Leyes de Consentimiento de Cookies por País: Guía Completa (2026)

La legislación sobre el consentimiento de cookies sigue tres modelos en el mundo: el estándar de aceptación expresa (opt-in) de la UE conforme a la Directiva ePrivacy, el enfoque de exclusión voluntaria (opt-out) de Estados Unidos basado en leyes estatales de privacidad, y un modelo de mero aviso utilizado en países como Australia. Aplicar el consentimiento de aceptación expresa según el estándar de la UE a todos los visitantes satisface los requisitos de prácticamente cualquier otra jurisdicción.
Los requisitos de consentimiento de cookies difieren en prácticamente todas las jurisdicciones importantes. Un sitio web accesible en todo el mundo enfrenta un mosaico de leyes que va desde el estricto régimen de aceptación expresa de la UE hasta países sin normas específicas sobre cookies. Las medidas de aplicación y las multas han alcanzado cientos de millones de euros solo en la UE, y el panorama regulatorio cambió de forma significativa entre 2024 y 2026 con una ola de nuevas leyes y decisiones de aplicación.
Esta guía repasa las normas de consentimiento de cookies en más de 30 países y regiones, con especial atención a lo que cambió entre 2024 y 2026 y a lo que se espera a continuación.
Respuesta rápida: cómo varía el consentimiento de cookies según el país
La legislación sobre el consentimiento de cookies no funciona igual en todas partes. Existen tres modelos distintos:
Modelo de aceptación expresa (opt-in): las cookies no pueden colocarse hasta que el usuario dé su consentimiento de manera activa. La UE, el Reino Unido, Corea del Sur y un número creciente de países de Asia y África utilizan este enfoque.
Modelo de exclusión voluntaria (opt-out): las cookies se permiten por defecto; los usuarios deben tomar una acción para detenerlas. Este es el modelo estatal predominante en Estados Unidos, donde el énfasis está en respetar señales de exclusión voluntaria como el Global Privacy Control, en lugar de exigir un consentimiento previo.
Modelo de mero aviso: las organizaciones deben informar a los usuarios que se utilizan cookies (habitualmente en una política de privacidad), pero no se exige un banner de consentimiento. Australia ha operado bajo este modelo, aunque reformas recientes endurecen las reglas.
La implicación práctica para los sitios web globales: aplicar el consentimiento de aceptación expresa según el estándar de la UE a todos los visitantes es la política única más segura. Cualquier sitio que cumpla con los requisitos de la UE satisfará prácticamente las reglas de cualquier otra jurisdicción.
Por qué el consentimiento de cookies varía según el país
Esta variación refleja tradiciones jurídicas y prioridades de política pública fundamentalmente distintas. La UE trata la privacidad como un derecho fundamental y ha regulado la tecnología de forma proactiva a lo largo de la historia. Estados Unidos ha favorecido históricamente un enfoque sectorial basado en el mercado, apoyándose en las legislaturas estatales y en la FTC en lugar de contar con una ley federal integral de protección de datos. Las economías en desarrollo han adoptado a menudo marcos modernos de protección de datos inspirados en la UE (o, en algunos casos, en el Marco de Privacidad de la APEC), pero con capacidades de aplicación y cronogramas distintos.
La tecnología también importa. Las reglas de consentimiento de cookies suelen tener su origen en la Directiva ePrivacy de la UE, que fue una respuesta a preocupaciones específicas sobre el rastreo a comienzos de la década de 2000. Los países que adoptaron marcos de protección de datos más tarde, como Brasil, India y Tailandia, suelen abordar las cookies mediante reglas más amplias sobre el tratamiento de datos personales en lugar de legislación específica sobre cookies.
La UE/EEE: el referente global
El marco de cookies de la UE se apoya en dos instrumentos: la Directiva ePrivacy (Directiva 2002/58/CE, modificada por la 2009/136/CE) y el RGPD (Reglamento 2016/679). Juntos crean el régimen de consentimiento de cookies más exigente del mundo.
Cómo funciona el marco de la UE
El artículo 5(3) de la Directiva ePrivacy exige un consentimiento previo e informado antes de colocar cualquier cookie no esencial en el dispositivo de un usuario. El estándar de consentimiento del RGPD exige que el consentimiento sea libre, específico, informado y demostrado mediante una acción afirmativa inequívoca.
Las casillas premarcadas son ilegales tras la sentencia Planet49 del TJUE (Asunto C-673/17). Desplazarse por la página o continuar navegando no constituye consentimiento. Rechazar debe ser tan fácil como aceptar, un principio que dio lugar a multas de gran magnitud.
Las cookies estrictamente necesarias están exentas del consentimiento. Estas incluyen las cookies esenciales para el servicio que el usuario solicitó explícitamente, como las cookies de sesión de un carrito de compras o los tokens de seguridad.
