Requisitos de Banners de Cookies: Reglas de EE. UU. y la UE (2026)

Si su sitio web necesita un banner de cookies depende de la ubicación de sus visitantes. La ley de la UE exige consentimiento de inclusión antes de colocar cualquier cookie no esencial. Las leyes estatales de EE. UU., como la CCPA, exigen en cambio mecanismos de exclusión. No existe una única ley federal de EE. UU. sobre banners de cookies.
Los banners de cookies son el artefacto más visible del derecho de privacidad en internet. Casi todos los sitios web importantes muestran uno, pero los requisitos detrás de esos banners difieren notablemente entre la UE y EE. UU. Un banner que cumple con la UE pide permiso antes de rastrear. Un banner que cumple con EE. UU. ofrece una forma de excluirse después de que el rastreo ya ha comenzado. Equivocarse en esto tiene consecuencias reales: la CNIL francesa multó a Google con 150 millones de euros en 2021 por el diseño de su interfaz de consentimiento de cookies.
Esta guía desglosa exactamente cómo se ve un banner de cookies conforme en cada jurisdicción, qué elementos son obligatorios, qué decisiones de diseño son ilegales, y cómo manejar la superposición cuando un mismo sitio web atiende tanto a visitantes europeos como estadounidenses.

Requisitos de los Banners de Cookies en la UE
El consentimiento de cookies en la UE se rige por la Directiva de Privacidad Electrónica (Directiva 2002/58/CE, enmendada por la 2009/136/CE) y el RGPD (Reglamento 2016/679). La regla central es simple: no se puede colocar ninguna cookie no esencial en el dispositivo de un usuario hasta que este otorgue un consentimiento informado y afirmativo.
Elementos Obligatorios de un Banner de Cookies de la UE
Un banner de cookies conforme con la UE debe incluir los siguientes elementos.
Identificación clara de las finalidades. El banner debe explicar, en lenguaje sencillo, para qué se usan las cookies. Un lenguaje vago como "Usamos cookies para mejorar su experiencia" es insuficiente. Cada finalidad (analítica, publicidad, redes sociales, mejoras funcionales) debe identificarse.
Opciones de aceptación y rechazo con igual prominencia. Los usuarios deben poder rechazar las cookies no esenciales con la misma facilidad con la que las aceptan. Tanto la CNIL como el Garante italiano exigen un botón de rechazo en la primera capa del banner, no oculto detrás de un enlace de "Administrar Preferencias". El botón de rechazo debe tener el mismo tamaño, peso de color y prominencia que el botón de aceptación.
Consentimiento granular por categoría. Los usuarios deben poder consentir categorías específicas de cookies (analítica, publicidad, funcionales) de forma independiente. Un botón de "Aceptar Todo" solo es permisible si va acompañado de interruptores individuales por categoría y una opción de "Rechazar Todo" igualmente prominente.
Información sobre la duración y los destinatarios de las cookies. Se debe informar a los usuarios cuánto tiempo persisten las cookies y qué terceros reciben datos a través de ellas. Esta información puede estar en una política de cookies enlazada en lugar de en el propio banner, pero el enlace debe ser accesible desde el banner.
Sin casillas premarcadas. El TJUE falló en el caso Planet49 (Caso C-673/17) que las casillas premarcadas no constituyen un consentimiento válido. Todos los interruptores de categorías de cookies deben estar desactivados o sin marcar de forma predeterminada.
Bloqueo previo de cookies. Las cookies no esenciales no deben cargarse hasta que el usuario otorgue su consentimiento. Esto significa que el banner debe bloquear la ejecución de los scripts de analítica, los píxeles publicitarios y las incrustaciones de redes sociales hasta que se tome una decisión afirmativa. Este suele ser el requisito técnicamente más difícil de cumplir.
Cómo Se Ve un Banner de la UE Conforme
Un banner de cookies de primera capa conforme con la UE típicamente incluye:
- Una breve explicación: "Este sitio web usa cookies para analítica, publicidad e integración con redes sociales".
