Aviso importante: Sistema de ALERTAS Y AYUDA — NO vinculante. Toda decision debe ser revisada por un abogado. Leer descargo
← Volver a Datos personales y RGPD
CRITICAL Datos personales y RGPD ✓ Necesario para tienda online En vigor: 2024-01-11 Aprobada: 2023-07-11

Guía sobre el uso de Cookies de la AEPD 2023: Criterios de cumplimiento ePrivacy para tiendas online

ESEU alltienda online b2ctienda online b2bmarketplaceplataforma saasacademia onlinecomunidad de membresiablog de afiliadosdropshippingapp movil comercial #cookies#consentimiento#eprivacy#dark patterns#lssi#rgpd#privacidad#tracking#product_types_inferred#company:autonomo#company:micropyme#company:pyme#company:gran_empresa#company:empresa_no_ue_que_vende_a_ue#company:plataforma_p2p electronicaropacosmeticajuguetessoftwaresaascursos onlineebookssuscripcionesalimentacionmobiliariocalzadojoyeriaproductos fitosanitariosrecambiosservicios digitales

Resumen ejecutivo: Nueva normativa vigente de forma obligatoria desde el 11 de enero de 2024 que impone criterios estrictos de transparencia en el consentimiento. Es imperativo que el banner de cookies permita 'Rechazar todas' en el primer nivel con la misma visibilidad que 'Aceptar todas'. Prohíbe los muros de cookies y exige una gestión granular por finalidad, afectando a toda venta online (productos, software e infoproductos) que opere en España o se dirija a usuarios españoles.

Acciones concretas para tu tienda

  1. Implementar botón 'Rechazar' en la primera capa del banner
  2. Igualar diseño, color y contraste de los botones 'Aceptar' y 'Rechazar'
  3. Eliminar cualquier cookie wall que impida el acceso sin consentimiento
  4. Configurar sistema de selección granular por finalidades (analíticas, marketing, etc.)
  5. Actualizar la Política de Cookies detallando todos los proveedores terceros
  6. Asegurar la renovación del consentimiento cada 24 meses como máximo
⚙ Necesario un modulo adicional

Requiere la instalación de un Gestor de Consentimiento (CMP - Consent Management Platform) avanzado que soporte el modo de consentimiento de Google (Consent Mode v2) y permita el bloqueo preventivo de scripts antes de la interacción del usuario.

Fuente oficial:

AEPD (catalogo historico)

Ver fuente original →

Explicacion ampliada

1. Contexto y marco normativo previo

El ecosistema de la privacidad en internet ha evolucionado desde una permisividad casi absoluta hacia un control férreo por parte del usuario. La base de esta regulación en España se encuentra en el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI-CE), el cual transpuso originalmente la Directiva 2002/58/CE (Directiva ePrivacy). Sin embargo, esta normativa quedó obsoleta tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en 2018 (Reglamento UE 2016/679), que elevó los estándares de lo que constituye un 'consentimiento válido'.

Antes de la actualización de 2023 de la AEPD, existía una zona gris donde muchas tiendas online utilizaban el 'seguir navegando' como forma de consentimiento o escondían la opción de rechazar cookies tras varios clics en un panel de configuración. El Comité Europeo de Protección de Datos (EDPB) publicó las Directrices 03/2022 sobre patrones engañosos (dark patterns), lo que obligó a las autoridades nacionales, como la Agencia Española de Protección de Datos (AEPD), a endurecer sus criterios para garantizar que el usuario pueda decir 'no' con la misma facilidad con la que dice 'sí'. Esta Guía Cookies de 2023 sustituye a la versión de 2020 y complementa a la LOPDGDD 3/2018.

2. Origen y proceso legislativo

La Guía sobre el uso de las cookies de la AEPD fue publicada el 11 de julio de 2023, estableciendo un periodo transitorio de adaptación de seis meses que finalizó el 11 de enero de 2024. No es una ley en el sentido estricto emanado del Parlamento, sino una interpretación vinculante que la autoridad de control realiza sobre la normativa existente (LSSI y RGPD).

El proceso legislativo surge de la necesidad de armonizar los criterios españoles con el 'Cookie Banner Report' del EDPB. Los considerandos clave que sustentan esta actualización son: (1) El consentimiento debe ser inequívoco y mediante una acción afirmativa clara; (2) La libertad de elección no puede estar viciada por diseños web manipuladores; y (3) El derecho a la protección de datos es un derecho fundamental que prevalece sobre el interés comercial de prospección de mercado.