El Reglamento ePrivacy: retirado en febrero de 2025
Durante años, la UE intentó reemplazar la Directiva ePrivacy por un nuevo Reglamento. El Reglamento ePrivacy propuesto, presentado en 2017, prometía armonizar las reglas entre los Estados miembros y cubrir las lagunas de la Directiva.
En febrero de 2025, el Programa de Trabajo 2025 de la Comisión Europea retiró formalmente la propuesta. La Comisión declaró que "no se espera ningún acuerdo por parte de los colegisladores" y que la propuesta había quedado "desactualizada en vista de la legislación reciente, tanto en el ámbito tecnológico como en el legislativo". La actual Directiva ePrivacy y sus normas nacionales de transposición siguen siendo el derecho aplicable.
La propuesta de Ómnibus Digital: nuevas reglas de cookies en el horizonte
El 19 de noviembre de 2025, la Comisión Europea propuso el paquete de Ómnibus Digital, una amplia iniciativa legislativa que reformularía de manera fundamental el funcionamiento de las reglas de cookies en la UE.
Los principales cambios propuestos relevantes para las cookies son:
- La Directiva ePrivacy dejaría de regular el tratamiento de datos personales. El RGPD, por sí solo, se aplicaría a las cookies que recopilan datos personales, unificando el marco jurídico.
- Se crearían nuevas exenciones para las cookies de seguridad, las cookies de analítica propia y las cookies necesarias para prestar un servicio solicitado por el usuario. Estas no requerirían un banner de consentimiento.
- Se prohibirían las solicitudes reiteradas de consentimiento para la misma finalidad dentro de un plazo de seis meses.
- Se exigiría a las empresas respetar señales de consentimiento legibles por máquina (como las preferencias a nivel de navegador).
Estos cambios abordarían una queja de larga data sobre la fatiga de los banners de cookies. Sin embargo, el Ómnibus Digital sigue en revisión legislativa. Los plazos más optimistas ubican su adopción a fines de 2026, con entrada en vigor no antes de 2027.
Aspectos destacados de la aplicación de la norma en la UE
Cada uno de los 27 Estados miembros de la UE aplica las reglas de cookies a través de su autoridad nacional de protección de datos (APD). Varios destacan por la intensidad de su aplicación.
Francia (CNIL): multó a Google con 150 millones de euros y a Facebook con 60 millones de euros en diciembre de 2021 por dificultar en exceso el rechazo de cookies. La CNIL exige un botón de rechazo visible en la primera capa del banner y permite exenciones limitadas para la analítica propia.
Italia (Garante): emitió directrices actualizadas sobre cookies en 2021 que exigen un botón de rechazo visible en el banner inicial y una política de cookies separada de la política de privacidad general.
Alemania (BfDI y APD estatales): adoptó el estándar Planet49 a través del Tribunal Federal de Justicia en octubre de 2020. Los 16 organismos de protección de datos estatales de Alemania, junto con el BfDI federal, aplican las reglas de cookies, lo que crea un panorama de aplicación por capas.
España (AEPD): aplica el cumplimiento en materia de cookies conforme a la LSSI (Ley 34/2002) junto con el RGPD, con multas que alcanzan los 300.000 euros conforme a la LSSI o multas del nivel del RGPD cuando hay datos personales involucrados.
Bélgica (APD): emitió en 2022 una decisión histórica contra el Marco de Transparencia y Consentimiento (TCF) de IAB Europe, al considerar que el propio TCF vulneraba el RGPD.

Grupo de trabajo del CEPD sobre banners de cookies
El Comité Europeo de Protección de Datos (CEPD) estableció un Grupo de Trabajo sobre Banners de Cookies en 2021 para coordinar la aplicación entre las APD. Su informe de enero de 2023 estableció requisitos mínimos: el botón de rechazo debe ser tan visible como el de aceptación; los patrones oscuros (colores confusos, redacción engañosa, aceptación preseleccionada) vulneran el RGPD; y los usuarios deben poder retirar su consentimiento con la misma facilidad con que lo otorgaron. Desde entonces, las APD de toda la UE han emitido avisos de infracción y multas, incluida una multa de 15.000 euros contra un operador de comercio electrónico en 2024 por un banner no conforme.
El Reino Unido: la PECR y los cambios de la DUAA 2025
Las reglas de cookies del Reino Unido derivan del Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 (PECR), que replica el marco ePrivacy de la UE. Tras el Brexit, la PECR opera de forma independiente junto con el RGPD del Reino Unido, aplicada por la Oficina del Comisionado de Información (ICO).
Qué exige la PECR
El artículo 6 de la PECR exige el consentimiento previo antes de colocar cookies o tecnologías similares. El consentimiento debe ser informado, específico e involucrar una acción afirmativa clara. Las cookies estrictamente necesarias están exentas. El estándar de consentimiento se alinea con el RGPD del Reino Unido.