- Un enlace a la política de cookies completa con un inventario detallado de cookies
- Un botón de "Aceptar Todo"
- Un botón de "Rechazar Todo" (del mismo tamaño y peso visual)
- Un enlace de "Administrar Preferencias" que abre controles granulares a nivel de categoría
- Todos los interruptores de categoría están desactivados de forma predeterminada en el panel de preferencias
Retiro del Consentimiento
Los usuarios deben poder retirar el consentimiento de cookies en cualquier momento, y el retiro debe ser tan fácil como otorgarlo. La mayoría de las implementaciones cumplen esto mediante un ícono o enlace persistente de configuración de cookies en el pie de página del sitio web. Cuando un usuario retira su consentimiento, las cookies previamente establecidas deben eliminarse y el rastreo asociado debe detenerse.
Registros de Consentimiento
Las organizaciones deben mantener registros que demuestren que se obtuvo un consentimiento válido. Los registros deben incluir la marca de tiempo, las elecciones de consentimiento del usuario (qué categorías fueron aceptadas o rechazadas), la versión del banner de cookies mostrado, y la dirección IP del usuario o un identificador seudonimizado.
Frecuencia de Renovación del Consentimiento
La Directiva de Privacidad Electrónica no especifica con qué frecuencia debe renovarse el consentimiento. Las directrices nacionales varían: la CNIL recomienda cada 6 meses, mientras que otras autoridades sugieren 12 meses. La mejor práctica es volver a mostrar el banner de consentimiento cada vez que se agreguen nuevas categorías de cookies o cambien las finalidades del procesamiento.

Requisitos de los Banners de Cookies en EE. UU.
Estados Unidos no tiene ninguna ley federal que exija banners de consentimiento de cookies. Las obligaciones de los banners de cookies en EE. UU. provienen de las leyes estatales de privacidad, principalmente la Ley de Privacidad del Consumidor de California enmendada por la CPRA (CCPA/CPRA), con requisitos adicionales de otras leyes estatales de privacidad.
California: Requisitos de la CCPA/CPRA
La CCPA/CPRA de California no exige consentimiento de inclusión para cookies. En cambio, exige que las empresas proporcionen mecanismos específicos de exclusión.
Enlace de "No Vender ni Compartir Mi Información Personal". Las empresas que venden información personal o la comparten para publicidad conductual entre contextos deben mostrar un enlace claro en su página de inicio y en su política de privacidad. Este enlace debe llevar a una página donde los consumidores puedan ejercer sus derechos de exclusión.
Reconocimiento del Control de Privacidad Global (GPC). Según las regulaciones de la CCPA finalizadas por la Agencia de Protección de la Privacidad de California (CPPA), las empresas deben tratar las señales GPC como solicitudes de exclusión válidas. El GPC es una señal a nivel de navegador (disponible en Firefox, Brave, DuckDuckGo, y a través de extensiones de navegador) que comunica automáticamente la preferencia de exclusión de un usuario.
No se requiere inclusión (con excepciones). La CCPA/CPRA no exige consentimiento de inclusión para la colocación de cookies. Sin embargo, las empresas deben obtener consentimiento de inclusión antes de vender la información personal de consumidores menores de 16 años (con consentimiento parental requerido para los menores de 13).
Enlace de "Limitar el Uso de Mi Información Personal Sensible". Si una empresa usa o divulga información personal sensible más allá de lo necesario para prestar el servicio solicitado, debe mostrar un enlace adicional que permita a los consumidores limitar ese uso.
Otras Leyes Estatales de Privacidad
Varios otros estados han promulgado leyes integrales de privacidad con disposiciones que afectan el rastreo basado en cookies.
Colorado (CPA): Exige que las empresas proporcionen mecanismos de exclusión para la publicidad dirigida y la venta de datos personales. Las empresas deben respetar las señales de exclusión universal (incluido el GPC) desde el 1 de julio de 2024.
Connecticut (CTDPA): Exige derechos de exclusión para la publicidad dirigida, la venta de datos y la elaboración de perfiles. Exige el reconocimiento de mecanismos de exclusión universal.
Virginia (VCDPA): Otorga a los consumidores derechos de exclusión para la publicidad dirigida y la venta de datos. No exige el reconocimiento de señales de exclusión universal.
Texas (TDPSA): Vigente desde el 1 de julio de 2024. Otorga derechos de exclusión para la publicidad dirigida y la venta de datos.