3. Ámbito subjetivo - A QUIÉN aplica

Esta normativa es de aplicación universal para cualquier entidad que opere un sitio web o aplicación móvil dirigida al mercado español:

  • Sujetos obligados: Autónomos, micropymes, pymes y grandes empresas que utilicen cookies no exceptuadas (analíticas, publicitarias, de personalización).
  • Marketplaces: Tanto la plataforma (Amazon, Miravia) como los vendedores externos que utilicen píxeles de seguimiento propios en sus páginas de producto.
  • Empresas extra-comunitarias: Cualquier tienda online de EE.UU., China o Reino Unido que venda a consumidores en España debe cumplir con estos estándares si procesa datos de residentes españoles.
  • Dropshippers e Influencers: Aunque no tengan stock, si su web de recomendación o tienda de dropshipping utiliza herramientas de seguimiento de conversiones (píxel de Meta, TikTok, Google Analytics), están sujetos a la norma.
  • Excepciones: Se mantienen exentas las cookies puramente técnicas necesarias para el funcionamiento del sitio (carrito de la compra, inicio de sesión, seguridad, personalización de la interfaz solicitada por el usuario).

4. Ámbito objetivo - QUÉ actividades y productos cubre

Aplica a toda venta online en sus tres modalidades (Productos, Software, Infoproductos) sin distinción de la naturaleza del bien vendido. Específicamente afecta a:

  • Tiendas de Productos Físicos: Desde moda y cosmética hasta electrónica y mobiliario. El uso de cookies para 'retargeting' (mostrar anuncios de productos vistos) es la actividad principal regulada.
  • Venta de Software y SaaS: Plataformas que rastrean el uso de la herramienta para ofrecer 'upselling' o mejoras de plan.
  • Infoproductos y Formación: Academias online que miden la procedencia del tráfico para optimizar sus embudos de ventas (funnels).
  • Tecnologías afectadas: No solo las 'cookies' HTTP tradicionales, sino también el 'local storage', el 'fingerprinting' de dispositivos, los objetos locales compartidos (Flash cookies) o cualquier otra técnica de almacenamiento y recuperación de datos en el terminal del usuario.

5. Obligaciones concretas - exegesis del articulado

La Guía detalla obligaciones operativas críticas:

  1. Botón de Rechazo Equivalente (Art. 22.2 LSSI interpretado): El banner debe presentar las opciones 'Aceptar' y 'Rechazar' al mismo nivel. No es lícito que el botón de rechazar esté en un color tenue o escondido en una segunda capa.
  2. Transparencia en la Información: Debe indicarse quién es el responsable, para qué se usan las cookies y si hay transferencias internacionales de datos (ej. uso de Google Analytics en servidores de EE.UU.).
  3. Consentimiento Granular: El usuario debe poder aceptar cookies analíticas pero rechazar las de marketing de forma independiente.
  4. Prohibición de Muros de Cookies (Cookie Walls): No se puede denegar el acceso a la tienda o al servicio por el hecho de que el usuario no acepte las cookies, salvo que la finalidad sea estrictamente necesaria para el servicio solicitado.
  5. Facilidad de Revocación: Debe ser tan fácil retirar el consentimiento como lo fue darlo. Se recomienda un icono flotante de 'ajustes de privacidad'.
  6. Caducidad del Consentimiento: Los consentimientos obtenidos no deben durar para siempre. La AEPD recomienda renovarlos cada 24 meses.