La Ley de Datos (Uso y Acceso) 2025: un cambio significativo
La Ley de Datos (Uso y Acceso) 2025 (DUAA) recibió la sanción real el 19 de junio de 2025. Las principales disposiciones relacionadas con la PECR entraron en vigor el 5 de febrero de 2026. La DUAA introdujo dos cambios materiales en las reglas de cookies:
Nuevas exenciones de cookies: tres categorías quedan ahora fuera del requisito de consentimiento de la PECR: (1) las cookies de analítica cuyo único propósito es recopilar estadísticas agregadas para mejorar un sitio web o servicio; (2) las cookies de preferencias que adaptan la apariencia o el comportamiento de un sitio (como el idioma o el tema visual); y (3) las cookies estrictamente necesarias, como antes. Las cookies publicitarias, de segmentación, de limitación de frecuencia y de medición publicitaria siguen requiriendo consentimiento.
Multas significativamente más altas: la sanción máxima de la PECR se elevó a los niveles del RGPD del Reino Unido: hasta 17,5 millones de libras esterlinas o el 4% de la facturación mundial anual, lo que sea mayor. Anteriormente, el máximo de la PECR era de 500.000 libras esterlinas. Esto alinea el poder de aplicación de la PECR con el del RGPD del Reino Unido y señala que es probable que la aplicación por parte de la ICO se intensifique.

Estados Unidos: un mosaico de leyes estatales
Estados Unidos no cuenta con una ley federal que exija banners de consentimiento de cookies. Las obligaciones relacionadas con las cookies surgen de un conjunto creciente de leyes estatales de privacidad centradas en los derechos de exclusión voluntaria, el rastreo en línea y la publicidad dirigida. Véase nuestra guía detallada estado por estado de Estados Unidos para más información.
El modelo central: exclusión voluntaria, no aceptación expresa
Ningún estado de EE. UU. exige un consentimiento de aceptación expresa al estilo de la UE para las cookies. El modelo estadounidense es de exclusión voluntaria: las cookies se permiten a menos que el usuario indique lo contrario. Los mecanismos principales son:
Enlaces "No vender ni compartir mi información": la CCPA/CPRA de California exige un enlace que permita a los consumidores excluirse de la venta o el intercambio de información personal, incluidas las cookies publicitarias.
Global Privacy Control (GPC): una señal a nivel de navegador que comunica las preferencias de exclusión voluntaria. Las empresas sujetas a la CCPA/CPRA de California deben respetar el GPC como una solicitud válida de exclusión voluntaria.
Estados que exigen el cumplimiento del GPC (a mayo de 2026)
La lista de estados que exigen a las empresas respetar la señal GPC se ha ampliado de manera significativa:
- California: exige respetar el GPC conforme a la CCPA/CPRA; la Agencia de Protección de la Privacidad de California lanzó operativos de aplicación coordinados dirigidos al incumplimiento del GPC en septiembre de 2025 junto con los fiscales generales de Colorado y Connecticut.
- Colorado: el fiscal general de Colorado designó al GPC como un mecanismo universal de exclusión voluntaria aceptable.
- Connecticut: desde el 1 de enero de 2025, las empresas deben respetar las señales universales de exclusión voluntaria conforme a la Ley de Privacidad de Datos de Connecticut.
- Montana, Texas: también exigen respetar los mecanismos universales de exclusión voluntaria.
- Maryland: la Ley de Privacidad de Datos en Línea de Maryland (MODPA), vigente desde el 1 de octubre de 2025, exige respetar las señales de exclusión voluntaria.
- Nueva Jersey: conforme a la Ley de Privacidad de Datos de Nueva Jersey, vigente desde el 15 de julio de 2025, las empresas deben respetar el GPC.
- Oregón: conforme a la Ley de Privacidad del Consumidor de Oregón, vigente desde el 1 de enero de 2026, las empresas deben respetar las señales de exclusión voluntaria que califiquen.
Para julio de 2026, al menos 12 estados exigirán el reconocimiento de mecanismos universales de exclusión voluntaria como el GPC.
Panorama federal
El Congreso ha presentado en reiteradas ocasiones proyectos de ley federales integrales de privacidad, pero ninguno ha sido aprobado. La FTC ejerce una autoridad limitada sobre las prácticas engañosas de cookies conforme a la Sección 5 de la Ley de la FTC.
Canadá: la PIPEDA y una reforma estancada
Canadá regula las cookies mediante la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) y la Ley Antispam de Canadá (CASL). La Oficina del Comisionado de Privacidad (OPC) brinda aplicación y orientación.
Conforme a la PIPEDA, las organizaciones deben obtener un consentimiento significativo para recopilar o usar información personal. La OPC interpreta que las cookies analíticas y publicitarias que rastrean comportamientos identificables requieren consentimiento expreso. Las cookies que recopilan información no identificable pueden basarse en el consentimiento implícito.
