Si tienes una página web y usas cookies LOPD, probablemente te hayas preguntado alguna vez si tu banner de cookies cumple realmente con la ley. La respuesta corta es que muchos sitios siguen incumpliendo, y la Agencia Española de Protección de Datos (AEPD) lleva años advirtiendo, investigando y sancionando. En este artículo te explicamos qué exige la normativa vigente —el RGPD (Reglamento UE 2016/679) y la LOPDGDD (LO 3/2018)— para que puedas poner tu sitio en orden sin tecnicismos innecesarios.
- Las cookies no estrictamente necesarias requieren consentimiento previo, libre, específico e informado del interesado.
- No puedes usar casillas premarcadas ni considerar la simple navegación como aceptación.
- El interesado debe poder rechazar las cookies con la misma facilidad con la que las acepta.
- La referencia normativa principal es el RGPD y la LOPDGDD, complementadas por las directrices de la AEPD.
- Las sanciones pueden alcanzar, en los casos más graves, hasta 20 millones de euros o el 4 % de la facturación anual mundial.
¿Qué son las cookies y por qué importa la normativa?
¿Te ha pasado que entras a una tienda online por primera vez y al día siguiente ves su publicidad en todas partes? Eso, en muchos casos, son las cookies de rastreo en acción. Una cookie es un pequeño archivo de texto que un sitio web deposita en el dispositivo del usuario para guardar información sobre su navegación: preferencias, sesión iniciada, productos visitados, etc.
La normativa de protección de datos entra en juego porque ese almacenamiento de información puede afectar al derecho fundamental a la privacidad, reconocido en la Constitución Española (CE 1978). Cuando esas cookies permiten identificar, directa o indirectamente, a una persona física, se convierten en datos personales y quedan bajo el paraguas del RGPD y la LOPDGDD.
Un blog de recetas instala una cookie de Google Analytics que recoge la IP del visitante. Aunque el propietario del blog no sepa el nombre del usuario, esa IP puede ser suficiente para identificarlo indirectamente. Por tanto, esa cookie necesita consentimiento previo.
Tipos de cookies: ¿cuáles necesitan consentimiento?
¿Sabías que no todas las cookies requieren que el usuario haga clic en «aceptar»? La clave está en su finalidad y en si pueden identificar al interesado.
| Tipo de cookie | Finalidad principal | ¿Requiere consentimiento? |
|---|---|---|
| Técnicas / estrictamente necesarias | Funcionamiento básico del sitio (sesión, carrito) | No (base: interés legítimo / necesidad técnica) |
| De preferencias / personalización | Recordar idioma, configuración del usuario | Generalmente sí |
| Analíticas / estadísticas | Medir tráfico y comportamiento de navegación | Sí, salvo anonimización completa |
| De marketing / publicidad | Perfilar al usuario y mostrar anuncios segmentados | Sí, siempre |
| De terceros (redes sociales, mapas) | Integración de servicios externos | Sí, con mención expresa al tercero |
Clasificar una cookie como «técnica» cuando en realidad realiza seguimiento publicitario es uno de los errores más frecuentes y, a la vez, uno de los que más investiga la AEPD. La etiqueta que le pongas no cambia la naturaleza real de la cookie.
Cookies LOPD y RGPD: el marco legal aplicable
¿Cuál es exactamente la ley que rige las cookies en España? La respuesta tiene varias capas.
Aunque popularmente se habla de cookies LOPD —haciendo referencia a la antigua Ley Orgánica de Protección de Datos, hoy derogada y sustituida por la LOPDGDD (LO 3/2018)—, el marco legal actual se asienta sobre dos pilares:
- RGPD (Reglamento UE 2016/679): de aplicación directa en toda la Unión Europea, establece los principios de protección de datos, las bases jurídicas del tratamiento y los derechos de los interesados.
- LOPDGDD (LO 3/2018): adapta el RGPD al ordenamiento español, regula aspectos específicos y otorga competencias sancionadoras a la AEPD (Agencia Española de Protección de Datos).
Además, la AEPD ha publicado directrices específicas sobre el uso de cookies que, aunque no son norma de rango legal, constituyen la interpretación oficial de la autoridad de control y deben seguirse para minimizar el riesgo de sanción.
