Ley de Cookies de la UE (Directiva ePrivacy) Explicada (2026)

El Artículo 5(3) de la Directiva ePrivacy (Directiva 2002/58/CE, modificada por la Directiva 2009/136/CE) exige que los sitios web obtengan el consentimiento previo e informado antes de instalar cualquier cookie no esencial en el dispositivo de un visitante. Las cookies estrictamente necesarias están exentas. La Directiva opera junto al RGPD como lex specialis para las comunicaciones electrónicas y los equipos terminales.
La Directiva ePrivacy es la ley de la UE que regula específicamente cómo utilizan los sitios web las cookies y las tecnologías de seguimiento similares. Aunque el RGPD acapara la mayor parte de la atención en los debates sobre privacidad, la Directiva ePrivacy es el instrumento que exige directamente los banners de consentimiento de cookies en prácticamente todos los sitios web accesibles desde Europa.
Conocida formalmente como Directiva 2002/58/CE relativa a la Privacidad y las Comunicaciones Electrónicas, la ley se adoptó en 2002 y fue modificada de manera significativa en 2009 por la Directiva 2009/136/CE. Esa modificación de 2009 introdujo el requisito de consentimiento previo (opt-in) que transformó la experiencia en línea de cientos de millones de usuarios.
El panorama ha cambiado considerablemente desde 2024. El reglamento sustitutivo, estancado durante mucho tiempo, fue retirado formalmente, y una nueva propuesta incorporó las normas de cookies directamente en el RGPD. Esta guía abarca el texto legal de la Directiva, los requisitos de consentimiento, su interacción con el RGPD, las implementaciones por país, el Reglamento retirado, las propuestas del Ómnibus Digital de noviembre de 2025, la ejecución, y lo que las organizaciones deben hacer.
Respuesta Rápida
La Directiva ePrivacy exige que los sitios web obtengan el consentimiento del usuario antes de instalar cookies no esenciales (analíticas, publicitarias, de preferencias) en el dispositivo de un visitante. Las cookies estrictamente necesarias están exentas. El RGPD establece el estándar de consentimiento: debe ser libre, específico, informado y basado en una acción afirmativa clara. Las casillas premarcadas y "continuar navegando" no cuentan. La ley es una Directiva, transpuesta de manera diferente por cada Estado miembro de la UE, por lo que las estructuras sancionadoras varían. Una propuesta de Reglamento para sustituir la Directiva fue retirada formalmente en febrero de 2025. Una propuesta de Ómnibus Digital de noviembre de 2025 busca ahora incorporar las normas de cookies al RGPD a través de los nuevos Artículos 88a y 88b, pero sigue siendo un borrador pendiente de aprobación legislativa.
Qué Es la Directiva ePrivacy
La Directiva ePrivacy (Directiva 2002/58/CE) es un instrumento legislativo de la UE que regula el tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas. Abarca las cookies y el seguimiento, el marketing no solicitado, los datos de tráfico, los datos de localización y la confidencialidad de las comunicaciones.
La Directiva entró en vigor el 31 de julio de 2002. Operaba junto con la Directiva de Protección de Datos original (95/46/CE), que fue sustituida por el RGPD en mayo de 2018. Aunque el RGPD sustituyó al marco general de protección de datos, la Directiva ePrivacy se mantuvo como la norma sectorial específica para las comunicaciones electrónicas.
La Modificación de 2009: el Nacimiento del Consentimiento de Cookies
La Directiva original de 2002 permitía las cookies con un simple mecanismo de exclusión voluntaria (opt-out). La configuración del navegador se consideraba una protección suficiente.
La Directiva 2009/136/CE cambió el estándar de opt-out a opt-in. El Artículo 5(3) de la Directiva modificada establece que el almacenamiento de información, o el acceso a la información ya almacenada, en el equipo terminal de un usuario, solo se permite "a condición de que el abonado o usuario en cuestión haya dado su consentimiento, después de que se le haya facilitado información clara y completa".
Este único cambio desencadenó la ola de banners de consentimiento de cookies que ahora aparecen en sitios web de todo el mundo.
Artículo 5(3): la Disposición Central sobre las Cookies
El Artículo 5(3) de la Directiva modificada establece:
"Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a [el marco de protección de datos]".
