TL;DR — Una auditoría de cookies consiste en identificar, clasificar y documentar todas las cookies activas en un sitio web. Es imprescindible antes de configurar o actualizar una CMP, y debe repetirse regularmente. El método completo incluye: un escaneo técnico de múltiples páginas, la clasificación de cada cookie por categoría del RGPD, la verificación del comportamiento antes del consentimiento y la elaboración de un informe que documente finalidades y duraciones.
El cumplimiento del RGPD en materia de cookies comienza con una sola pregunta: ¿qué cookies deposita realmente mi sitio? Sin una respuesta precisa, es imposible configurar correctamente un banner, redactar una política de cookies exacta o demostrar el cumplimiento en caso de inspección. La auditoría de cookies es el punto de partida obligatorio.
¿Qué es una auditoría de cookies?
Una auditoría de cookies es el inventario exhaustivo de todas las cookies depositadas por un sitio web en el navegador del visitante. Incluye cookies propias (emitidas por el dominio del sitio) y cookies de terceros (emitidas por servicios de terceros integrados como Google Analytics, Meta Pixel, herramientas de chat, etc.).
¿Cuándo realizar una auditoría de cookies?
Situaciones que desencadenan una auditoría obligatoria: antes de configurar o sustituir una CMP, tras instalar un nuevo plugin, app o script de terceros, al cambiar de tema o plataforma, durante una reforma del sitio y periódicamente (recomendado: cada 3 a 6 meses para sitios activos).
Cómo realizar una auditoría de cookies: el método completo
Paso 1 — Preparar un entorno de prueba limpio
La auditoría debe realizarse en un entorno sin cookies: utiliza una sesión de navegación privada o un perfil de navegador dedicado sin cookies previas. Esto simula la experiencia de un visitante que llega por primera vez al sitio.
Paso 2 — Escanear las páginas clave
No todas las páginas depositan las mismas cookies. Audita sistemáticamente: la página de inicio, 2 a 3 páginas de contenido o categoría, una página de producto o servicio, la página de contacto o formulario y la página de pago o carrito. Utiliza el escáner FlowConsent (/es/scan) para un análisis automatizado o las DevTools de Chrome para un análisis manual.
Paso 3 — Documentar cada cookie
Para cada cookie identificada, registra: el nombre de la cookie, el dominio emisor (propio o de terceros), el período de conservación, la finalidad (funcional, analítica, publicitaria, personalización) y el servicio al que pertenece.
Paso 4 — Clasificar según el RGPD
Categorías: Funcional/esencial — estrictamente necesaria para el funcionamiento: exenta de consentimiento. Analítica — medición de audiencia (GA4, Matomo, Hotjar): consentimiento requerido. Publicitaria/marketing — segmentación y retargeting: consentimiento requerido. Personalización — adaptación de contenidos: consentimiento requerido.
Paso 5 — Verificar el comportamiento antes del consentimiento
El paso más crítico: abre el sitio en navegación privada y observa en las DevTools (pestaña Red) si se depositan cookies no funcionales antes de cualquier interacción con el banner. Si es así, el bloqueo de scripts no es efectivo. Se trata de un incumplimiento directo.
Paso 6 — Elaborar el informe de auditoría
El informe debe contener: la fecha de la auditoría, la lista de páginas escaneadas, la tabla de cookies (nombre, dominio, duración, categoría, servicio, consentimiento requerido), los incumplimientos identificados y las acciones correctivas recomendadas.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Errores frecuentes en las auditorías de cookies
Error 1: auditar solo la página de inicio. Cookies específicas solo aparecen en determinadas páginas. Una auditoría limitada a la página de inicio pasa por alto gran parte de los rastreadores.
Error 2: auditar con una sesión ya cookiada. Utiliza siempre el modo de navegación privada.
Error 3: confundir cookies propias y de terceros. Una cookie propia puede ser depositada por un script de terceros.
Error 4: no volver a auditar tras las actualizaciones. Una actualización de plugin puede añadir nuevas cookies sin previo aviso.
Error 5: no probar el comportamiento tras el rechazo. Verificar también que las cookies no esenciales no se vuelven a cargar tras un rechazo.
Lista de verificación de auditoría de cookies
- Preparar un entorno limpio: navegación privada o perfil dedicado sin cookies.
- Listar las páginas a auditar: inicio, contenido, producto, formulario, pago.
- Escanear cada página con una herramienta dedicada o con las DevTools.
- Documentar cada cookie: nombre, dominio, duración, categoría, servicio.
- Clasificar según el RGPD: funcional (exenta) o sujeta a consentimiento.
- Verificar en DevTools (pestaña Red) que ninguna cookie no esencial se deposita antes del consentimiento.
- Probar el comportamiento tras el rechazo: las cookies no esenciales no deben reaparecer.
- Comparar con la política de cookies existente: ¿están listadas todas las cookies activas?
- Identificar los incumplimientos y elaborar el informe de auditoría.
- Programar la próxima auditoría (3 a 6 meses, o tras cualquier modificación del sitio).
Una auditoría de cookies lleva entre 30 minutos y unas pocas horas según el tamaño del sitio. Es la inversión más útil para un cumplimiento sólido del RGPD. Inicia la auditoría de tu sitio en /es/scan.