Cookies y privacidad en tu web: qué debes implementar para cumplir el RGPD
Banners de cookies, política de privacidad y consentimiento. Obligaciones legales en España y la UE.
Si tienes una web en España y recibes visitas de la UE, el tema de las cookies RGPD web España no es algo que puedas dejar para después. Las sanciones de la AEPD (Agencia Española de Protección de Datos) son reales, los expedientes sancionadores han aumentado considerablemente en los últimos años, y lo más frustrante es que la mayoría de los problemas que vemos en webs de pymes son perfectamente evitables con un par de horas de trabajo bien hecho.
Este artículo no es un resumen de la ley. Es lo que realmente necesitas implementar, en qué orden, y dónde suelen fallar las webs que auditamos.
Qué exige exactamente el RGPD respecto a las cookies
El Reglamento General de Protección de Datos (RGPD) de la UE, junto con la Ley de Servicios de la Sociedad de la Información (LSSI) en España, establece que cualquier cookie que no sea estrictamente necesaria para el funcionamiento del sitio requiere el consentimiento explícito del usuario antes de ejecutarse.
Eso incluye las cookies de Google Analytics, las de Meta Pixel, las de retargeting publicitario y las de herramientas de chat como Intercom o HubSpot. Si tu web las carga antes de que el usuario acepte, estás incumpliendo.
Lo que suelen hacer muchas webs —y que la AEPD ya ha multado en varios expedientes— es mostrar un banner informativo pero cargar las cookies igualmente. Eso no vale.
Qué son cookies "estrictamente necesarias"
Son las que hacen funcionar la web sin más: sesiones de usuario, carrito de compra, preferencias de idioma. Estas no requieren consentimiento. Todo lo demás entra en la categoría de cookies que sí lo necesitan.
Los tres elementos que debes tener sí o sí
1. Banner de cookies con consentimiento real
El banner tiene que cumplir varios requisitos que van más allá de un simple aviso:
- El botón de aceptar y el de rechazar deben tener el mismo peso visual. Si el botón de rechazar es un enlace de texto y el de aceptar es un botón grande y verde, eso es un diseño oscuro (dark pattern) que la AEPD considera manipulador.
- Debe haber una opción de configuración granular por categorías: analítica, publicidad, funcionales.
- El usuario debe poder cambiar sus preferencias después de haberlas dado.
- El consentimiento debe quedar registrado (timestamp, versión del banner, opciones elegidas).
En nuestra experiencia con clientes del sector e-commerce y hostelería, lo que solemos ver es que tienen el banner visualmente pero no bloquean las cookies hasta que el usuario acepta. Ese es el error más común y el más crítico.
Herramientas recomendadas para implementar esto:
- Cookiebot (desde 9 €/mes para webs pequeñas): escanea tu web, detecta todas las cookies activas y genera el banner automáticamente. Es la opción más robusta para pymes.
- CookieYes (plan gratuito para hasta 25.000 visitas/mes): buena opción para empezar, aunque con menos automatización.
- Complianz (plugin de WordPress, desde 0 € con funciones básicas): muy popular en España para sitios WordPress, con buena integración con Google Consent Mode v2.
El coste de implementar bien un banner con Cookiebot o similar ronda los 100-200 € de configuración inicial si lo hace alguien que sabe, más la suscripción mensual. Comparado con una sanción de la AEPD, que puede ir de 900 € para infracciones leves hasta 20 millones de euros para las más graves, la inversión es evidente.
2. Política de privacidad
No vale copiar la de otra web. Tu política de privacidad tiene que reflejar exactamente qué datos recoges, con qué finalidad, durante cuánto tiempo y con qué terceros los compartes.
Si usas Google Analytics 4, Mailchimp, un CRM, un chatbot o un formulario de contacto, todos esos procesadores de datos tienen que aparecer. Y si están fuera de la UE (como muchos servicios de EE.UU.), necesitas explicar las garantías de transferencia internacional.
