En 2026, las cookies siguen siendo uno de los aspectos más controlados por la Agencia Española de Protección de Datos (AEPD). La normativa española, articulada en torno al artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) y la Guía sobre el uso de las cookies de la AEPD, exige un consentimiento informado y explícito antes de instalar cookies no esenciales. Con multas que pueden alcanzar los 20 millones de euros o el 4 % de la facturación mundial al amparo del RGPD, la política de cookies ha dejado de ser un asunto secundario: es una obligación legal de primer orden.
El marco jurídico de las cookies en España
La regulación de las cookies en España descansa sobre dos pilares fundamentales: la Directiva ePrivacy 2002/58/CE (transpuesta al derecho español a través del artículo 22.2 de la LSSI-CE) y el RGPD. El artículo 22.2 de la LSSI-CE establece el principio: la instalación de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los usuarios requiere su consentimiento informado previo, con excepciones limitadas para las cookies técnicas.
La Guía sobre el uso de las cookies de la AEPD, actualizada en julio de 2023, detalla las condiciones concretas de este consentimiento. Esta guía se aplica a todos los sitios web accesibles desde España, independientemente de la ubicación del editor.
El RGPD (artículos 5, 6 y 7) establece las condiciones de validez del consentimiento: debe ser libre, específico, informado e inequívoco. El artículo 13 impone la obligación de facilitar a los usuarios información completa sobre los tratamientos de datos vinculados a las cookies. Para verificar si su sitio web está sujeto a estas obligaciones, consulte nuestra guía completa sobre el ámbito de aplicación del RGPD.
Los tipos de cookies y sus reglas
No todas las cookies están sujetas al mismo régimen. La AEPD distingue claramente:
Cookies exentas de consentimiento
Determinadas cookies son estrictamente necesarias para el funcionamiento del sitio y no requieren consentimiento. Se trata de las cookies de sesión (carrito de compra, autenticación), las cookies de preferencia de idioma, las cookies de equilibrio de carga del servidor y las cookies de medición de audiencia cuando están configuradas de modo que no permitan el seguimiento entre sitios.
Cookies que requieren consentimiento explícito
El consentimiento previo es obligatorio para las cookies publicitarias y de segmentación, las cookies de redes sociales (botones de compartir, widgets integrados), las cookies de análisis de navegación con fines comerciales (Google Analytics en su configuración estándar), las cookies de personalización de contenido basadas en el perfil del usuario y los píxeles de seguimiento de terceros.
La AEPD subraya un punto fundamental: la mera continuación de la navegación no constituye un consentimiento válido. El usuario debe realizar un acto positivo claro para cada finalidad de tratamiento.
El banner de cookies conforme: exigencias de la AEPD
El banner de cookies es el mecanismo mediante el cual se recaba el consentimiento de los usuarios. La AEPD impone requisitos precisos para que sea considerado conforme:
Informar claramente al usuario: el banner debe mencionar las finalidades de las cookies, la identidad de los responsables del tratamiento (o un enlace a la lista completa) y la posibilidad de aceptar o rechazar.
Ofrecer una elección real: el botón «Rechazar» (o «Continuar sin aceptar») debe ser tan visible y accesible como el botón «Aceptar». La AEPD ha sancionado a numerosas empresas por diseños engañosos donde el rechazo resultaba deliberadamente más difícil.
Permitir un consentimiento granular: el usuario debe poder aceptar o rechazar las cookies finalidad por finalidad (publicidad, estadísticas, redes sociales, etc.), ya sea directamente desde la primera pantalla o mediante un segundo nivel accesible en un clic.
No instalar cookies antes del consentimiento: las cookies no esenciales no deben instalarse hasta que el usuario haya dado su acuerdo. La carga de scripts de terceros (Google Analytics, Facebook Pixel, etc.) debe estar condicionada al consentimiento.
Conservar la prueba del consentimiento: se debe poder demostrar que el usuario consintió, cuándo y para qué finalidades. La validez del consentimiento es de un máximo de 24 meses según las orientaciones de la AEPD.
La política de cookies: qué debe contener
Más allá del banner, la política de cookies es un documento independiente que detalla el conjunto de las prácticas en materia de cookies. Conforme a los artículos 12 y 13 del RGPD, debe incluir:
- La identidad y datos de contacto del responsable del tratamiento
- La lista exhaustiva de cookies utilizadas (nombre, finalidad, duración, emisor)
- Las finalidades de cada cookie, descritas de forma clara y comprensible
- La base jurídica del tratamiento (consentimiento para cookies no esenciales, interés legítimo para cookies técnicas)
- Los destinatarios de los datos recopilados (socios publicitarios, herramientas de análisis, etc.)
