Banner de cookies conforme: la guía para no olvidar nada

TL;DR

Un banner de cookies conforme al RGPD debe permitir al usuario aceptar o rechazar los rastreadores con el mismo grado de simplicidad, antes de cualquier depósito de cookie no esencial. Las autoridades de protección de datos exigen un botón "Rechazar todo" tan visible como "Aceptar todo", un bloqueo efectivo de los scripts antes del consentimiento y la conservación de una prueba de consentimiento. Este artículo detalla las reglas a respetar, los errores más comunes y un método concreto para configurar correctamente su banner.

Por qué el banner de cookies es un tema crítico

El banner de cookies es a menudo la primera interacción entre un visitante y su sitio. También es el primer elemento que las autoridades de protección de datos verifican durante una inspección. La directiva ePrivacy impone un consentimiento previo antes de cualquier depósito de rastreadores no esenciales. El RGPD complementa este marco exigiendo que dicho consentimiento sea libre, específico, informado e inequívoco.

Los desafíos son tanto jurídicos como operativos. Un banner mal configurado expone a su organización a requerimientos o sanciones. También distorsiona sus datos analytics (cookies depositadas sin consentimiento producen datos inutilizables jurídicamente) y deteriora la confianza de sus usuarios.

Qué impacta concretamente

El cumplimiento del banner de cookies afecta varias dimensiones de su sitio. En el aspecto jurídico, un banner no conforme constituye una infracción. En analytics, si los rastreadores se depositan antes del consentimiento, los datos recopilados no tienen base legal válida. En UX, un banner intrusivo o engañoso deteriora la experiencia del usuario y la tasa de rebote. En SEO, un banner que bloquea el renderizado inicial de la página o que crea un desplazamiento de diseño (layout shift) puede afectar sus Core Web Vitals.

Los síntomas de un banner no conforme

Un botón "Aceptar" resaltado visualmente respecto al botón "Rechazar" (color, tamaño, posición). Cookies ya depositadas antes de cualquier interacción con el banner (verificable con el inspector del navegador). Un botón "Configurar" propuesto en lugar de un botón "Rechazar" en el primer nivel. Ausencia de mecanismo para retirar el consentimiento después de haberlo dado. Ninguna prueba de consentimiento almacenada del lado del servidor.

Las reglas a respetar (RGPD + autoridades de protección de datos)

Qué dice la normativa

El marco se basa en varios textos. La directiva ePrivacy (artículo 5.3) impone el consentimiento previo para cualquier rastreador no esencial. El RGPD (artículos 4.11 y 7) define las condiciones de validez del consentimiento: libre, específico, informado e inequívoco, manifestado por un acto positivo claro. Las directrices de las autoridades de protección de datos (como la CNIL en Francia, la AEPD en España o la ICO en Reino Unido) precisan las modalidades prácticas de obtención del consentimiento.

Las exigencias concretas para el banner

El banner debe informar al usuario de las finalidades de los rastreadores desde el primer nivel (breve descripción de los objetivos perseguidos). Debe proponer un mecanismo de rechazo tan simple como la aceptación. Se recomienda un botón "Rechazar todo" en el mismo nivel y con el mismo formato que el botón "Aceptar todo". Un simple botón "Configurar" al lado de "Aceptar todo" no es suficiente porque disuade el rechazo en la práctica.

Ningún rastreador no esencial debe depositarse antes de la obtención del consentimiento. La continuación de la navegación no equivale a un consentimiento. El cierre del banner sin acción explícita debe tratarse como un rechazo. El usuario debe poder retirar su consentimiento en cualquier momento, por ejemplo a través de un enlace en el pie de página o un botón de gestión de cookies accesible permanentemente.

El consentimiento debe registrarse con una prueba (marca temporal, identificador, elección realizada) para poder demostrarlo en caso de inspección. Se recomienda renovar la solicitud de consentimiento a intervalos regulares, generalmente cada 6 a 13 meses según el contexto.

Las cookies exentas de consentimiento

Ciertos rastreadores no requieren consentimiento: las cookies estrictamente necesarias para el funcionamiento del sitio (autenticación, carrito, preferencias de idioma), las cookies de medición de audiencia exentas bajo condiciones (configuración limitada, sin cruce de datos, sin transferencia a terceros) y los rastreadores vinculados a la seguridad del sitio. Su banner debe informar de su existencia, pero su depósito no depende de la elección del usuario.

El método para configurar un banner conforme

Paso 1: auditar las cookies de su sitio

Antes de configurar cualquier cosa, debe saber qué rastreadores están activos en su sitio. Utilice un escáner de cookies para identificar todas las cookies depositadas, su procedencia (first-party o third-party), su duración de vida y su finalidad. Es la base: no se puede configurar correctamente un banner si no se sabe qué scripts bloquear.