6. Casos prácticos por TIPO DE TIENDA Y PRODUCTO

  • Caso 1: Ecommerce de Cosmética (PrestaShop): La tienda utiliza el píxel de Meta para hacer anuncios en Instagram. Acción: El banner debe bloquear el script de Meta hasta que el usuario haga clic en 'Aceptar'. Si el usuario no interactúa, no se debe disparar el píxel.
  • Caso 2: SaaS de Gestión de Proyectos: Utiliza Hotjar para grabar sesiones de usuario. Acción: Al ser una cookie de análisis de comportamiento, requiere consentimiento previo. No puede activarse 'por defecto' al crear la cuenta.
  • Caso 3: Academia de Cursos Online: Usa Google Analytics 4 para medir el ROI de sus campañas. Acción: Debe informar si GA4 transfiere datos fuera del Espacio Económico Europeo y permitir que el alumno compre el curso aunque rechace la analítica.
  • Caso 4: Vendedor en Marketplace: Si el marketplace permite insertar scripts propios. Acción: El vendedor es responsable de la transparencia de esos scripts específicos frente al comprador.
  • Caso 5: Tienda de Electrónica (Shopify): Implementa el modo de consentimiento de Google (Consent Mode v2). Acción: Debe asegurar que el plugin de Shopify comunica correctamente la señal de rechazo a Google para que este no recolecte datos identificativos.

7. Plazos clave

| Fecha | Hito | Quien | Consecuencia si no se cumple | | :--- | :--- | :--- | :--- | | 2023-07-11 | Publicación de la Guía | AEPD | Inicio del periodo de gracia | | 2024-01-11 | Fin del periodo transitorio | Tiendas Online | Riesgo de sanción inmediata | | 2024-03-06 | Plazo Google Consent Mode v2 | Usuarios de Google Ads | Pérdida de medición y audiencias | | 2025-01-01 | Revisión anual recomendada | DPO / Gestor IT | Obsolescencia de scripts terceros | | 2026-01-11 | Renovación consentimientos | Sistema CMS | Caducidad legal de cookies de 2024 |

8. Sanciones y régimen sancionador

Las infracciones por incumplimiento de la política de cookies se tramitan principalmente bajo la LSSI-CE, aunque pueden derivar en infracciones del RGPD si hay un tratamiento ilícito de datos personales.

  • Infracciones leves (LSSI): Multas de hasta 30.000€. Ejemplo: No tener política de cookies accesible.
  • Infracciones graves (LSSI): Multas de hasta 150.000€. Ejemplo: No tener botón de rechazo o usar muros de cookies.
  • Sanciones RGPD: Pueden llegar a los 20 millones de euros o el 4% de la facturación global anual (lo que sea mayor).
  • Ejemplo Real: Resoluciones de la AEPD (p.ej. EXP202205561) han sancionado a empresas del sector retail con multas de entre 3.000€ y 20.000€ por banners que no permitían el rechazo fácil o no informaban correctamente.

9. Comparativa antes y despues

| Aspecto | Régimen anterior | Nuevo régimen | Impacto práctico | | :--- | :--- | :--- | :--- | | Botón Rechazar | Podía estar en 'Configuración' | Debe estar en la 1ª capa | Mayor tasa de rechazo | | Diseño | El botón Aceptar era más llamativo | Ambos deben ser equivalentes | Fin de los dark patterns | | Seguir navegando | Podía considerarse aceptación | Prohibido totalmente | Acción positiva obligatoria | | Muro de cookies | Permitido en algunos casos | Prácticamente prohibido | Libertad de acceso total | | Caducidad | Indefinida a menudo | Máximo 24 meses | Refresco de base de datos | | Granularidad | Grupos genéricos | Finalidades específicas | Más control para el usuario | | Terceros | Lista genérica | Identificación detallada | Auditoría de proveedores | | Información | Textos legales complejos | Información clara y sencilla | Transparencia real |

10. Como cumplir paso a paso - Guía operativa

  1. Auditoría de Scripts: Identifica todos los scripts que cargan cookies en tu tienda (F12 en Chrome > Application > Cookies).
  2. Clasificación: Divide las cookies en Técnicas, Analíticas, Preferencias y Marketing.
  3. Selección de CMP: Elige un gestor de consentimiento (Cookiebot, Complianz, OneTrust, Didomi) que esté certificado por la AEPD/Google.
  4. Configuración del Banner: Asegúrate de que el botón 'Rechazar' tenga el mismo tamaño, color de fondo y color de texto que el 'Aceptar'.
  5. Bloqueo Preventivo: Configura tu CMS para que los scripts no carguen hasta que el CMP devuelva el valor 'true'.
  6. Actualización de Política: Redacta un texto que incluya: nombre de la cookie, propietario, finalidad y duración.
  7. Implementación de Icono de Revocación: Coloca un 'botón flotante' que permita al usuario cambiar su elección en cualquier momento.
  8. Prueba de Cumplimiento: Navega en modo incógnito y verifica que no se guardan cookies de marketing antes de interactuar con el banner.
  9. Configuración de Caducidad: Ajusta tu CMP para que expire el consentimiento a los 13 o 24 meses.
  10. Documentación: Guarda un registro (log) de los consentimientos obtenidos (anonimizado) para probar el cumplimiento ante una inspección.