A continuación, la disposición establece una excepción limitada: "Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas, o en la medida en que sea estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario".
Dado que la Directiva ePrivacy es una directiva y no un reglamento, cada Estado miembro de la UE transpuso el Artículo 5(3) a su propio derecho nacional. El contenido sustantivo es coherente, pero las estructuras sancionadoras, las prioridades de ejecución y algunos detalles procesales varían de un país a otro.

Cómo Interactúan la Directiva ePrivacy y el RGPD
La Directiva ePrivacy y el RGPD son instrumentos separados que funcionan conjuntamente, pero cubren ámbitos distintos. La confusión entre ambos da lugar a errores de cumplimiento.
Ámbito de Aplicación y la Relación de Lex Specialis
El RGPD es el reglamento general de protección de datos que se aplica a todo tratamiento de datos personales. La Directiva ePrivacy es una lex specialis (ley específica) que se aplica a las comunicaciones electrónicas y los equipos terminales. Conforme al Artículo 95 del RGPD, cuando la Directiva ePrivacy contiene normas específicas sobre un tema, esas normas prevalecen sobre las disposiciones generales del RGPD.
En términos prácticos: la Directiva ePrivacy regula el acto de instalar una cookie en un dispositivo. El RGPD regula lo que ocurre posteriormente con cualquier dato personal recopilado a través de esa cookie.
Diferencias Clave de un Vistazo
| Aspecto | Directiva ePrivacy | RGPD |
|---|---|---|
| Instrumento jurídico | Directiva (requiere transposición nacional) | Reglamento (directamente aplicable) |
| Ámbito de aplicación | Comunicaciones electrónicas y equipos terminales | Todo tratamiento de datos personales |
| Consentimiento de cookies | Exigido para todas las cookies no esenciales | El consentimiento es una de las seis bases jurídicas |
| Se aplica a | Cualquier dato almacenado en un dispositivo o al que se accede desde él | Solo a los datos personales |
| Ejecución | Reguladores nacionales, marcos sancionadores nacionales | Autoridades de control, multas armonizadas del RGPD |
Por Qué el Interés Legítimo No Puede Justificar las Cookies Publicitarias
Una consecuencia crítica de esta relación: las organizaciones no pueden basarse en la base de "interés legítimo" del RGPD para instalar cookies analíticas o publicitarias. Conforme al marco de ePrivacy, el consentimiento es la única base jurídica disponible para las cookies no esenciales. La Directiva ePrivacy también se aplica a las cookies que no implican datos personales en absoluto, algo que el RGPD no cubriría. Para obtener orientación detallada sobre qué constituye un consentimiento válido conforme al RGPD, consulte nuestra guía de requisitos de consentimiento del RGPD.
Categorías de Cookies Conforme a la Directiva
La Directiva ePrivacy no define por sí misma las categorías de cookies. El marco ampliamente utilizado proviene de las orientaciones emitidas por el Grupo de Trabajo del Artículo 29 (actualmente el Comité Europeo de Protección de Datos) y las autoridades nacionales de protección de datos.
Cookies Estrictamente Necesarias
Estas están exentas del requisito de consentimiento conforme al Artículo 5(3). Habilitan la funcionalidad esencial que el usuario solicitó explícitamente. Algunos ejemplos incluyen:
- Cookies de sesión que mantienen el estado de inicio de sesión
- Cookies de carrito de compra que recuerdan los artículos durante una compra
- Cookies de seguridad que detectan abusos de autenticación o fraude
- Cookies de equilibrio de carga que distribuyen el tráfico entre servidores
- Cookies de configuración de accesibilidad solicitadas por el usuario
La excepción es limitada. Una cookie es estrictamente necesaria solo si el servicio genuinamente fallaría sin ella y el usuario solicitó específicamente ese servicio. Una cookie que mejora el rendimiento o añade comodidad, pero que no es esencial, no califica.
Cookies Funcionales
Las cookies funcionales recuerdan las elecciones del usuario más allá de lo estrictamente necesario. Las preferencias de idioma (cuando el sitio podría funcionar en un idioma predeterminado), la configuración del reproductor de video y las elecciones de tamaño de fuente entran en esta categoría. Estas requieren consentimiento.