El Proyecto de Ley C-27 (la Ley de Implementación de la Carta Digital de 2022), que habría reemplazado a la PIPEDA por reglas más estrictas, quedó sin efecto en el Orden del Día cuando el Parlamento fue prorrogado el 6 de enero de 2025. A mayo de 2026, no ha sido reintroducido. La PIPEDA sigue siendo la ley vigente.
Brasil: la LGPD
La Ley General de Protección de Datos de Brasil (LGPD) no contiene una disposición específica sobre cookies, pero sus requisitos de base legal para el tratamiento de datos personales se aplican a las cookies que recopilan información personal. La Autoridad Nacional de Protección de Datos (ANPD) considera el consentimiento como la base adecuada para las cookies publicitarias y analíticas. Los sitios web brasileños han adoptado ampliamente banners de cookies al estilo de la UE en la práctica, en parte porque muchos también atienden a usuarios europeos y en parte porque la postura de la ANPD favorece el consentimiento para las tecnologías de rastreo.
China: la PIPL
La Ley de Protección de la Información Personal de China (PIPL), vigente desde noviembre de 2021, regula las cookies como parte de su marco más amplio de información personal. La Administración del Ciberespacio de China (CAC) supervisa su aplicación.
La PIPL exige el consentimiento u otra base legal específica antes de tratar información personal. Las cookies publicitarias que comparten datos con terceros o que involucran transferencias transfronterizas enfrentan requisitos adicionales, incluidas evaluaciones de impacto de la transferencia de datos. El enfoque de China es notablemente estricto respecto del intercambio de datos con terceros: cada transferencia de información personal al exterior requiere una base legal separada y, en muchos casos, una evaluación de seguridad presentada ante la CAC.
Japón: la APPI
La Ley de Protección de la Información Personal de Japón (APPI), enmendada de manera significativa en abril de 2022, aborda las cookies a través del concepto de "información referenciable individualmente". La Comisión de Protección de la Información Personal (PPC) aplica la APPI.
Cuando una empresa proporciona identificadores de cookies a un tercero que puede combinarlos con otros datos para identificar a las personas, la empresa que los proporciona debe confirmar que el tercero ha obtenido el consentimiento del individuo. Japón no exige banners de consentimiento al estilo de la UE para las cookies propias. El énfasis está en el intercambio de datos con terceros para fines publicitarios, más que en la colocación inicial de la cookie.
Corea del Sur: la PIPA
La Ley de Protección de la Información Personal de Corea del Sur (PIPA) es uno de los marcos más estrictos de Asia. La Comisión de Protección de la Información Personal (PIPC) la aplica junto con la Ley de Redes, que aborda específicamente el rastreo en línea.
La PIPA exige consentimiento para recopilar información personal, lo cual abarca las cookies que rastrean a usuarios identificables. Los sitios web coreanos suelen mostrar avisos de consentimiento de cookies. La PIPC ha sido activa en materia de aplicación, con multas que alcanzan miles de millones de wones coreanos por infracciones relacionadas con la recopilación de datos personales mediante tecnologías de rastreo.
India: la DPDPA y las Reglas de 2025
La Ley de Protección de Datos Personales Digitales de 2023 de India (DPDPA) se promulgó en agosto de 2023. El Ministerio de Electrónica y Tecnología de la Información publicó las Reglas DPDP 2025 el 13 de noviembre de 2025, activando el marco.
La DPDPA exige un consentimiento específico, inequívoco e involucrando una acción afirmativa clara, un lenguaje que refleja de cerca al del RGPD. Las cookies que recopilan datos personales requieren consentimiento. Un nuevo marco de "Gestor de Consentimiento" permite a intermediarios registrados ante la Junta de Protección de Datos de India gestionar el consentimiento en nombre de los titulares de los datos.
La implementación sigue un cronograma escalonado: la Junta de Protección de Datos se estableció en noviembre de 2025; el registro de Gestores de Consentimiento se abre en noviembre de 2026; el resto de las disposiciones, incluidos los requisitos de consentimiento y seguridad, entran en vigor el 13 de mayo de 2027.
Australia: la Ley de Privacidad enmendada
Australia regula la recopilación de datos en línea mediante la Ley de Privacidad de 1988 y los Principios Australianos de Privacidad, aplicados por la Oficina del Comisionado de Información de Australia (OAIC).
La Ley de Enmienda a Otras Leyes de Privacidad de 2024, sancionada en diciembre de 2024, es la reforma más significativa en años. Los principales cambios que afectan a las cookies son:
- El consentimiento debe ser voluntario, informado, vigente, específico e inequívoco. Se restringen las casillas premarcadas y los patrones oscuros.
- Se prevén más enmiendas para 2026 que ampliarían la definición de información personal para incluir explícitamente identificadores técnicos como direcciones IP, identificadores de dispositivo e identificadores de cookies.