El RGPD reconoce seis bases jurídicas para el tratamiento de datos personales. El consentimiento es solo una de ellas. Sin embargo, para las cookies no estrictamente necesarias, el consentimiento es generalmente la única base jurídica válida, dado el carácter intrusivo del rastreo.
¿Cómo debe ser un consentimiento válido?
¿Tu banner de cookies realmente obtiene un consentimiento que valga legalmente? Aquí está el detalle más crítico.
El RGPD establece que el consentimiento para el tratamiento de datos personales —incluida la instalación de cookies no necesarias— debe ser:
- Libre: el usuario no puede verse presionado ni perjudicado por negarse a aceptar cookies.
- Específico: diferenciado por categoría de cookie y finalidad concreta.
- Informado: el interesado debe saber qué cookies se instalan, quién las usa y para qué.
- Inequívoco: requiere una acción afirmativa clara. Seguir navegando NO equivale a consentir.
Usar casillas premarcadas —donde todas las categorías de cookies aparecen ya activadas y el usuario debe desmarcarlas manualmente— es ilegal. La AEPD ha sancionado expresamente esta práctica porque invierte la lógica del consentimiento: en lugar de partir de la negativa, parte de la aceptación.
Cómo configurar tu banner de cookies correctamente
¿Qué elementos debe incluir tu aviso de cookies para pasar una inspección de la AEPD sin problemas?
Un banner de cookies conforme a la normativa debe reunir, como mínimo, los siguientes elementos:
- Información clara sobre qué tipos de cookies se van a instalar y para qué.
- Un botón de aceptar y un botón de rechazar igualmente visibles y accesibles (sin que rechazar requiera más pasos que aceptar).
- Acceso sencillo a un panel de configuración donde el usuario pueda aceptar o rechazar por categorías.
- Enlace a la política de cookies completa, con identificación del responsable del tratamiento y, si los hay, de los terceros encargados del tratamiento.
- Posibilidad de retirar el consentimiento en cualquier momento con la misma facilidad con la que se otorgó.
Nuestros despachos colaboradores ofrecen una primera valoración gratuita. Solicítala al final del artículo →
Sanciones de la AEPD por incumplimiento en cookies
¿Cuánto puede costar no cumplir con la normativa de cookies? La respuesta puede sorprenderte.
El RGPD distingue dos niveles de infracción con sus correspondientes sanciones máximas:
- Infracciones graves: hasta 10 millones de euros o el 2 % de la facturación anual mundial.
- Infracciones muy graves (entre ellas, tratar datos sin base jurídica válida): hasta 20 millones de euros o el 4 % de la facturación anual mundial, aplicándose la cuantía más elevada.
No obstante, es importante matizar: la AEPD no impone siempre una sanción económica. En función de las circunstancias —especialmente si se trata de pymes, autónomos o infracciones leves sin reincidencia— puede emitir un apercibimiento sin multa, aunque con obligación de subsanar el incumplimiento en un plazo determinado.
En cuanto a la jurisprudencia, es relevante señalar que el Tribunal Supremo, en la STS 1547/2020 (Sala 3ª), consolidó el alcance del derecho de supresión de datos personales en entornos digitales, principio que resulta aplicable también en el contexto del rastreo mediante cookies, reforzando la obligación de los responsables del tratamiento de respetar la voluntad del interesado.
Si sufres una brecha de seguridad que comprometa datos personales (por ejemplo, una vulneración de tu gestor de cookies), debes notificarla a la AEPD en un plazo máximo de 72 horas desde que tengas conocimiento de ella. El incumplimiento de este plazo puede agravar la sanción.
Checklist: cumplimiento de cookies y cuándo acudir a un profesional
¿Quieres saber rápido si tu web está al día con la normativa de cookies? Repasa este listado.
- ¿Tienes identificadas y clasificadas todas las cookies de tu web (propias y de terceros)?
- ¿Tu banner muestra un botón de «rechazar» igual de visible que el de «aceptar»?
- ¿Ninguna casilla viene premarcada por defecto?