Cookies Analíticas
Las cookies analíticas realizan un seguimiento del comportamiento del usuario con fines estadísticos. Herramientas como Google Analytics y Adobe Analytics dependen de ellas. Requieren consentimiento. Algunos reguladores nacionales han creado excepciones limitadas para la analítica de origen propio que preserva la privacidad, pero las herramientas de análisis de terceros que transfieren datos externamente siempre requieren consentimiento en todas las jurisdicciones de la UE.
Cookies Publicitarias y de Seguimiento
Estas cookies construyen perfiles de usuario para publicidad dirigida, retargeting y seguimiento entre sitios. Incluyen cookies de terceros instaladas por redes publicitarias, píxeles de redes sociales y scripts de fingerprinting. Siempre requieren consentimiento explícito y son las que más atención de ejecución regulatoria atraen. Consulte nuestra guía de leyes de consentimiento de cookies por país para conocer los detalles jurisdicción por jurisdicción.

Requisitos de Consentimiento
La modificación de 2009 alineó el consentimiento de cookies con el estándar de consentimiento más amplio de la UE. El RGPD reforzó ese estándar mediante su definición de consentimiento conforme al Artículo 4(11) y las condiciones del Artículo 7. Para un desglose completo, consulte nuestro artículo sobre los requisitos de consentimiento del RGPD.
Qué Requiere un Consentimiento Válido
El consentimiento válido de cookies debe ser:
- Libre. No se puede obligar a los usuarios a aceptar cookies como condición para acceder al sitio.
- Específico. El consentimiento debe solicitarse por separado para cada finalidad, y no agruparse en una única casilla de "aceptar todo".
- Informado. Los usuarios deben recibir información clara sobre qué cookies se utilizan, qué datos recopilan, quién recibe los datos y cuánto tiempo persisten las cookies.
- Inequívoco. El consentimiento requiere una acción afirmativa clara. Desplazarse por la página, continuar navegando o las casillas premarcadas no constituyen un consentimiento válido.
- Revocable. Los usuarios deben poder retirar el consentimiento con la misma facilidad con la que lo otorgaron.
La Sentencia Planet49
El Tribunal de Justicia de la Unión Europea (TJUE) aclaró el estándar de consentimiento en el asunto C-673/17 (Planet49), resuelto el 1 de octubre de 2019. El tribunal determinó:
- Las casillas premarcadas no constituyen un consentimiento válido para las cookies.
- El consentimiento debe ser activo y específico, no pasivo.
- Los usuarios deben ser informados de la duración de funcionamiento de la cookie y de si terceros tienen acceso a ellas.
- El requisito se aplica independientemente de si los datos de la cookie constituyen o no datos personales.
Esta sentencia eliminó la ambigüedad restante sobre el estándar de consentimiento previo.
Rechazar Debe Ser Tan Fácil Como Aceptar
Tras el informe del Grupo de Trabajo sobre Banners de Cookies del CEPD (publicado en enero de 2023), varias autoridades nacionales de protección de datos exigen ahora que rechazar las cookies no sea más difícil que aceptarlas. Un botón de "Aceptar todo" con un solo clic en la primera capa de un banner debe ir acompañado de un botón de "Rechazar todo" igualmente destacado. Ocultar la opción de rechazo detrás de un enlace de "gestionar preferencias" en una segunda capa constituye, en la mayoría de los Estados miembros, un incumplimiento.
Muros de Cookies de "Consentimiento o Pago"
Un muro de cookies bloquea el acceso al sitio web a menos que el usuario consienta todas las cookies. Una variante, el "consentimiento o pago", permite a los usuarios evitar el seguimiento suscribiéndose en su lugar a un servicio de pago. Ambos siguen siendo objeto de controversia conforme al derecho de la UE.
El Dictamen del CEPD de Abril de 2024 sobre "Consentimiento o Pago"
En el Dictamen 08/2024, emitido el 17 de abril de 2024, el CEPD concluyó que, "en la mayoría de los casos", las grandes plataformas en línea que ofrecen únicamente un modelo de "pago o consentimiento a la publicidad conductual" no producen un consentimiento libremente otorgado. El dictamen establece que se debe ofrecer a los usuarios una alternativa equivalente que no requiera el pago de una tarifa ni implique publicidad conductual.