Australia aún no exige un banner emergente de consentimiento de cookies; el aviso a través de una política de privacidad generalmente satisface el requisito actual. Pero la tendencia apunta hacia obligaciones más estrictas específicas sobre cookies.

Panorama por región
América Latina
Más allá de Brasil, varios países latinoamericanos han fortalecido sus marcos de protección de datos. Chile reformó su ley de protección de datos en 2024. Colombia aplica su Ley de Habeas Data (Ley 1581 de 2012) a la recopilación de datos en línea. Argentina opera bajo la Ley de Protección de Datos Personales 25.326 y está desarrollando reglas actualizadas. La tendencia regional apunta hacia requisitos de consentimiento más estrictos para el rastreo, con la ANPD de Brasil como referencia regional en materia de aplicación.
Asia-Pacífico
Singapur: la Ley de Protección de Datos Personales (PDPA) exige consentimiento para recopilar datos personales, lo cual abarca las cookies que identifican a las personas. La PDPC ha sido activa en materia de aplicación, con multas de hasta 1 millón de dólares singapurenses, que aumentan al 10% de la facturación local para infracciones graves.
Tailandia: la Ley de Protección de Datos Personales (PDPA), plenamente vigente desde junio de 2022, exige consentimiento para recopilar datos personales mediante cookies. El consentimiento debe ser libre, específico e informado.
Vietnam: el Decreto de Protección de Datos Personales (2023) introduce requisitos de consentimiento para el tratamiento de datos personales, incluido el rastreo mediante cookies.
Indonesia: la Ley de Protección de Datos Personales (2022) exige una base legal para el tratamiento, siendo el consentimiento la base principal para las tecnologías de rastreo.
Nueva Zelanda: la Ley de Privacidad de 2020 exige notificar sobre la recopilación de datos, pero no exige un banner de consentimiento de cookies. La Oficina del Comisionado de Privacidad ofrece orientación sobre mejores prácticas en materia de cookies.
Medio Oriente y África
Emiratos Árabes Unidos: el Decreto-Ley Federal N.º 45 de 2021 sobre protección de datos personales exige el consentimiento del titular de los datos para el tratamiento de datos personales, incluidas las cookies.
Arabia Saudita: la Ley de Protección de Datos Personales (PDPL), vigente desde septiembre de 2023, exige consentimiento para el tratamiento de datos personales que no esté autorizado de otro modo por la ley.
Sudáfrica: la POPIA (Ley de Protección de la Información Personal) exige consentimiento para el tratamiento de información personal, lo cual el Regulador de Información ha interpretado que incluye las cookies de rastreo de comportamiento.
Nigeria: el Reglamento de Protección de Datos de Nigeria (NDPR) y la Ley de Protección de Datos de Nigeria de 2023 exigen consentimiento para la recopilación de datos personales.
Kenia: la Ley de Protección de Datos de 2019 exige consentimiento para el tratamiento de datos personales, incluido el rastreo mediante cookies.
Israel: la Ley de Protección de la Privacidad exige un aviso sobre la recopilación de datos. Israel opera más cerca del modelo de mero aviso, pero está modernizando su marco.
Turquía: la KVKK (Ley N.º 6698) exige consentimiento explícito para el tratamiento de datos sensibles y consentimiento informado para los datos personales en general, incluidas las cookies.
Suiza: la Ley Federal de Protección de Datos revisada (revDSG), vigente desde septiembre de 2023, alinea el marco de Suiza con estándares equivalentes al RGPD, exigiendo consentimiento para las cookies que recopilan datos personales.