- ¿El usuario puede retirar su consentimiento en cualquier momento desde un panel de configuración accesible?
- ¿Tu política de cookies identifica al responsable del tratamiento y a los terceros involucrados?
- ¿Revisas y actualizas tu auditoría de cookies periódicamente (especialmente si cambias de proveedor o herramienta)?
¿Cuándo es imprescindible acudir a un profesional? Aunque la información de este artículo te ayuda a entender el marco general, te recomendamos consultar con un especialista en protección de datos si:
- Tu web utiliza cookies de múltiples terceros con distintas finalidades (publicidad programática, redes sociales, analítica avanzada).
- Tratas datos de menores o categorías especiales de datos.
- Has recibido una reclamación o notificación de la AEPD.
- Gestionas varias webs o una plataforma con volumen elevado de usuarios.
Este artículo refleja el estado de la normativa y las directrices de la AEPD a mayo de 2026. La regulación en materia de cookies es especialmente dinámica: las directrices de la AEPD se actualizan con frecuencia y pueden existir novedades posteriores a esta fecha. Consulta siempre la versión vigente en aepd.es.
Preguntas frecuentes
¿Las cookies LOPD y el RGPD son lo mismo?
No exactamente. Cuando se habla de «cookies LOPD» se hace referencia coloquial a la normativa española de protección de datos. Hoy, la ley aplicable en España es la LOPDGDD (LO 3/2018), que complementa al RGPD (Reglamento UE 2016/679), de aplicación directa en toda la UE. Ambas normas rigen conjuntamente el tratamiento de datos mediante cookies.
¿Las cookies técnicas necesitan consentimiento?
Generalmente no. Las cookies estrictamente necesarias para el funcionamiento básico del sitio web —como las de sesión o las del carrito de compra— no requieren consentimiento previo del interesado. Sin embargo, sí deben estar informadas en la política de cookies.
¿Puedo considerar que el usuario acepta las cookies por seguir navegando?
No. El RGPD exige una acción afirmativa clara por parte del interesado. La mera navegación por la web no equivale a consentimiento válido para instalar cookies no estrictamente necesarias. Este es uno de los errores más comunes y más sancionados por la AEPD.
¿Qué sanción puede imponer la AEPD si no cumplo con la normativa de cookies?
Las sanciones pueden variar mucho según la gravedad y las circunstancias. En los casos más graves, el RGPD prevé multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial. Sin embargo, la AEPD también puede emitir apercibimientos sin sanción económica, especialmente en primeras infracciones de menor gravedad.
¿Cada cuánto tiempo debo revisar mi política de cookies?
No existe un plazo legal fijo, pero se recomienda revisar y actualizar la auditoría de cookies al menos una vez al año, o cada vez que cambies de proveedor de servicios, herramientas analíticas, plataformas publicitarias o cualquier elemento que pueda implicar nuevas cookies en tu sitio web.
¿El usuario puede retirar el consentimiento que dio para las cookies?
Sí, y debe poder hacerlo en cualquier momento con la misma facilidad con la que lo otorgó. El responsable del tratamiento está obligado a facilitar un mecanismo accesible (habitualmente un panel de configuración de cookies) para que el interesado pueda modificar o revocar su consentimiento.
¿Qué diferencia hay entre el responsable del tratamiento y el encargado del tratamiento en el contexto de las cookies?
El responsable del tratamiento es quien decide los fines y medios del tratamiento (normalmente, el propietario del sitio web). El encargado del tratamiento actúa por cuenta del responsable (por ejemplo, un proveedor de herramientas analíticas o de publicidad). Cuando usas cookies de terceros, ese tercero actúa habitualmente como encargado o, en algunos casos, como corresponsable, y debe quedar identificado en tu política de cookies.
¿Qué hago si recibo una reclamación por cookies ante la AEPD?
Si recibes una notificación de la AEPD derivada de una reclamación, es recomendable acudir cuanto antes a un especialista en protección de datos. Tienes derecho a alegar en el procedimiento y, en muchos casos, subsanar el incumplimiento de forma diligente puede influir favorablemente en la resolución. Los plazos procesales son estrictos, por lo que no conviene esperar.