La Comisión Europea siguió esta línea en abril de 2025 con una decisión formal en la que declaró a Meta en incumplimiento de la Ley de Mercados Digitales sobre los mismos hechos, sosteniendo que la suscripción de pago de Meta no ofrecía una alternativa gratuita genuinamente equivalente y que las tarifas se fijaron a un nivel lo suficientemente alto como para no dejar a los usuarios una elección significativa.
Sitios y Editores Más Pequeños
El dictamen del CEPD se dirige a las "grandes plataformas en línea". Las autoridades nacionales han llegado a conclusiones diferentes sobre si los sitios de noticias y editores más pequeños pueden operar modelos de consentimiento o pago. La Autoriteit Persoonsgegevens de los Países Bajos permite los muros de cookies en algunas circunstancias cuando existe contenido equivalente accesible en otro lugar. La CNIL de Francia exige que rechazar el consentimiento sea tan fácil como aceptarlo, pero no ha prohibido categóricamente todos los modelos de consentimiento basados en muros de pago para los editores. Esta cuestión sigue sin resolverse a nivel de toda la UE.
Grupo de Trabajo sobre Banners de Cookies del CEPD
El CEPD estableció un grupo de trabajo sobre banners de cookies en septiembre de 2021 en respuesta a una ola de reclamaciones presentadas por la organización no gubernamental noyb (None of Your Business) contra 422 sitios web por banners de consentimiento ilícitos. El grupo de trabajo estuvo compuesto por 21 autoridades de control de la UE y el EEE.
Su informe de enero de 2023 estableció varias posiciones comunes entre las autoridades participantes:
- La ausencia de una opción de "rechazar todo" al mismo nivel que "aceptar todo" constituye una infracción del derecho de la UE.
- El diseño engañoso (patrones oscuros) que orienta visualmente a los usuarios hacia el consentimiento constituye un incumplimiento.
- El consentimiento debe poder retirarse en cualquier momento, con la misma facilidad con la que se otorgó.
- La información sobre las cookies debe proporcionarse en la primera capa del banner, no únicamente en una política accesible mediante un enlace.
Tras el informe, las autoridades de control nacionales llevaron a cabo barridos de ejecución e impusieron multas a las organizaciones cuyos banners no cumplían estos estándares.
Implementación País por País
Dado que la Directiva ePrivacy es una directiva, cada Estado miembro la transpuso a su derecho nacional. Las principales variaciones son:
Francia
Francia implementa la Directiva a través del Artículo 82 de la Loi Informatique et Libertés. La CNIL es una de las autoridades de ejecución de cookies más activas de Europa. En diciembre de 2021, la CNIL multó a Google con 150 millones de euros y a Facebook con 60 millones de euros por hacer que el rechazo de cookies fuera más difícil que la aceptación. En septiembre de 2025, la CNIL multó a Google con 325 millones de euros por infracciones relativas a cookies publicitarias que implicaban mecanismos de consentimiento inválidos. La CNIL exige un botón de rechazo tan destacado como el de aceptación, y permite una excepción limitada para las cookies de medición de audiencia agregadas y de origen propio bajo condiciones estrictas.
Alemania
Alemania implementó las normas de consentimiento de cookies a través de la Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). El BfDI y las autoridades de protección de datos a nivel estatal las hacen cumplir. El Bundesgerichtshof (Tribunal Federal de Justicia) adoptó el estándar de Planet49 del TJUE en su decisión de octubre de 2020. La multa máxima conforme a la TDDDG es de 300 000 euros, aunque se aplican las multas del RGPD cuando están implicados datos personales.
Irlanda
Irlanda implementó la Directiva a través del S.I. No. 336 de 2011. La Comisión de Protección de Datos (DPC) hace cumplir estas normas. Dado que las principales empresas tecnológicas con sede en Irlanda están sujetas a la supervisión de la DPC, las decisiones de ejecución irlandesas tienen una influencia desproporcionada en toda la UE.
Italia
El Garante per la protezione dei dati personali de Italia emitió directrices actualizadas sobre cookies en junio de 2021, exigiendo un botón de rechazo visible en la primera capa del banner. Italia también exige una política de cookies separada de la política de privacidad general.