Tabla comparativa global
| País/Región | Modelo de consentimiento | Base legal | Autoridad de aplicación | Sanción máxima |
|---|---|---|---|---|
| UE (27 estados) | Aceptación expresa | Directiva ePrivacy + RGPD | APD nacionales | 20 millones de euros / 4% de la facturación |
| Reino Unido | Aceptación expresa (analítica/preferencias exentas tras la DUAA) | PECR + RGPD del Reino Unido | ICO | 17,5 millones de libras / 4% de la facturación |
| EE. UU. | Exclusión voluntaria (nivel estatal) | Leyes estatales de privacidad | Fiscales generales estatales, FTC | Varía según el estado |
| Canadá | Consentimiento significativo | PIPEDA, CASL | OPC | 100.000 dólares canadienses |
| Brasil | Consentimiento preferido | LGPD | ANPD | 2% de los ingresos, tope de 50 millones de reales |
| China | Consentimiento | PIPL | CAC | 50 millones de yuanes / 5% de los ingresos |
| Japón | Consentimiento de terceros | APPI | PPC | 100 millones de yenes |
| Corea del Sur | Aceptación expresa | PIPA + Ley de Redes | PIPC | 3% de los ingresos |
| India | Consentimiento (aplicación desde mayo de 2027) | DPDPA + Reglas DPDP 2025 | DPBI | 250 crore de rupias |
| Australia | Aviso (endureciéndose) | Ley de Privacidad de 1988 (enmendada en 2024) | OAIC | 50 millones de dólares australianos |
| Singapur | Consentimiento | PDPA | PDPC | 10% de la facturación local |
| Tailandia | Consentimiento | PDPA | PDPC Tailandia | 5 millones de baht |
| Sudáfrica | Consentimiento | POPIA | Regulador de Información | 10 millones de rand |
| Nigeria | Consentimiento | NDPR / Ley NDP 2023 | NITDA / NDPC | 2% de la facturación |
| EAU | Consentimiento | Decreto-Ley Federal 45/2021 | Oficina de Datos de los EAU | 5 millones de dirhams |
| Turquía | Consentimiento | KVKK | Junta de la KVKK | Multas administrativas |
| Suiza | Consentimiento | revDSG (2023) | FDPIC | 250.000 francos suizos (personas físicas) |
| Israel | Aviso | Ley de Protección de la Privacidad | PPA | Multas administrativas |
| Nueva Zelanda | Aviso | Ley de Privacidad de 2020 | OPC NZ | Multas moderadas |
Aplicación de los banners de cookies y el modelo "consentimiento o pago"
Grupo de trabajo del CEPD sobre banners de cookies
El Grupo de Trabajo del CEPD sobre Banners de Cookies coordina la aplicación entre las APD. Su informe de 2023 estableció estándares mínimos vinculantes: la opción de rechazo debe ser tan fácil de alcanzar como la de aceptación; los diseños de interfaz no deben usar colores, tamaños ni redacción para dirigir a los usuarios hacia la aceptación; y el consentimiento debe ser granular por finalidad, no agrupado. Las APD han emitido avisos de infracción basados en estos estándares, y las multas por banners de cookies engañosos continúan aplicándose en los Estados miembros.
Modelos de "consentimiento o pago"
Un modelo de "consentimiento o pago" presenta a los usuarios una opción binaria: consentir a la publicidad conductual o pagar una tarifa de suscripción para acceder al servicio. Meta introdujo un modelo de este tipo para Facebook e Instagram en la UE en 2023.
En abril de 2024, el Dictamen 08/2024 del CEPD concluyó que los modelos de consentimiento o pago generalmente no producen un consentimiento válido y libremente otorgado en el caso de las grandes plataformas en línea. El CEPD determinó que presentar a los usuarios sin una alternativa genuina al consentimiento no cumple con el estándar de "libremente otorgado". El CEPD recomendó que las grandes plataformas ofrezcan una alternativa equivalente sin publicidad conductual y sin muro de pago. El desafío legal de Meta contra este dictamen fue desestimado por el Tribunal General de la UE en 2025.
Para los sitios web más pequeños, el panorama es menos claro. La mayoría de las APD de la UE adoptan una visión restrictiva de los muros de cookies. El enfoque más seguro para los sitios web orientados a la UE es permitir el acceso independientemente de las opciones de cookies.
Señales de consentimiento a nivel de navegador: Global Privacy Control
El Global Privacy Control (GPC) es una señal, ya sea del navegador o de una extensión, que comunica la preferencia de exclusión voluntaria de un usuario a cada sitio web que visita. Es compatible de forma nativa con Firefox y Brave, y mediante extensiones con Chrome y Safari.
En Estados Unidos, cumplir con el GPC ahora es legalmente obligatorio en una lista creciente de estados. La CPPA de California lanzó operativos de aplicación coordinados dirigidos al incumplimiento del GPC en septiembre de 2025 junto con los fiscales generales de Colorado y Connecticut. Para julio de 2026, al menos 12 estados exigirán el reconocimiento del GPC o de mecanismos universales equivalentes de exclusión voluntaria.
En la UE, la propuesta de Ómnibus Digital exigiría a los responsables del tratamiento de datos respetar las señales de consentimiento legibles por máquina, lo cual otorgaría por primera vez peso legal a señales similares al GPC en el derecho europeo.
La implicación práctica: los sitios web que aún no escuchan la señal del GPC están quedando rezagados respecto de la curva legal en Estados Unidos y podrían necesitar cumplir con el consentimiento basado en señales en la UE hacia 2027.
Orientación práctica para el cumplimiento multinacional
Consentimiento basado en geolocalización
La mayoría de las plataformas de cumplimiento usan la geolocalización por IP para determinar qué reglas de consentimiento se aplican a cada visitante. Un visitante de la UE ve un banner completo de aceptación expresa. Un visitante de EE. UU. proveniente de un estado con mandato de GPC ve opciones de exclusión voluntaria y el GPC respetado. Un visitante australiano ve un aviso de política de privacidad. El enrutamiento basado en geolocalización es el enfoque estándar para los grandes editores multinacionales.