Oregon (OCPA): Vigente desde el 1 de julio de 2024. Incluye derechos de exclusión y exige el reconocimiento de mecanismos de exclusión universal.
Cómo Se Ve un Banner Conforme con EE. UU.
Un banner de cookies en EE. UU. para cumplir con California típicamente incluye:
- Un aviso de que el sitio usa cookies y tecnologías de rastreo
- Un enlace a la política de privacidad
- Un enlace de "No Vender ni Compartir Mi Información Personal"
- Un enlace de "Limitar el Uso de Mi Información Personal Sensible" (si corresponde)
- Detección automática del GPC que respeta la señal sin requerir interacción del usuario
A diferencia de los banners de la UE, los banners de EE. UU. no necesitan bloquear las cookies antes de que el usuario tome una decisión. Las cookies pueden cargarse de forma predeterminada, mientras el banner proporciona controles de exclusión.
Comparación Lado a Lado: UE vs. EE. UU.
| Requisito | UE (Privacidad Electrónica + RGPD) | EE. UU. (CCPA/CPRA + Leyes Estatales) |
|---|---|---|
| Modelo de consentimiento | Inclusión (se requiere consentimiento previo) | Exclusión (rastreo predeterminado, el usuario puede objetar) |
| Estado predeterminado de las cookies | Bloqueadas hasta el consentimiento | Activas hasta la exclusión |
| Botón de rechazo | Obligatorio, igual al de aceptar | No es obligatorio; basta con el enlace de exclusión |
| Casillas premarcadas | Ilegales (fallo Planet49) | Sin prohibición |
| Categorías granulares | Obligatorio | No obligatorio |
| Reconocimiento de GPC | No obligatorio (complementario) | Obligatorio en CA, CO, CT, OR |
| Enlace de "No Vender" | No aplica | Obligatorio en CA, CO, CT, VA, TX, OR |
| Registros de consentimiento | Obligatorio | Se requieren registros de solicitudes de exclusión |
| Período de renovación del consentimiento | 6-12 meses (varía según la autoridad) | N/A (la exclusión es persistente) |
| Sanción máxima | 20M euros / 4% de la facturación | $7,500 por infracción intencional (CA) |
Errores Comunes en los Banners de Cookies
Tanto los operadores de sitios web de la UE como de EE. UU. cometen frecuentemente errores de cumplimiento en sus implementaciones de banners de cookies.
Patrones Oscuros
Los patrones oscuros son decisiones de diseño que manipulan a los usuarios para que acepten cookies en contra de su preferencia real. Los reguladores de toda la UE han apuntado específicamente contra estas prácticas.
Primera capa que solo permite aceptar. Mostrar un botón prominente de "Aceptar Todo" en la primera capa mientras se exige a los usuarios hacer clic para llegar a una segunda capa y encontrar la opción de rechazo. La CNIL, el Garante italiano y la DSB austriaca han determinado que esto no cumple con la normativa.
Manipulación de color y tamaño. Hacer que el botón de "Aceptar" sea grande y esté resaltado con colores llamativos, mientras se muestra "Rechazar" o "Administrar Preferencias" como texto gris pequeño. Las directrices del CEPD sobre patrones oscuros abordan específicamente la manipulación visual de las interfaces de consentimiento.
Lenguaje confuso. Usar dobles negaciones o una redacción poco clara, como "No excluirse de no compartir", que confunde a los usuarios sobre lo que están aceptando.
Explotación de la fatiga de consentimiento. Exigir clics excesivos para rechazar cookies (por ejemplo, desactivar individualmente cada una de 50 cookies) mientras se ofrece un único botón de "Aceptar Todo".
Carga de Cookies Antes del Consentimiento
Muchos sitios web colocan cookies de analítica y publicidad antes de que el usuario interactúe con el banner. En la UE, esto viola el requisito de consentimiento previo. Técnicamente, ninguna cookie no esencial debería activarse hasta que el usuario haga clic en "Aceptar". Esto requiere que la plataforma de gestión de consentimiento bloquee los scripts hasta que se otorgue el consentimiento, algo que a menudo se implementa mediante un gestor de etiquetas que condiciona la ejecución de los scripts al estado del consentimiento.
