TL;DR — La CNIL (y equivalentemente la AEPD en España) exige una duración máxima de conservación de 13 meses para las cookies analíticas y publicitarias depositadas en los dispositivos de los usuarios. La validez del consentimiento está limitada a 6 meses: transcurrido ese plazo, es obligatorio recabar un nuevo consentimiento. Estas reglas se aplican a todos los sitios accesibles desde la UE.
La duración de conservación de las cookies es uno de los aspectos más frecuentemente mal configurados en el cumplimiento de cookies. Muchos propietarios de sitios no distinguen entre la vida técnica de una cookie (su fecha de caducidad en el navegador) y el período de retención de los datos asociados en los servidores del proveedor. Ambos están regulados. Esta guía explica las normas aplicables, las situaciones habituales y los errores que hay que evitar.
¿Cuál es la norma sobre la duración de las cookies?
La CNIL recomienda una duración máxima de 13 meses para las cookies depositadas en los dispositivos de los usuarios. Esta recomendación surge de las directrices de 2020 y ha sido confirmada en las decisiones sancionadoras publicadas desde entonces. La AEPD sigue un enfoque equivalente en el marco del RGPD y la Directiva ePrivacy. Más allá de 13 meses, una cookie no funcional debe considerarse desproporcionada respecto a su finalidad.
¿Los 13 meses son una recomendación o una obligación legal?
La duración de 13 meses es una recomendación, no un texto legal directamente ejecutable. Sin embargo, las autoridades la han incorporado en sus criterios de auditoría. Un sitio que fije sus cookies analíticas en 2 años sin justificación se expone a advertencias o sanciones. En la práctica, 13 meses es el estándar del mercado: Google Analytics 4 y la mayoría de las CMP conformes respetan esta duración por defecto.
¿Qué duración para las cookies funcionales?
Las cookies estrictamente necesarias para el funcionamiento del servicio (carrito, sesión autenticada, preferencias de interfaz) no están sujetas a la regla de los 13 meses de la misma manera: su duración debe ser proporcionada a su finalidad. Una cookie de sesión autenticada de 30 días es razonable. Una cookie funcional de un año sin justificación técnica es cuestionable. La regla general: la duración más corta que permita el correcto funcionamiento del servicio.
Validez del consentimiento: 6 meses
Las autoridades de protección de datos no solo regulan la duración de la cookie, sino también la validez del propio consentimiento. El consentimiento otorgado por un usuario no puede considerarse válido indefinidamente.
La regla de los 6 meses
Según las recomendaciones de la CNIL y la orientación equivalente de la AEPD, la validez del consentimiento está limitada a 6 meses. Transcurrido este período, debe recabarse un nuevo consentimiento. En la práctica, si un usuario aceptó las cookies el 1 de enero, la CMP debe mostrarle de nuevo el banner alrededor del 1 de julio, salvo que haya modificado sus preferencias en ese intervalo.
¿Por qué difiere la validez del consentimiento de la duración de la cookie?
La duración de la cookie (máximo 13 meses) es el período durante el cual el archivo permanece en el dispositivo del usuario. La validez del consentimiento (6 meses) es el período durante el cual la plataforma puede considerar que el acuerdo del usuario sigue siendo actual. Ambas duraciones son independientes y deben ser gestionadas por la CMP.
Lo que debe gestionar su CMP
Una CMP conforme debe configurar y gestionar automáticamente ambas duraciones.
Caducidad de la cookie de consentimiento
La mayoría de las CMP almacenan la elección del usuario en una cookie o en el localStorage. Esta cookie de consentimiento debe configurarse con una duración coherente con las recomendaciones de las autoridades. Configurarla en 12 o 13 meses es habitual. Transcurrido este plazo, la cookie de consentimiento caduca y el usuario vuelve a ver el banner.
Renovación del consentimiento a los 6 meses
La regla de los 6 meses es más restrictiva que la duración de la cookie. Incluso si la cookie de consentimiento tiene una vida útil de 13 meses, la CMP debe mostrar de nuevo el banner a los 6 meses para los usuarios que dieron su consentimiento. Si el usuario rechazó, no es obligatorio volver a preguntarle, pero la CMP debe registrar este hecho para demostrarlo en una auditoría.
Retención de datos en servidores de terceros
La regla de los 13 meses se refiere a la cookie depositada en el dispositivo del usuario. Los datos recopilados por esa cookie (por ejemplo, las sesiones de GA4) tienen su propio período de retención en los servidores de Google o del proveedor de la herramienta. Esto está regulado por el RGPD y las condiciones de uso del servicio: Google Analytics 4 conserva los datos durante 14 meses por defecto, configurable a 2, 6 o 14 meses.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Errores frecuentes
Fijar las cookies analíticas en 2 años. Era la duración por defecto del antiguo Universal Analytics. GA4 y la mayoría de las CMP modernas lo han corregido a 13 meses. Verificar la configuración real de las cookies depositadas.
