TL;DR
El RGPD y la Directiva ePrivacy no imponen una duración máxima universal para las cookies. Sin embargo, la AEPD y el Comité Europeo de Protección de Datos recomiendan una vida máxima de 13 meses para las cookies analíticas y publicitarias, y un período de validez del consentimiento de 6 meses. La duración debe ser proporcional a la finalidad y estar documentada en la política de cookies.
¿Qué duración de conservación exige el RGPD para las cookies?
La duración de las cookies es una de las preguntas de cumplimiento más frecuentes. La normativa no fija una duración máxima única y universal, pero establece un principio claro: la duración de conservación debe ser proporcional a la finalidad de la cookie. Una cookie que ya no cumple ningún propósito no debería existir.
Varios textos regulan la duración de las cookies en España y Europa: la Directiva ePrivacy (2002/58/CE), el RGPD (principio de minimización de datos, artículo 5.1.e), la LSSI y las recomendaciones de la AEPD.
Recomendaciones de la AEPD sobre la duración de las cookies
- Duración máxima recomendada para cookies analíticas y publicitarias: 13 meses.
- Más allá de 13 meses, la duración debe estar justificada y ser proporcional a la finalidad.
- Las cookies de sesión (sin duración fija) caducan al cerrar el navegador.
- Período máximo recomendado de validez del consentimiento: 6 meses.
- Tras la caducidad del consentimiento, el banner debe reaparecer para recabar un nuevo consentimiento.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Duración por categoría de cookie
Cookies estrictamente necesarias
No se impone ningún límite fijo, pero la duración debe seguir siendo proporcional. Una cookie de sesión de autenticación generalmente caduca al cerrar la sesión. Una cookie de preferencia de idioma puede durar legítimamente 1 año. Estas cookies no requieren consentimiento pero deben figurar en la política de cookies.
Cookies analíticas
Duración máxima recomendada: 13 meses. Las herramientas de análisis como Google Analytics 4 o Matomo utilizan cookies con duraciones variables. GA4 utiliza _ga (2 años por defecto) y _ga_[ID] (2 años). Estas duraciones superan la recomendación: deben configurarse duraciones más cortas en los ajustes de la herramienta.
Cookies publicitarias y de retargeting
Duración máxima recomendada: 13 meses. En la práctica, las cookies de plataformas publicitarias (Meta Pixel, Google Ads, LinkedIn Insight Tag) suelen tener duraciones por defecto de 1 a 2 años. Una CMP gestiona el consentimiento para estas cookies, pero no puede controlar las duraciones fijadas por terceros. Documéntelas tal como las define el tercero en su política de cookies.
Cookies funcionales
La duración varía según la finalidad. Una cookie de carrito de compra puede durar legítimamente 30 días. Una cookie de personalización de la interfaz puede durar hasta 1 año. La regla: la duración mínima necesaria para cumplir la finalidad declarada.
La validez del consentimiento es distinta de la duración de la cookie
Esta es una confusión frecuente. La vida útil de la cookie y la validez del consentimiento son dos cosas diferentes.
La vida útil de la cookie es el período durante el cual el archivo cookie permanece almacenado en el dispositivo del usuario. La validez del consentimiento es el período durante el cual el consentimiento registrado por la CMP sigue siendo válido sin necesidad de renovación.
El período máximo recomendado para la validez del consentimiento es de 6 meses. Después, el banner debe reaparecer para recabar un nuevo consentimiento. Esto se aplica independientemente de la vida útil técnica de las cookies.
Cómo configurar las duraciones en la práctica
Configurar Google Analytics 4
GA4 permite reducir la vida útil de las cookies en la configuración del flujo de datos. En la interfaz de GA4, vaya a Administración > Flujos de datos > Configuración de etiquetas de Google > Configurar sus parámetros. Es posible establecer duraciones más cortas para cookie_expires_time. La recomendación es no superar los 13 meses.
Configurar su CMP
Una CMP como FlowConsent permite configurar la validez del consentimiento (6 meses recomendados) y gestionar automáticamente la reaparición del banner. La CMP también registra la marca de tiempo, la versión y la duración de cada consentimiento.
