?
Solo si se ofrece una alternativa real y equivalente de acceso al contenido (por ejemplo, una suscripción de pago) para quien no acepte. Bloquear el acceso sin ninguna alternativa no es conforme a la Guía de la AEPD.
¿Cada cuánto debo actualizar la política de cookies?
Cada vez que cambie las cookies que instala y, en todo caso, con una revisión periódica. Una tabla que no coincide con las cookies reales de la web es una de las causas más habituales de reclamación.
¿Google Analytics necesita consentimiento en España?
Sí. Las cookies de medición de terceros como Google Analytics no son estrictamente necesarias, por lo que requieren consentimiento previo conforme al art. 22.2 LSSI. Deben quedar bloqueadas hasta que el usuario acepte la categoría analítica en el banner, y su uso implica valorar la transferencia de datos fuera del EEE.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial