Cookies en tu web: lo que debes configurar antes de que te multen

Las cookies siguen siendo uno de los motivos de sanción más frecuentes que registra la AEPD. No porque la normativa sea especialmente compleja, sino porque hay webs que llevan años funcionando con una configuración incorrecta que nadie ha revisado.

Si tienes una web con cualquier tipo de seguimiento, herramienta de análisis o publicidad, este artículo es para ti.

Qué es una cookie y por qué importa legalmente

Una cookie es un pequeño archivo que se instala en el navegador del usuario cuando visita tu web. Algunas son imprescindibles para que la web funcione (mantener la sesión iniciada, recordar el carrito de compra). Otras sirven para rastrear el comportamiento del usuario, mostrarle publicidad personalizada o medir el tráfico.

La normativa española (Ley de Servicios de la Sociedad de la Información y el Reglamento de Cookies de la AEPD de 2023) establece que las cookies que no son estrictamente técnicas requieren el consentimiento del usuario antes de instalarse.

Tipos de cookies y cuáles necesitan consentimiento

Cookies técnicas o necesarias: No necesitan consentimiento. Son las imprescindibles para el funcionamiento básico de la web: sesión de usuario, carrito, preferencias de idioma, seguridad. Pueden instalarse sin pedir permiso.

Cookies de análisis: Necesitan consentimiento. Google Analytics, Matomo (en algunas configuraciones), Hotjar, Microsoft Clarity... Aunque el usuario no lo note, estas herramientas recogen datos sobre su comportamiento en la web.

Cookies de publicidad o marketing: Necesitan consentimiento. El píxel de Meta, el tag de Google Ads, cookies de redes de afiliación... Permiten mostrar publicidad personalizada al usuario en otras plataformas.

Cookies de personalización: Necesitan consentimiento si se usan para adaptar el contenido al usuario de forma individual más allá de lo estrictamente necesario.

Cómo debe ser el banner de cookies según la AEPD

La guía de la AEPD de 2023 es bastante concreta sobre lo que se admite y lo que no.

Lo que el banner DEBE tener:

• Información clara sobre qué cookies se usan y para qué.
• Un botón para aceptar todas las cookies.
• Un botón para rechazar todas las cookies con la misma visibilidad que el de aceptar.
• Acceso a opciones de configuración detallada.
• Enlace a la política de cookies completa.

Lo que el banner NO puede hacer:

• Tener el botón de "rechazar" menos visible que el de "aceptar" (letra más pequeña, color menos llamativo, escondido en un submenú...).
• Instalar cookies antes de que el usuario haya dado su consentimiento.
• Interpretar que el usuario consiente por el mero hecho de seguir navegando.
• Usar casillas premarcadas.
• Ofrecer solo la opción de aceptar sin posibilidad de rechazar.

El error más común: Google Analytics sin consentimiento previo

Muchas webs tienen Google Analytics instalado de forma que empieza a recoger datos desde el momento en que el usuario carga la página, antes de que haya interactuado con el banner de cookies.

Esto es incorrecto. Google Analytics es una cookie de análisis que requiere consentimiento previo. Si tu implementación carga el script de Analytics antes de que el usuario acepte, estás cometiendo una infracción.

La solución es usar una plataforma de gestión de consentimiento (CMP) que bloquee los scripts de terceros hasta que el usuario haya dado su consentimiento.

Plataformas de gestión de consentimiento (CMP): qué son y cuáles usar

Una CMP es una herramienta que gestiona automáticamente el consentimiento de cookies en tu web: muestra el banner, registra las decisiones del usuario, bloquea los scripts no consentidos y mantiene un registro del consentimiento obtenido.

Opciones disponibles para webs en España:

Cookiebot: Uno de los más populares. Escanea tu web automáticamente para detectar todas las cookies que usa. Tiene versión gratuita para webs pequeñas.

Axeptio: Diseño más cuidado, popular entre webs francesas y españolas. Tiene planes de pago accesibles para pymes.

Didomi: Más orientado a empresas medianas y grandes. Más opciones de personalización.

Real Cookie Banner (plugin de WordPress): Opción económica para webs en WordPress. Requiere más configuración manual pero es suficiente para webs sencillas.

Si tu web está en WordPress, también existen plugins como Complianz o CookieYes que ofrecen funcionalidad básica en su versión gratuita.

Auditoría de cookies: cómo saber qué cookies usa tu web

Antes de configurar nada, necesitas saber exactamente qué cookies instala tu web. Hay varias formas de comprobarlo:

1. Herramientas del navegador: En Chrome o Firefox, abre las herramientas de desarrollador (F12), ve a la pestaña "Application" o "Almacenamiento" y revisa las cookies instaladas.
2. Cookiebot Scanner: La versión gratuita de Cookiebot incluye un escáner que analiza tu web y lista todas las cookies que encuentra.
3. Google Tag Assistant: Útil para identificar tags de Google instalados en tu web.

Una vez sabes qué cookies tienes, puedes clasificarlas correctamente en tu política de cookies y configurar el CMP para que las gestione adecuadamente.

Política de cookies: qué debe incluir

La política de cookies es el documento completo donde explicas en detalle todo lo relativo a las cookies de tu web. Debe estar enlazada desde el banner y accesible en todo momento.

Debe incluir:

• Qué son las cookies (breve explicación).
• Listado de las cookies que usa tu web: nombre de la cookie, tipo, finalidad, duración y proveedor.
• Cómo puede el usuario gestionar o eliminar las cookies desde su navegador.
• Información sobre cookies de terceros y enlace a sus políticas de privacidad.
• Cómo actualizar el consentimiento (si el usuario quiere cambiar sus preferencias).

Cuánto tiempo conservar el registro de consentimientos

La AEPD recomienda conservar el registro de los consentimientos durante al menos un año, aunque en caso de disputa o inspección puede ser necesario acreditar consentimientos más antiguos. Las CMPs buenas guardan este registro automáticamente.