Lo que hacemos habitualmente es revisar la política junto con las herramientas activas en la web durante una auditoría web completa, porque muchas veces los clientes ni saben qué scripts están corriendo en su web.
3. Aviso legal y política de cookies como páginas separadas
En España, el aviso legal es una obligación de la LSSI independiente del RGPD. Debe incluir los datos de identificación del responsable del sitio: nombre o razón social, NIF, domicilio, email de contacto y datos de inscripción registral si aplica.
La política de cookies debe ser una página dedicada donde expliques cada categoría de cookie que usas, su finalidad y su duración. El banner tiene que enlazar a esta página antes de que el usuario dé su consentimiento.
Google Consent Mode v2: obligatorio desde marzo de 2024
Si usas Google Ads o cualquier producto de Google que requiera medición de conversiones, desde marzo de 2024 Google exige que tengas implementado el Consent Mode v2. Básicamente, esto permite a Google recibir señales anónimas de comportamiento incluso de usuarios que han rechazado las cookies, sin identificarlos.
Implementarlo mal significa que tus campañas de Google Ads pierden datos de conversión y el rendimiento se deteriora. Si estás en esa situación y no entiendes por qué tus conversiones medidas bajaron de repente a principios de 2024, es muy probable que ahí esté la respuesta.
La mayoría de los plugins de consentimiento mencionados arriba (Cookiebot, Complianz) tienen integración nativa con Consent Mode v2. Solo hay que activarla correctamente.
Lo que pasa cuando haces un rediseño web
Un momento crítico para revisar todo esto es cuando cambias de plataforma o haces un rediseño. En ese proceso es fácil que scripts de terceros queden mal configurados, que el banner antiguo no sea compatible con la nueva estructura, o que el Google Tag Manager pierda la sincronización con la herramienta de consentimiento.
Si estás planificando un rediseño web, añade la revisión de privacidad y cookies como parte del checklist de lanzamiento, no como algo que revisarás después.
Cómo saber si tu web cumple ahora mismo
Hay tres formas rápidas de hacer una primera comprobación:
- Abre tu web en modo incógnito y observa si se carga algo en la consola del navegador antes de que interactúes con el banner.
- Usa la extensión EditThisCookie o el inspector de Chrome para ver qué cookies están activas antes de aceptar.
- Prueba tu dominio en cookiebot.com/en/gdpr-compliance-check/: en segundos te dice qué cookies detecta en tu web y si hay algún problema evidente.
Si el resultado muestra cookies de terceros activas antes del consentimiento, tienes trabajo que hacer.
Un último punto sobre los formularios
Los formularios de contacto, suscripción o descarga de contenido también caen bajo el RGPD. Cada formulario necesita:
- Una casilla de consentimiento no marcada por defecto si vas a usar los datos para marketing.
- Un enlace a la política de privacidad.
- Claridad sobre quién es el responsable del tratamiento y para qué se usarán los datos.
En nuestra experiencia, los formularios de captación de leads son el punto donde más errores encontramos en webs de pymes que, por lo demás, tienen el banner bien configurado.
Cumplir con las cookies RGPD web España no es solo evitar una sanción. Es también una señal de seriedad hacia tus usuarios. Una web que respeta el consentimiento genera más confianza, y eso tiene impacto directo en las conversiones.
Si no tienes claro si tu web cumple o necesitas que alguien lo configure correctamente desde cero, en Nuvio lo hacemos como parte del proceso de desarrollo web o como revisión independiente. Sin complicaciones técnicas de tu parte.
Recursos digitales gratis cada semana
Guías, casos de uso y novedades sobre web, apps y marketing digital para los que tienen una idea.
Sin spam. Puedes darte de baja cuando quieras.
¿Tienes una idea? Este es el momento.
Cuéntanos qué tienes en la cabeza. Te respondemos en menos de 24 horas.
Cuéntanos tu idea →