Falta de Registros de Consentimiento
No registrar las decisiones de consentimiento hace imposible demostrar el cumplimiento durante una auditoría regulatoria. Toda decisión de consentimiento (aceptar, rechazar o selecciones específicas de categorías) debe marcarse con fecha y hora y almacenarse.
Infracciones de los Muros de Cookies
Bloquear por completo el acceso al sitio web a menos que se acepten las cookies generalmente no cumple con la normativa en la UE. El CEPD ha declarado que "el acceso a los servicios y funcionalidades no debe condicionarse al consentimiento de un usuario" respecto de la colocación de cookies. Algunas autoridades nacionales (en particular, los Países Bajos) permiten los muros de cookies bajo condiciones limitadas, pero el enfoque más seguro es permitir el acceso sin importar la decisión de consentimiento.
No Respetar el GPC en EE. UU.
Según la CCPA/CPRA, las empresas deben tratar las señales GPC como solicitudes de exclusión válidas. Simplemente ignorar el GPC porque el usuario tampoco hizo clic en el enlace de "No Vender" no cumple con la normativa. Las acciones de aplicación del Fiscal General de California han apuntado específicamente contra empresas que no respetaron el GPC.
Analítica Sin Consentimiento: ¿Qué Es Posible?
Una pregunta común para los sitios web que cumplen con la UE es si se puede recopilar algún dato analítico sin consentimiento. La respuesta depende de la herramienta y la jurisdicción.
Analítica del Lado del Servidor
El análisis de registros del servidor (direcciones IP, vistas de página, referencias) no usa cookies y, por lo tanto, queda fuera del requisito de consentimiento de cookies de la Directiva de Privacidad Electrónica. Sin embargo, si las direcciones IP se consideran datos personales (lo son, según el RGPD), aún se necesita una base legal para ese procesamiento. El interés legítimo según el artículo 6(1)(f) del RGPD puede aplicarse a la analítica básica del lado del servidor si existen las salvaguardas apropiadas.
Herramientas de Analítica que Preservan la Privacidad
Algunas herramientas de analítica están diseñadas para operar sin cookies o solo con cookies propias limitadas a la sesión. Herramientas como Plausible, Fathom, y Matomo autoalojado (en modo sin cookies) pueden proporcionar datos agregados de tráfico sin requerir consentimiento según la mayoría de las implementaciones nacionales de la Directiva de Privacidad Electrónica.
La CNIL francesa permite explícitamente las cookies propias de medición de audiencia sin consentimiento bajo condiciones estrictas: los datos deben estar agregados, no compartirse con terceros, usarse únicamente para la medición de audiencia, y tener un período de retención limitado. La herramienta también debe permitir a los usuarios excluirse.
Google Analytics y el Consentimiento
Google Analytics 4 (GA4) coloca cookies que transfieren datos a los servidores de Google en Estados Unidos. Requiere consentimiento en la UE tanto bajo la Directiva de Privacidad Electrónica (para la colocación de cookies) como bajo el RGPD (para la transferencia internacional de datos a Google). Las autoridades de protección de datos de Austria, Francia e Italia han determinado que las transferencias de Google Analytics violan las reglas de transferencia de datos del RGPD, lo que hace particularmente importante condicionar GA4 al consentimiento.
Integración de "No Vender ni Compartir" de la CCPA
Para los sitios web que muestran tanto un banner de cookies de la UE como mecanismos de exclusión de EE. UU., integrar el requisito de "No Vender ni Compartir" de la CCPA en el flujo de consentimiento requiere un diseño cuidadoso.
Interfaces Unificadas vs. Separadas
Algunas plataformas de gestión de consentimiento ofrecen una interfaz unificada que se adapta según la ubicación del visitante. Un visitante de la UE ve el banner completo de inclusión. Un visitante de California ve el mecanismo de "No Vender ni Compartir". Este enfoque simplifica la experiencia del usuario y reduce la fatiga de banners para los visitantes de EE. UU. que no están sujetos a requisitos de inclusión.
Detección Automática del GPC
Para los visitantes de California, Colorado, Connecticut y Oregon, el sitio web debe detectar automáticamente las señales GPC del navegador y suprimir las cookies de publicidad y de intercambio de datos sin mostrar ningún banner en absoluto. Si se detecta el GPC, el sitio debe tratarlo como una exclusión y confirmarlo en su centro de privacidad.