Paso 2: clasificar las cookies por categoría

Organice sus cookies en categorías claras: esenciales (sin consentimiento requerido), analytics/medición de audiencia, publicidad/segmentación, funcionales (preferencias). Cada categoría deberá corresponder a una opción en su banner y en el panel de gestión de preferencias.

Paso 3: elegir y configurar su CMP

Su CMP (plataforma de gestión del consentimiento) es la herramienta que muestra el banner, bloquea los scripts y almacena las pruebas de consentimiento. Elija una CMP que bloquee efectivamente los scripts antes del consentimiento (y no solo en apariencia), que proponga un botón "Rechazar" en el primer nivel, que conserve una prueba con marca temporal del consentimiento y que se integre con su stack técnico (Webflow, WordPress, Next.js, etc.).

Para saber más sobre los criterios de elección de una CMP y los servicios de gestión del consentimiento, consulte nuestra página dedicada.

Paso 4: configurar el bloqueo de scripts

El punto más técnico. Cada script no esencial (Google Analytics, Google Ads, Meta Pixel, TikTok, videos de YouTube integrados con cookies, etc.) debe estar bloqueado por defecto y solo activarse después del consentimiento explícito del usuario para la categoría correspondiente. Verifique con el inspector de red de su navegador que ninguna solicitud hacia dominios de terceros se envía antes de la interacción con el banner.

Paso 5: probar y documentar

Pruebe tres escenarios: rechazo total, aceptación parcial (solo analytics, por ejemplo), aceptación total. Para cada escenario, verifique las cookies depositadas, las solicitudes de red enviadas y el comportamiento del banner al recargar la página. Si utiliza el Google Consent Mode v2, verifique también que las señales de consentimiento se transmiten correctamente a los tags de Google.

Errores frecuentes (y cómo evitarlos)

El botón "Rechazar" menos visible que "Aceptar". Las autoridades exigen que el rechazo sea tan simple como la aceptación. Un botón gris pálido sobre fondo blanco al lado de un botón con color no cumple esta exigencia. Mismo tamaño, mismo nivel, misma visibilidad.

Cookies depositadas antes de cualquier interacción. Es el error más común y más grave. Si sus scripts de Google Analytics o Meta Pixel se cargan antes de que el usuario haya hecho clic en el banner, usted está en infracción. El bloqueo debe ser técnico, no solo visual.

Sin medio para retirar el consentimiento. Un enlace "Gestionar mis cookies" o un botón accesible permanentemente (pie de página, icono flotante) debe permitir al usuario modificar sus opciones en cualquier momento.

Usar un cookie wall. Bloquear el acceso al sitio mientras el usuario no haya aceptado las cookies es una práctica arriesgada. Las autoridades evalúan la licitud de los cookie walls caso por caso, y la tendencia es hacia una regulación estricta. Hay que proponer una alternativa equitativa.

Ninguna prueba de consentimiento conservada. En caso de inspección, la carga de la prueba del consentimiento recae en el responsable del tratamiento. Su CMP debe registrar un log con marca temporal de cada consentimiento con la elección realizada.

Olvidar los contenidos integrados. Los videos de YouTube, los mapas de Google Maps o los widgets de redes sociales depositan cookies de terceros. Si su banner no los cubre, tiene una brecha en su cumplimiento.

Checklist del banner de cookies conforme

1. Auditoría completa de cookies y rastreadores del sitio realizada.
2. Cookies clasificadas por categoría (esenciales, analytics, publicidad, funcionales).
3. Botón "Rechazar todo" visible en el primer nivel, mismo formato que "Aceptar todo".
4. Información clara sobre las finalidades de los rastreadores en el primer nivel del banner.
5. Cero cookies no esenciales depositadas antes del consentimiento (verificación técnica, no visual).
6. Scripts de terceros bloqueados por defecto y activados únicamente después del consentimiento.
7. Mecanismo de retirada del consentimiento accesible permanentemente (enlace en pie de página o icono).
8. Prueba de consentimiento con marca temporal almacenada para cada usuario.
9. Contenidos integrados (YouTube, Maps, widgets sociales) cubiertos por el banner.
10. Prueba de los tres escenarios: rechazo total, aceptación parcial, aceptación total.
11. Renovación del consentimiento prevista cada 6 a 13 meses.

Conclusión y siguiente paso

Un banner de cookies conforme se basa en tres pilares: un diseño neutro donde el rechazo es tan simple como la aceptación, un bloqueo técnico efectivo de los scripts antes del consentimiento y una conservación fiable de la prueba de consentimiento. Ninguno de estos tres elementos puede descuidarse.

Si no sabe qué cookies están activas en su sitio, comience por un escaneo gratuito de sus cookies. Es el primer paso para construir un banner que resista una inspección. Consulte también nuestro blog para otras guías prácticas sobre el cumplimiento de cookies. En 2026, las sanciones por incumplimiento de la normativa de cookies siguen aumentando en toda Europa.