España
España transpuso la Directiva a través de la Ley 34/2002 (LSSI). La AEPD ha impuesto multas a Vueling Airlines y Vodafone España por infracciones relativas a cookies, y ha aclarado los períodos máximos de conservación para las cookies analíticas.
Países Bajos
Los Países Bajos implementaron la Directiva a través de la Telecommunicatiewet. En abril de 2025, la Autoriteit Persoonsgegevens emitió advertencias de cumplimiento a 50 organizaciones por banners de cookies engañosos o seguimiento ilícito. La posición de la autoridad neerlandesa sobre los muros de cookies (permitiéndolos en algunas circunstancias cuando existe contenido equivalente disponible en otro lugar) diverge de la interpretación más estricta del CEPD.
Bélgica
La autoridad de protección de datos de Bélgica (APD) emitió una decisión histórica en febrero de 2022, en la que concluyó que el Marco de Transparencia y Consentimiento (TCF) de IAB Europe infringía el RGPD. El TJUE confirmó la conclusión central en noviembre de 2023, alterando el mecanismo de consentimiento más utilizado de la industria de la publicidad programática.

El Reglamento ePrivacy Retirado
La Comisión Europea propuso un Reglamento ePrivacy en enero de 2017 para sustituir la ya antigua Directiva por una norma directamente aplicable y uniforme en toda la UE. A diferencia de una directiva, un reglamento habría eliminado por completo el mosaico de implementación.
Por Qué Se Propuso un Reglamento
La Comisión identificó varios problemas con la Directiva:
- Implementaciones nacionales fragmentadas que generaban complejidad de cumplimiento
- Referencias tecnológicas obsoletas (el texto de 2002 es anterior a los smartphones y al seguimiento moderno)
- Ejecución inconsistente entre los Estados miembros
- La necesidad de armonizar con el marco actualizado de protección de datos del RGPD
- La "fatiga de consentimiento de cookies" causada por mecanismos de consentimiento mal diseñados
Qué Habría Cambiado el Borrador
El Reglamento ePrivacy propuesto se habría aplicado directamente en todos los Estados miembros, habría ampliado su alcance a las comunicaciones over-the-top (WhatsApp, Signal, Messenger), habría introducido el consentimiento basado en el navegador como mecanismo válido, habría alineado las sanciones con el marco del RGPD (hasta el 4 % de la facturación mundial), y habría regulado los metadatos de manera más integral.
Retirada Formal: Febrero de 2025
Tras ocho años de negociaciones estancadas, la Comisión Europea retiró formalmente el Reglamento ePrivacy propuesto en su Programa de Trabajo de 2025, publicado el 11 de febrero de 2025. La Comisión declaró que "no se espera ningún acuerdo por parte de los colegisladores" y que "la propuesta está desactualizada a la luz de cierta legislación reciente, tanto en el panorama tecnológico como en el legislativo".
La Directiva ePrivacy vigente y sus transposiciones nacionales permanecen plenamente en vigor. La retirada implica que no llegará ningún nuevo Reglamento ePrivacy a través de la propuesta de 2017. Sin embargo, en lugar de simplemente abandonar la modernización de las normas de cookies, la Comisión emprendió una vía legislativa diferente a través del Ómnibus Digital.
El Ómnibus Digital de Noviembre de 2025: las Normas de Cookies Ingresan al RGPD
El 19 de noviembre de 2025, la Comisión Europea adoptó un paquete de modificaciones propuestas al marco normativo digital de la UE, publicado como el Ómnibus Digital. El paquete modifica simultáneamente el RGPD, la Directiva ePrivacy, la Ley de Datos y varios otros instrumentos.
La Propuesta Central: los Artículos 88a y 88b
El Ómnibus Digital propone dos nuevos artículos en el RGPD que absorberían la función de consentimiento de cookies que actualmente cumple el Artículo 5(3) de la Directiva ePrivacy.
El Artículo 88a regularía el consentimiento de cookies y seguimiento dentro del marco del RGPD. Sus elementos clave son:
- El consentimiento de cookies debe seguir siendo granular, específico y obtenerse antes de instalar las cookies.
- El interesado debe poder rechazar el consentimiento "de manera fácil e inteligible mediante un botón de un solo clic o un medio equivalente".
- Cuando un usuario haya rechazado el consentimiento, el responsable no podrá solicitarlo de nuevo para la misma finalidad durante al menos seis meses.