La estrategia del piso global
Para las organizaciones que no pueden implementar flujos específicos por jurisdicción, aplicar el consentimiento de aceptación expresa según el estándar de la UE a todos los visitantes es el enfoque más seguro y sencillo. Cumplir con los requisitos de la UE satisface o supera los requisitos de prácticamente cualquier otra jurisdicción. La contrapartida es que las tasas de consentimiento para cookies no esenciales suelen ser significativamente más bajas cuando se exige la aceptación expresa, lo cual afecta los ingresos publicitarios y la cobertura analítica.
Plataformas de gestión del consentimiento
Las plataformas dedicadas de gestión del consentimiento (CMP) automatizan el escaneo de cookies, la visualización del banner, el registro del consentimiento y el bloqueo de cookies según el estado del consentimiento. Al elegir una CMP para el cumplimiento multinacional, verifique que sea compatible con las jurisdicciones específicas que atiende su sitio, que pueda respetar la señal del GPC, y que los registros de consentimiento se almacenen en un formato que satisfaga los requisitos de auditoría del RGPD (artículo 7(1)).
Esta es información legal general, no asesoría legal. El cumplimiento en materia de cookies depende de las jurisdicciones específicas a las que se dirige su sitio web, los tipos de cookies utilizadas y las actividades de su organización. Consulte a un abogado calificado en cada jurisdicción relevante para obtener asesoría específica sobre su situación.
Preguntas frecuentes
¿Qué países exigen consentimiento de aceptación expresa para las cookies?
Los 27 Estados miembros de la UE exigen consentimiento de aceptación expresa conforme a la Directiva ePrivacy y el RGPD. El Reino Unido exige consentimiento de aceptación expresa conforme a la PECR (con nuevas exenciones de analítica y preferencias bajo la DUAA 2025). Corea del Sur exige consentimiento conforme a la PIPA. Brasil, China, Tailandia, Sudáfrica, Singapur y varios otros países exigen consentimiento para las cookies que tratan datos personales. Ningún estado de EE. UU. exige consentimiento de aceptación expresa al estilo de la UE para las cookies.
¿Qué ocurrió con el Reglamento ePrivacy propuesto por la UE?
El Programa de Trabajo 2025 de la Comisión Europea, publicado en febrero de 2025, retiró formalmente el proyecto de Reglamento ePrivacy tras años de estancamiento legislativo. La Comisión citó la imposibilidad de alcanzar un acuerdo entre el Parlamento y el Consejo, y que la propuesta había quedado desactualizada a la luz de leyes digitales más recientes de la UE. La Directiva ePrivacy vigente (2002/58/CE) y sus leyes nacionales de transposición siguen en vigor.
¿Qué es el Ómnibus Digital de la UE y cómo afecta a las cookies?
La Comisión Europea propuso el paquete de Ómnibus Digital el 19 de noviembre de 2025. En materia de cookies, los cambios clave trasladarían las reglas de tratamiento de datos personales por completo desde la Directiva ePrivacy hacia el RGPD, crearían nuevas exenciones para la analítica propia y las cookies funcionales, y exigirían a las empresas respetar las señales de consentimiento del navegador legibles por máquina. El paquete sigue en revisión legislativa y no se espera que entre en vigor antes de 2027 como mínimo.
¿Qué cambió la DUAA 2025 del Reino Unido respecto del consentimiento de cookies?
La Ley de Datos (Uso y Acceso) 2025 recibió la sanción real el 19 de junio de 2025 y sus disposiciones clave entraron en vigor el 5 de febrero de 2026. La DUAA creó dos nuevas exenciones de cookies conforme a la PECR: las cookies de analítica que solo recopilan estadísticas agregadas ya no necesitan consentimiento, y las cookies de preferencias (como el idioma o el tema visual) también quedan exentas. Las cookies de publicidad, segmentación y medición siguen requiriendo consentimiento. La DUAA también elevó las multas máximas de la PECR a los niveles del RGPD del Reino Unido: hasta 17,5 millones de libras esterlinas o el 4% de la facturación mundial.
¿Mi sitio web con sede en EE. UU. necesita un banner de cookies para los visitantes de la UE?
Si su sitio web es accesible para visitantes de la UE y trata sus datos personales, se aplican el RGPD y la Directiva ePrivacy. Que su sitio se dirija específicamente a usuarios de la UE afecta el riesgo práctico de aplicación de la norma, pero la obligación legal existe para cualquier sitio que trate datos personales de residentes de la UE. Mostrar un banner de consentimiento de aceptación expresa para los visitantes detectados en la UE es el enfoque de cumplimiento estándar para las organizaciones con sede en EE. UU. que reciben tráfico significativo desde la UE.
¿Qué es el Global Privacy Control y qué estados de EE. UU. exigen respetarlo?