Confundir duración de la cookie con retención de datos. Son dos parámetros distintos: uno se refiere al archivo en el dispositivo, el otro a los datos en los servidores del editor o del encargado del tratamiento.
No renovar el consentimiento tras 6 meses. El banner debe volver a aparecer a los 6 meses para los usuarios que consintieron. Verificar la configuración de renovación de la CMP.
Aplicar la misma duración a todas las cookies. Las cookies funcionales deben tener la duración técnicamente más corta posible. Las cookies de medición de audiencia no deben superar los 13 meses.
No documentar las duraciones en la política de cookies. La política de cookies debe mencionar explícitamente la duración de cada cookie o categoría. Es un requisito de la AEPD y del RGPD.
Lista de verificación: duración de conservación de cookies
- Auditar todas las cookies activas en el sitio y registrar su duración de caducidad real (DevTools o escáner).
- Verificar que las cookies analíticas y publicitarias no superen los 13 meses.
- Configurar la cookie de consentimiento de la CMP en un máximo de 12 a 13 meses.
- Activar la renovación automática del consentimiento a los 6 meses en la CMP para los usuarios que consintieron.
- Comprobar la duración de retención de datos en Google Analytics (configurar en 14 meses máximo o menos).
- Actualizar la política de cookies con las duraciones exactas o los rangos por categoría.
- Documentar las justificaciones de las duraciones elegidas en el registro de tratamiento.
- Verificar las duraciones después de cada actualización de la CMP o de la herramienta analítica.
- Escanear el sitio en /es/scan para identificar las cookies cuya duración supera la recomendación.
Las normas de las autoridades de protección de datos sobre la duración de las cookies no son complejas, pero requieren una configuración explícita de la CMP y de cada herramienta analítica. La duración máxima de 13 meses para las cookies y de 6 meses para la validez del consentimiento son los dos parámetros clave que hay que controlar. Escanea tu sitio en /es/scan para verificar las duraciones reales de tus cookies activas.
Preguntas frecuentes
¿Qué es la regla de los 13 meses para las cookies?
La autoridad de protección de datos francesa CNIL exige que el consentimiento de cookies se renueve al menos cada 13 meses. Si un usuario aceptó cookies hace 13 meses y no ha vuelto a ver el banner de consentimiento desde entonces, su consentimiento se considera expirado y debe volver a recogerse. Esta regla pretende garantizar que el consentimiento sea actual y refleje las preferencias reales del usuario.
¿La regla de los 13 meses se aplica a todas las cookies?
La regla de los 13 meses se refiere específicamente a la renovación del consentimiento. Se aplica a todas las cookies que requieren consentimiento, es decir, las cookies analíticas y publicitarias. Las cookies estrictamente necesarias (esenciales para el funcionamiento del sitio) no requieren consentimiento y, por tanto, no están sujetas a este límite. La duración técnica de almacenamiento de las cookies es un asunto separado del período de renovación del consentimiento.
¿Cómo implementar técnicamente la renovación de 13 meses?
Su CMP (plataforma de gestión del consentimiento) debe almacenar la fecha de consentimiento de cada usuario junto con su elección. Cuando un usuario recurrente visita su sitio, la CMP comprueba si han pasado 13 meses desde su último consentimiento. Si es así, vuelve a mostrar el banner para recoger un nuevo consentimiento. La mayoría de las CMP conformes gestionan esto automáticamente, pero vale la pena verificar que este mecanismo esté correctamente configurado.
¿La regla de los 13 meses se aplica en toda Europa o solo en Francia?
La regla de los 13 meses es específica de las directrices de la CNIL francesa. Otras autoridades europeas de protección de datos pueden tener orientaciones diferentes: algunas especifican períodos de renovación de 6 o 12 meses, o abordan otros aspectos de la duración del consentimiento. Según el RGPD, el principio general es que el consentimiento debe permanecer libre, específico, informado y actual. Consulte las directrices de la autoridad de su país de establecimiento.
¿Cuáles son los riesgos de no renovar el consentimiento después de 13 meses?
No renovar el consentimiento después de 13 meses constituye una infracción de las directrices de la CNIL y podría resultar en un requerimiento formal o una sanción económica en caso de control o denuncia. Más ampliamente, el uso de cookies basado en un consentimiento expirado viola el principio de consentimiento válido del RGPD. Es, por tanto, un riesgo tanto legal como reputacional, especialmente en el contexto de una creciente aplicación regulatoria.