- Se preserva la excepción de estricta necesidad de la Directiva ePrivacy.
El Artículo 88b regularía la forma en que se expresan técnicamente las señales de consentimiento, rechazo y oposición. Exigiría:
- Que las interfaces en línea acepten y respeten las señales de consentimiento automatizadas y legibles por máquina procedentes de los navegadores y sistemas operativos.
- Que los proveedores de navegadores (distintos de las pymes) habiliten la infraestructura técnica para dichas señales.
- Un calendario de implementación de 24 meses para el cumplimiento de las señales del navegador, más largo que el plazo de seis meses propuesto para el Artículo 88a.
Qué Significa Esto en la Práctica
De adoptarse, los cambios del Ómnibus Digital significarían que un usuario podría configurar su navegador una sola vez para rechazar el seguimiento en todos los sitios web, y estos estarían legalmente obligados a respetar dicha señal. Los banners de cookies no desaparecerían por completo con la propuesta, pero se volverían menos necesarios a medida que las señales legibles por máquina entren en vigor.
El CEPD y el Supervisor Europeo de Protección de Datos (SEPD) publicaron una declaración conjunta en 2026 en la que respaldaron ampliamente los objetivos de simplificación, si bien plantearon preocupaciones sobre algunas disposiciones y la rapidez del calendario legislativo.
Estado Actual
El Ómnibus Digital es una propuesta de la Comisión, no una ley. Entró en el procedimiento legislativo ordinario el 19 de noviembre de 2025, y debe ser revisado y aprobado tanto por el Parlamento Europeo como por el Consejo de la UE. Los analistas esperan que las negociaciones se prolonguen hasta mediados o finales de 2026 como pronto, y la propuesta podría cambiar sustancialmente durante ese proceso. La Directiva ePrivacy y el RGPD vigentes siguen siendo la ley operativa hasta que entre en vigor cualquier sustituto.
Ejecución y Sanciones
Dado que la Directiva ePrivacy se transpone a través de leyes nacionales, las sanciones máximas varían. En la práctica, la mayoría de los reguladores utilizan las estructuras sancionadoras del RGPD (hasta 20 millones de euros o el 4 % de la facturación anual mundial) cuando las cookies implican el tratamiento de datos personales.
Principales Acciones de Ejecución (2021 a 2026)
| Año | Regulador | Objetivo | Importe | Motivo |
|---|---|---|---|---|
| 2021 | CNIL (Francia) | 150 M€ | Rechazo de cookies más difícil que la aceptación | |
| 2021 | CNIL (Francia) | 60 M€ | Rechazo de cookies más difícil que la aceptación | |
| 2022 | APD (Bélgica) | IAB Europe | Declaración de infracción del RGPD | Marco de consentimiento TCF inválido |
| 2023 | TJUE | TCF de IAB Europe | Infracción central confirmada | Se confirmó la violación de datos personales del TCF |
| 2025 | AP (Países Bajos) | 50 organizaciones | Advertencias de cumplimiento | Banners engañosos, seguimiento sin consentimiento |
| 2025 | CNIL (Francia) | 325 M€ | Infracciones de consentimiento en cookies publicitarias | |
| 2025 | CNIL (Francia) | Shein | 150 M€ | Infracciones de cookies |
Tendencias de Ejecución
La ejecución se ha intensificado en toda Europa desde 2021. Destacan varios patrones:
- Se exige paridad de diseño. La opción de rechazo debe ser tan destacada y accesible como la de aceptación. Los diseños de botones asimétricos, las fuentes más pequeñas y los efectos de atenuación en el botón de rechazo se consideran patrones oscuros.
- Botón de rechazo en la primera capa. Francia, Italia, Bélgica y varias otras jurisdicciones ahora exigen explícitamente una opción de "Rechazar todo" en el banner inicial, no solo detrás de un enlace de configuración.
- Barridos coordinados. El CEPD coordina acciones del Marco de Ejecución Coordinada (CEF) en las que varias autoridades de control nacionales auditan simultáneamente el mismo sector.
- Las cookies publicitarias impulsan las multas. Las sanciones monetarias más elevadas han implicado sistemáticamente cookies publicitarias y de seguimiento de terceros instaladas sin un consentimiento válido.