El Global Privacy Control es una señal a nivel de navegador que comunica la preferencia de exclusión voluntaria de un usuario a los sitios web. A mayo de 2026, los estados que exigen a las empresas respetar el GPC incluyen California, Colorado, Connecticut, Montana, Texas, Maryland, Nueva Jersey y Oregón. La CPPA de California realizó operativos de aplicación coordinados dirigidos al incumplimiento del GPC en septiembre de 2025. Para julio de 2026, al menos 12 estados exigirán el reconocimiento del GPC o de mecanismos universales equivalentes de exclusión voluntaria.
¿Son legales los muros de cookies de 'consentimiento o pago' en la UE?
Para las grandes plataformas en línea, el Dictamen 08/2024 del CEPD concluyó que, por lo general, no producen un consentimiento válido conforme al RGPD. El CEPD determinó que presentar a los usuarios únicamente la opción de consentir a la publicidad conductual o pagar una tarifa no cumple con el requisito de 'libremente otorgado'. El desafío legal de Meta contra este dictamen fue desestimado por el Tribunal General de la UE en 2025. Para los sitios web más pequeños, el análisis es menos definitivo, pero la mayoría de las APD de la UE adoptan una visión restrictiva. El enfoque más seguro es permitir el acceso al sitio independientemente de las opciones de cookies.
¿Cuándo entrarán en vigor las reglas de consentimiento de cookies de la DPDPA de India?
Las Reglas DPDP 2025 de India se publicaron el 13 de noviembre de 2025, estableciendo la Junta de Protección de Datos de India. El registro de Gestores de Consentimiento se abre en noviembre de 2026. Todas las disposiciones sustantivas, incluidos los requisitos de consentimiento, aviso de privacidad y seguridad, entran en vigor el 13 de mayo de 2027. Después de esa fecha, las organizaciones que usen cookies para recopilar datos personales de usuarios indios necesitarán un consentimiento específico, inequívoco y que involucre una acción afirmativa clara.
¿Australia exige banners de consentimiento de cookies?
Australia no exige actualmente banners emergentes de consentimiento de cookies. La Ley de Privacidad de 1988 exige la notificación sobre la recopilación de datos personales, lo cual puede lograrse mediante una política de privacidad. La Ley de Enmienda a Otras Leyes de Privacidad de 2024 (sancionada en diciembre de 2024) fortalece los estándares de consentimiento, y las enmiendas previstas para 2026 ampliarían la definición de información personal para incluir explícitamente los identificadores de cookies. La tendencia apunta hacia requisitos de consentimiento de cookies más estrictos.
¿Es aplicar las reglas de consentimiento de cookies de la UE a nivel global el enfoque más seguro?
Sí. Aplicar el consentimiento de aceptación expresa según el estándar de la UE a todos los visitantes, independientemente de su ubicación, satisface o supera los requisitos de prácticamente cualquier otra jurisdicción. La principal contrapartida es que los modelos de aceptación expresa hacen que muchos usuarios rechacen las cookies no esenciales, lo cual reduce la cobertura analítica y los ingresos publicitarios. Las organizaciones con tráfico significativo fuera de la UE a veces implementan flujos basados en geolocalización para aplicar reglas de exclusión voluntaria o de mero aviso a los visitantes en jurisdicciones que no exigen aceptación expresa, preservando así la analítica y el rendimiento publicitario en esos mercados.
Fuentes y referencias
- Directiva ePrivacy 2002/58/CE(eur-lex.europa.eu).gov
- TJUE, Asunto C-673/17 (Planet49)(curia.europa.eu).gov
- Informe del Grupo de Trabajo del CEPD sobre Banners de Cookies(edpb.europa.eu).gov
- Dictamen 08/2024 del CEPD sobre Consentimiento o Pago(edpb.europa.eu).gov
- Directrices sobre Cookies de la CNIL(cnil.fr).gov
- Directrices sobre Cookies del Garante italiano(garanteprivacy.it).gov
- PECR del Reino Unido, 2003(legislation.gov.uk).gov
- ICO - Ley de Datos (Uso y Acceso) 2025(ico.org.uk).gov
- Guía de Cookies de la ICO(ico.org.uk).gov
- CCPA de California(oag.ca.gov).gov
- Especificación W3C del Global Privacy Control(w3.org)
- PIPEDA de Canadá(laws-lois.justice.gc.ca).gov
- CASL de Canadá(laws-lois.justice.gc.ca).gov
- OPC de Canadá(priv.gc.ca).gov
- LGPD de Brasil(planalto.gov.br).gov
- ANPD de Brasil(gov.br).gov
- PIPL de China(npc.gov.cn).gov
- PPC de Japón, APPI(ppc.go.jp).gov
- PIPC de Corea del Sur, PIPA(pipc.go.kr).gov
- Reglas DPDP 2025 de India(meity.gov.in).gov
- Ley de Privacidad de Australia de 1988(legislation.gov.au).gov
- OAIC de Australia(oaic.gov.au).gov
- LSSI de España, Ley 34/2002(boe.es).gov