Cumplimiento Multiestatal
Para el cumplimiento a nivel nacional en EE. UU., un enfoque de mejores prácticas combina:
- Un enlace de "No Vender ni Compartir Mi Información Personal" (satisface los requisitos de exclusión de CA, CO, CT, VA, TX, OR y otros estados)
- Detección automática del GPC (satisface los mandatos de exclusión universal de CA, CO, CT, OR)
- Un enlace de pie de página de "Sus Opciones de Privacidad" o "Sus Derechos de Exclusión" (satisface los requisitos generales de aviso)
- Restricción de edad para usuarios menores de 16 años en California (se requiere consentimiento de inclusión antes de vender los datos de menores)
Mejores Prácticas para los Banners de Cookies
Principios de Diseño
- Colocar el banner en una posición fija (parte inferior o centro de la pantalla) que no bloquee completamente el contenido
- Usar un lenguaje claro y sencillo, a un nivel de lectura equivalente al octavo grado
- Mostrar las opciones de aceptar y rechazar con un tratamiento visual idéntico (tamaño, color, grosor de fuente)
- Incluir una opción de "Administrar Preferencias" para un control granular
- Proporcionar un método persistente para cambiar las preferencias después de la elección inicial (enlace en el pie de página o ícono flotante)
Implementación Técnica
- Usar una plataforma de gestión de consentimiento (CMP) que bloquee los scripts no esenciales hasta obtener el consentimiento
- Integrarla con su gestor de etiquetas para condicionar la ejecución de scripts al estado del consentimiento
- Verificar que ninguna cookie de rastreo se active antes de la interacción del usuario
- Implementar la detección del GPC para los visitantes de EE. UU.
- Registrar todos los eventos de consentimiento con marcas de tiempo e identificadores de versión
- Auditar los scripts de terceros regularmente, ya que pueden introducir nuevas cookies sin previo aviso
Accesibilidad
- Asegurarse de que el banner sea navegable con teclado y compatible con lectores de pantalla
- Mantener un contraste de color suficiente para todo el texto y los elementos interactivos
- Proporcionar indicadores de enfoque para los elementos interactivos
- No usar banners que se cierren automáticamente y desaparezcan antes de que los usuarios de tecnología de asistencia puedan interactuar con ellos
Esta es información legal general, no asesoría legal. Los requisitos de los banners de cookies dependen de las jurisdicciones específicas a las que sirve su sitio web, los tipos de cookies y tecnologías de rastreo utilizadas, y las actividades de procesamiento de datos de su organización. Consulte a un abogado especializado en protección de datos para obtener asesoría específica sobre su situación.
Preguntas frecuentes
¿Mi sitio web necesita un banner de cookies en Estados Unidos?
No existe ninguna ley federal de EE. UU. que exija un banner de consentimiento de cookies. Sin embargo, si su sitio web vende información personal o la comparte para publicidad dirigida, la CCPA/CPRA de California exige un enlace de 'No Vender ni Compartir Mi Información Personal'. Otros estados (Colorado, Connecticut, Virginia, Texas, Oregon) tienen requisitos de exclusión similares. También podría necesitar mostrar un banner para respetar las señales de Control de Privacidad Global en los estados que exigen el reconocimiento de la exclusión universal.
¿Puedo usar un solo banner de cookies para visitantes de la UE y de EE. UU.?
Sí, pero el banner debería adaptarse según la ubicación del visitante. Un visitante de la UE debería ver una interfaz completa de consentimiento de inclusión con botones de aceptar y rechazar de igual prominencia. Un visitante de EE. UU. debería ver un aviso más sencillo con opciones de exclusión. La mayoría de las plataformas de gestión de consentimiento admiten la visualización de banners basada en geolocalización. Alternativamente, puede aplicar el estándar de la UE de forma global, lo que satisface ambos conjuntos de requisitos, aunque puede reducir los datos de analítica y publicidad de los visitantes de EE. UU.
¿Qué es el Control de Privacidad Global (GPC) y estoy obligado a respetarlo?