Pasos Prácticos de Cumplimiento
Las organizaciones con sitios web accesibles desde la UE deben seguir los siguientes pasos.
Auditar Primero
Realice un escaneo de cookies en su sitio web, incluidos todos los scripts de terceros. Documente el nombre, la finalidad, el período de conservación y el destinatario de los datos de cada cookie. Clasifique cada una como estrictamente necesaria, funcional, analítica o publicitaria.
Crear un Banner Conforme
Muestre un banner de consentimiento antes de instalar cualquier cookie no esencial. El banner debe:
- Bloquear las cookies no esenciales hasta que el usuario haga una elección (consentimiento previo, no un aviso posterior)
- Ofrecer opciones granulares por categoría
- Presentar los botones de aceptar y rechazar con la misma prominencia visual en la primera capa
- Evitar las casillas premarcadas para cualquier categoría
- Proporcionar explicaciones claras y en lenguaje sencillo de cada categoría de cookies
Mantener Registros Continuos
Almacene los registros de consentimiento (qué eligió el usuario, cuándo y qué versión del banner se mostró). Proporcione un mecanismo accesible para retirar el consentimiento en cualquier momento. Reaudite las cookies periódicamente, ya que los scripts de terceros a menudo añaden nuevas cookies sin previo aviso.
Esta es información jurídica general, no asesoramiento legal. Los requisitos de cumplimiento dependen de las jurisdicciones específicas a las que sirve su sitio web, los tipos de cookies utilizadas y la naturaleza de los datos recopilados. Consulte a un abogado especializado en protección de datos para obtener asesoramiento específico sobre su situación.
Preguntas frecuentes
¿Qué es la Directiva ePrivacy y cómo se relaciona con el RGPD?
La Directiva ePrivacy (2002/58/CE, modificada por la 2009/136/CE) es la ley de la UE que regula las cookies, las tecnologías de seguimiento y las comunicaciones electrónicas. Opera como lex specialis junto al RGPD: la Directiva controla el acto de instalar cookies en un dispositivo, mientras que el RGPD regula cómo se tratan los datos personales recopilados a través de esas cookies. Cuando ambas leyes se aplican, prevalecen las normas específicas de la Directiva ePrivacy. El RGPD establece el estándar de consentimiento que debe cumplir el requisito de consentimiento de cookies de la Directiva ePrivacy.
¿Se retiró el Reglamento ePrivacy?
Sí. La Comisión Europea retiró formalmente la propuesta de Reglamento ePrivacy en su Programa de Trabajo de 2025, publicado el 11 de febrero de 2025. La Comisión declaró que no se esperaba ningún acuerdo por parte de los colegisladores y que la propuesta estaba desactualizada dada la legislación digital reciente. La Directiva ePrivacy vigente permanece plenamente en vigor. Se introdujo un nuevo enfoque para actualizar las normas de cookies a través del Ómnibus Digital de noviembre de 2025, que propone incorporar las normas de consentimiento de cookies al RGPD en lugar de sustituir la Directiva por un reglamento separado.
¿Qué propone el Ómnibus Digital de noviembre de 2025 para las cookies?
El Ómnibus Digital, publicado el 19 de noviembre de 2025, propone dos nuevos artículos del RGPD. El Artículo 88a exigiría opciones de rechazo con un solo clic de igual prominencia que las de aceptación, prohibiría repetir las solicitudes de consentimiento durante seis meses tras un rechazo, y preservaría la excepción de estricta necesidad. El Artículo 88b exigiría a los sitios web respetar las señales de consentimiento legibles por máquina a nivel de navegador, permitiendo a los usuarios establecer sus preferencias de privacidad una sola vez en su navegador, en lugar de tener que hacer clic en cada banner de cookies individualmente. La propuesta sigue sujeta a la aprobación del Parlamento Europeo y del Consejo, y todavía no es ley.
¿Qué cookies están exentas del requisito de consentimiento?