- Las transferencias de datos fuera de la UE, en su caso
- Los plazos de conservación de los datos
- Los derechos de los usuarios (acceso, rectificación, supresión, oposición) y cómo ejercerlos
- Las modalidades de gestión de las cookies (cómo modificar o retirar el consentimiento)
Esta política debe ser accesible de forma permanente, generalmente mediante un enlace en el pie de página del sitio, y debe ser distinta de su política de privacidad, aunque ambos documentos se complementen.
Los errores más comunes
Muchos sitios siguen cometiendo errores que les exponen a sanciones:
El «cookie wall» sin alternativa. Bloquear el acceso al sitio si el usuario rechaza las cookies se considera generalmente no conforme, ya que vicia el carácter libre del consentimiento. Existen excepciones limitadas para sitios de prensa que ofrecen una suscripción alternativa.
El diseño engañoso (dark patterns). Un botón «Aceptar todo» de color llamativo junto a un enlace «Configurar» discreto en gris constituye un dark pattern. La AEPD exige un nivel de visibilidad equivalente para la aceptación y el rechazo.
La imposibilidad de retirar el consentimiento. El usuario debe poder retirar su consentimiento en cualquier momento, de manera tan sencilla como lo dio. Un enlace permanente a los ajustes de cookies (a menudo mediante un pequeño widget al pie de la página) es indispensable.
La instalación de cookies antes del consentimiento. Numerosos sitios cargan Google Analytics, Facebook Pixel u otros rastreadores nada más llegar a la página, antes de cualquier interacción con el banner. Esto constituye una violación directa de la LSSI-CE.
Confundir la política de cookies con el aviso legal. Son documentos distintos que responden a obligaciones jurídicas diferentes. Uno no sustituye al otro.
Las sanciones: lo que arriesga
La AEPD dispone de un arsenal de sanciones proporcionadas a la gravedad de las infracciones:
Los apercibimientos: la AEPD puede requerir la adopción de medidas correctivas en un plazo determinado. Es a menudo el primer paso, pero consta en el registro público de la agencia.
Las multas administrativas: al amparo del RGPD, las multas pueden alcanzar los 20 millones de euros o el 4 % de la facturación anual mundial. La AEPD ha impuesto sanciones significativas por incumplimientos relacionados con cookies, afectando tanto a grandes empresas como a pymes. Para una visión completa de las sanciones más destacadas, consulte nuestro análisis de las 15 mayores multas.
Las órdenes de cesación: la AEPD puede ordenar el cese inmediato del tratamiento no conforme, lo que puede implicar la desactivación de todas las herramientas de análisis y publicidad.
Las multas coercitivas: en caso de incumplimiento de una orden, se pueden imponer multas coercitivas de hasta 100 000 € por día de retraso.
En 2026, las inspecciones de la AEPD son más frecuentes que nunca, con campañas temáticas dirigidas específicamente a las prácticas de cookies. Las denuncias presentadas por los usuarios a través del sitio web de la AEPD constituyen también un importante detonante de estas inspecciones.
Cómo cumplir con la normativa: sus opciones
Contratar a un abogado especializado (300-800 €): un abogado especializado en derecho digital redactará una política de cookies a medida y podrá auditar su banner de consentimiento. Es la solución más personalizada, pero el coste es elevado y el plazo de varias semanas. Se justifica para sitios de alto tráfico o con tratamientos de datos complejos.
Usar plantillas gratuitas en línea (0 € pero arriesgado): existen plantillas de políticas de cookies, pero rara vez están actualizadas con las últimas exigencias de la AEPD y requieren de 3 a 5 horas de personalización. Sin experiencia técnica, es difícil elaborar la lista exacta de cookies instaladas por su sitio.
Usar IA genérica (ChatGPT, Claude) (0 € + revisión abogado 150-300 €): estas herramientas pueden producir un primer borrador, pero la política de cookies exige información técnica precisa (lista de cookies, duraciones, scripts de terceros) que la IA no puede conocer sin una auditoría previa. Una revisión jurídica sigue siendo necesaria.
Usar IA jurídica especializada (14,90-19,90 €): soluciones como WebLegal.ai generan una política de cookies conforme en minutos, guiándole a través de las preguntas adecuadas. El documento cubre las exigencias del RGPD y la LSSI-CE, incluye una lista estructurada de cookies por finalidad y está listo para publicar. Para una protección completa, combínelo con los 4 documentos legales obligatorios para su sitio web.
Conclusión
La política de cookies y el banner de consentimiento conforme ya no son opcionales en 2026: son obligaciones legales cuyo incumplimiento expone a multas cuantiosas y a un riesgo reputacional grave. Con la intensificación de las inspecciones de la AEPD, todo sitio web debe disponer imperativamente de un banner conforme y una política de cookies completa y actualizada. No espere a que una inspección le pille desprevenido — asegure su conformidad hoy mismo.