Documentar las duraciones en la política de cookies
Cada cookie que figure en la política de cookies debe indicar su duración de conservación. Esta documentación es obligatoria para cumplir con los requisitos de transparencia del RGPD.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Errores frecuentes sobre la duración de las cookies
Dejar las duraciones por defecto de las herramientas de terceros. La mayoría de las herramientas (GA4, Meta Pixel, LinkedIn) utilizan duraciones por defecto de 1 a 2 años. Con frecuencia superan la recomendación. Configurarlas manualmente en cada herramienta.
Confundir duración de la cookie con validez del consentimiento. La validez del consentimiento (máx. 6 meses) y la vida útil de la cookie (máx. 13 meses recomendados) son dos parámetros distintos. Configurarlos de forma independiente en su CMP y herramientas analíticas.
No indicar las duraciones en la política de cookies. La omisión de la duración en la política de cookies infringe la obligación de transparencia. Cada cookie debe ir acompañada de su vida útil.
Olvidar las cookies de terceros instaladas por scripts integrados. Algunos scripts de terceros (widgets, reproductores de vídeo, botones de compartir) instalan cookies con sus propias duraciones, a menudo largas. Una auditoría periódica con el escáner FlowConsent las identifica.
No renovar nunca el consentimiento. Si el consentimiento se recoge pero nunca se renueva, la base legal para el tratamiento se debilita con el tiempo. La CMP debe mostrar de nuevo el banner cada 6 meses para los usuarios que ya hayan consentido.
Lista de verificación: duración de conservación de cookies y RGPD
- La vida útil de cada cookie está documentada en la política de cookies.
- Las duraciones analíticas y publicitarias no superan los 13 meses.
- La validez del consentimiento está configurada en un máximo de 6 meses en la CMP.
- El banner reaparece automáticamente en la renovación del consentimiento.
- Las cookies de sesión caducan al cerrar el navegador.
- Las duraciones por defecto de las herramientas de terceros han sido ajustadas.
- Se realizan auditorías periódicas de las cookies de terceros del sitio.
- Los registros de consentimiento incluyen la fecha de caducidad del consentimiento.
- Las cookies funcionales tienen duraciones proporcionales a su finalidad.
- Ninguna cookie se conserva más allá de su finalidad declarada.
Conclusión
La duración de conservación de las cookies no es un detalle técnico: es una obligación de cumplimiento en virtud del principio de minimización de datos del RGPD. La regla práctica: 13 meses como máximo para las cookies analíticas y publicitarias, 6 meses como máximo para la validez del consentimiento.
Audite las cookies presentes en su sitio y sus duraciones con el escáner de cookies FlowConsent.
Preguntas frecuentes
¿Cuál es la duración máxima permitida para las cookies según el RGPD?
El RGPD no impone una duración legal máxima para las cookies. Sin embargo, la AEPD y otras autoridades recomiendan un máximo de 13 meses para las cookies de medición de audiencia y 6 meses para las publicitarias. La duración debe ser proporcional a la finalidad y justificable ante las autoridades.
¿Hay que divulgar la duración de las cookies?
Sí. El RGPD (artículo 13) obliga a informar a los usuarios sobre el período de conservación de los datos. Para las cookies, esto significa especificar su duración de vencimiento en la política de cookies y en el banner de consentimiento. Una duración no comunicada constituye un incumplimiento de transparencia.
¿Puede renovarse automáticamente la duración de las cookies?
No sin renovar el consentimiento. Si se recarga una página y la duración de la cookie se reinicia sin una nueva acción del usuario, puede considerarse una renovación tácita no conforme. El consentimiento debe renovarse periódicamente (recomendación: cada 6 meses).
¿Cuál es la diferencia entre cookies de sesión y cookies persistentes?
Las cookies de sesión caducan al cerrar el navegador y generalmente no están sujetas al consentimiento si son estrictamente necesarias. Las cookies persistentes permanecen en el dispositivo hasta su fecha de vencimiento. Su duración debe ser justificada y declarada en la política de cookies.
¿Con qué frecuencia se debe pedir a los usuarios que renueven su consentimiento de cookies?
La AEPD recomienda renovar el consentimiento cada 6 meses. Otras autoridades europeas (ICO, EDPB) no imponen una frecuencia precisa, pero indican que el consentimiento debe mantenerse vigente. FlowConsent gestiona automáticamente la caducidad del consentimiento y la renovación del banner.