11. Errores frecuentes

  1. Botón 'Más información' en lugar de 'Rechazar': Es sancionable. El rechazo debe ser directo.
  2. Casillas pre-marcadas: En el panel de configuración, todas las casillas (salvo las técnicas) deben estar desmarcadas por defecto.
  3. Colores engañosos: Poner el botón de aceptar en verde brillante y el de rechazar en gris transparente sobre fondo blanco.
  4. No listar a terceros: Olvidar mencionar que se usan herramientas como Hotjar, Zendesk o Tawk.to que también instalan cookies.
  5. Carga de cookies en la página de Política de Privacidad: La página de información legal no debe tener cookies de seguimiento.

12. Jurisprudencia y criterios oficiales

  • Sentencia Planet49 (C-673/17): El TJUE dictaminó que el consentimiento no es válido si se da mediante una casilla marcada por defecto.
  • Asunto Fashion ID (C-40/17): Estableció la responsabilidad compartida entre el titular de la web y el proveedor del script (en ese caso, el botón 'Me gusta' de Facebook).
  • Criterio AEPD: La circular 1/2023 refuerza que el interés legítimo no es base suficiente para cookies publicitarias.

13. FAQ extensa

¿Si vendo solo a España, ¿me afecta esta normativa UE?

Sí, totalmente. La LSSI es la transposición española de la Directiva ePrivacy de la UE, y la Guía de la AEPD es el estándar que se aplica en territorio nacional.

Soy autónomo facturando poco, ¿hay alguna excepción?

No. La protección de datos y la LSSI no establecen umbrales de facturación. Cualquier sitio web comercial debe cumplirlo por igual.

¿Puedo cobrar por el acceso si rechazan las cookies?

La AEPD permite 'muros de cookies' de pago (consentir o pagar) siempre que se informe claramente y la alternativa de pago sea genuina y no excesivamente cara.

¿Qué pasa si uso Shopify y no puedo cambiar el código?

Debes usar una App de cookies certificada que se integre con la API de Shopify y el Consent Mode de Google para gestionar el bloqueo de scripts.

¿Las cookies de Google Analytics son técnicas?

No, son analíticas y requieren consentimiento. Solo las de analítica propia muy básicas y anonimizadas podrían considerarse exentas en casos muy específicos.

14. Normativas relacionadas

  • LSSI-CE (Ley 34/2002): Especialmente el Art. 22.2. [CELEX 32002L0058]
  • RGPD (Reglamento UE 2016/679): Definición de consentimiento. [CELEX 32016R0679]
  • LOPDGDD (Ley Orgánica 3/2018): Marco nacional de protección de datos.
  • Directiva ePrivacy (2002/58/CE): Base de la regulación de cookies.

15. Recursos oficiales y herramientas recomendadas

  • AEPD: Guía sobre el uso de las cookies (PDF oficial).
  • EDPB: Guidelines on Dark Patterns.
  • Herramientas: Cookiebot, Complianz (WordPress), OneTrust.

16. Conclusión práctica y valoración

El cumplimiento de la Guía Cookies 2023 ya no es opcional ni permite interpretaciones laxas. Para una tienda online, el riesgo de no actuar es doble: sanciones económicas directas de la AEPD y la pérdida de capacidad de medición en plataformas como Google Ads si no se implementa el Consent Mode v2 antes de marzo de 2024. El esfuerzo de adaptación es medio (requiere configuración técnica y legal), pero es una base crítica para la confianza del consumidor y la seguridad jurídica del negocio.

Resumen elaborado por IA a partir del texto oficial enlazado y normativa relacionada. Recomendamos revisar la fuente original y que un profesional cualificado lo aplique correctamente a tu caso.
Aviso: Compliance Pilot es un sistema de ALERTAS Y AYUDA. La informacion es ORIENTATIVA y NO sustituye asesoramiento juridico profesional. Verifica siempre con la fuente oficial y/o un abogado.