El GPC es una señal a nivel de navegador que comunica la preferencia de exclusión de un usuario. En California, las empresas deben respetar el GPC como una exclusión válida de la venta o el intercambio de información personal según la CCPA/CPRA. Colorado, Connecticut y Oregon también exigen el reconocimiento de mecanismos de exclusión universal. Si su sitio web usa cookies publicitarias que comparten datos con terceros, debe detectar y respetar las señales GPC de los visitantes de estos estados.
¿Son legales las casillas premarcadas de consentimiento de cookies?
Las casillas premarcadas son ilegales para el consentimiento de cookies en la UE. El Tribunal de Justicia de la UE falló en el caso Planet49 (Caso C-673/17, octubre de 2019) que el consentimiento debe implicar una acción afirmativa clara por parte del usuario, y una casilla premarcada no cumple con este estándar. En EE. UU., no existe una prohibición específica sobre las casillas premarcadas, pero las interfaces de consentimiento manipuladoras podrían generar problemas bajo la aplicación de prácticas engañosas de la FTC.
¿Qué se considera un patrón oscuro en un banner de cookies?
Los reguladores identifican varios patrones oscuros: hacer que el botón de aceptar sea visualmente dominante (más grande, más brillante) mientras se minimiza la opción de rechazo; exigir varios clics para rechazar pero solo uno para aceptar; usar un lenguaje confuso o dobles negaciones; ocultar la opción de rechazo detrás de un enlace de 'Administrar Preferencias' cuando 'Aceptar Todo' se muestra en la primera capa; y volver a mostrar continuamente el banner a los usuarios que previamente rechazaron las cookies. El CEPD y las autoridades nacionales de protección de datos como la CNIL han sancionado específicamente estas prácticas.
¿Puedo usar Google Analytics sin consentimiento de cookies en la UE?
No. Google Analytics 4 coloca cookies que transfieren datos a los servidores de Google. Las autoridades de protección de datos de la UE (Austria, Francia, Italia) han determinado específicamente que Google Analytics requiere el consentimiento del usuario según la Directiva de Privacidad Electrónica para la colocación de cookies y el RGPD para la transferencia internacional de datos. Las alternativas que preservan la privacidad, como Plausible, Fathom, o Matomo autoalojado en modo sin cookies, pueden operar sin consentimiento bajo algunas implementaciones nacionales, particularmente la exención de la CNIL francesa para la medición de audiencia propia.
¿Con qué frecuencia debo volver a solicitar el consentimiento de cookies?
La Directiva de Privacidad Electrónica no especifica un intervalo de renovación del consentimiento. La CNIL francesa recomienda volver a solicitar el consentimiento de cookies cada 6 meses. Otras autoridades nacionales sugieren 12 meses. También debería volver a solicitar el consentimiento cada vez que agregue nuevas categorías de cookies, cambie las finalidades del procesamiento, o actualice a los destinatarios externos de datos. En EE. UU., las elecciones de exclusión bajo la CCPA generalmente son persistentes y no necesitan reconfirmarse.
¿Qué sanciones puedo enfrentar por un banner de cookies que no cumple con la normativa?
En la UE, las sanciones pueden llegar a 20 millones de euros o el 4% de la facturación anual global según el RGPD, o montos menores según las transposiciones nacionales de la normativa de privacidad electrónica. Francia multó a Google con 150 millones de euros por infracciones de consentimiento de cookies en 2021. En EE. UU., la CCPA prevé sanciones de $2,500 por infracción no intencional y $7,500 por infracción intencional. El Fiscal General de California y la CPPA han iniciado acciones de aplicación contra empresas que no respetaron el GPC o no proporcionaron mecanismos de exclusión adecuados.
Fuentes y referencias
- Directiva 2002/58/CE - Directiva de Privacidad Electrónica(eur-lex.europa.eu).gov
- Caso C-673/17 del TJUE (Planet49)(curia.europa.eu).gov
- Directrices de Cookies de la CNIL(cnil.fr).gov
- Directrices de Cookies del Garante de Italia(garanteprivacy.it).gov
- Directrices del CEPD sobre Patrones Oscuros(edpb.europa.eu).gov
- Directrices de Consentimiento del CEPD(edpb.europa.eu).gov
- CCPA/CPRA de California(oag.ca.gov).gov
- Regulaciones de la CPPA(cppa.ca.gov).gov
- Reglamento RGPD 2016/679(eur-lex.europa.eu).gov