Solo dos categorías están exentas conforme al Artículo 5(3). Primero, las cookies utilizadas exclusivamente para transmitir una comunicación a través de una red (enrutamiento técnico). Segundo, las cookies estrictamente necesarias para prestar un servicio solicitado explícitamente por el usuario, como las cookies de autenticación, de carrito de compra y de seguridad. Las cookies analíticas, publicitarias y la mayoría de las funcionales requieren consentimiento. Algunos reguladores nacionales, en particular la CNIL de Francia, permiten una excepción limitada para las herramientas de medición de audiencia de origen propio que preservan la privacidad, bajo condiciones estrictas.
¿Son legales en la UE las casillas de consentimiento de cookies premarcadas?
No. El TJUE determinó en el asunto C-673/17 (Planet49), en octubre de 2019, que las casillas premarcadas no constituyen un consentimiento válido para las cookies. El consentimiento debe implicar una acción afirmativa clara. Desplazarse por la página o continuar navegando el sitio tampoco cuenta como consentimiento válido. Esto se aplica independientemente de si los datos de la cookie constituyen o no datos personales.
¿Son legales los muros de cookies de 'consentimiento o pago'?
Depende del contexto. El CEPD emitió el Dictamen 08/2024 en abril de 2024, en el que concluyó que, 'en la mayoría de los casos', las grandes plataformas en línea no pueden utilizar un modelo de consentimiento o pago porque los usuarios carecen de una elección genuinamente libre. La Comisión Europea llegó a la misma conclusión respecto de Meta en abril de 2025. Sin embargo, el dictamen se dirige principalmente a las grandes plataformas, y las autoridades nacionales no han prohibido de manera uniforme todos los modelos de consentimiento o pago para los editores más pequeños. La autoridad neerlandesa de protección de datos permite algunos muros de cookies cuando existe contenido equivalente accesible en otro lugar. La cuestión sigue sin resolverse a nivel de toda la UE.
¿Qué sanciones puede enfrentar un sitio web por infracciones de la ley de cookies?
Las sanciones varían según el país. Francia ha impuesto multas de 325 millones de euros (Google, 2025) y 150 millones de euros (Google, 2021) utilizando las disposiciones sancionadoras del RGPD. España puede multar hasta 300 000 euros conforme a la LSSI, o aplicar las multas del RGPD cuando estén implicados datos personales. El máximo de la TDDDG de Alemania es de 300 000 euros, con multas del RGPD disponibles para las infracciones relativas a datos personales. En la práctica, la mayoría de los reguladores utilizan el marco del RGPD de hasta 20 millones de euros o el 4 % de la facturación anual mundial cuando las cookies implican el tratamiento de datos personales.
¿Requieren consentimiento las cookies analíticas como Google Analytics?
Conforme a la Directiva ePrivacy, las cookies analíticas generalmente requieren consentimiento. Sin embargo, algunos reguladores nacionales han flexibilizado esto para la analítica de origen propio. La CNIL de Francia permite una excepción para las cookies de medición de audiencia de origen propio bajo condiciones estrictas: los datos deben estar agregados, no compartirse con terceros, y tener una conservación limitada. Las herramientas de terceros como Google Analytics, que transfieren datos externamente, siempre requieren consentimiento en todas las jurisdicciones de la UE.
¿Con qué frecuencia deben los sitios web volver a solicitar el consentimiento de cookies?
La Directiva ePrivacy no especifica un intervalo de nueva solicitud de consentimiento. Las orientaciones nacionales varían. La CNIL recomienda volver a solicitar el consentimiento cada seis meses. Otras autoridades sugieren intervalos de 12 meses. La propuesta del Ómnibus Digital, de adoptarse, prohibiría volver a solicitar el consentimiento para una finalidad que el usuario ya rechazó durante al menos seis meses. Las organizaciones también deben volver a solicitar el consentimiento cada vez que añadan nuevas categorías de cookies o cambien las finalidades del tratamiento.
Fuentes y referencias
- Directiva 2002/58/CE relativa a la Privacidad y las Comunicaciones Electrónicas (Directiva ePrivacy)(eur-lex.europa.eu).gov
- Directiva 2009/136/CE que Modifica la Directiva ePrivacy (Modificación sobre Cookies)(eur-lex.europa.eu).gov
- Asunto C-673/17 del TJUE (Planet49), Estándar de Consentimiento de Cookies(curia.europa.eu).gov
- Dictamen 04/2012 del Grupo de Trabajo del Artículo 29 sobre Excepciones de Consentimiento de Cookies(ec.europa.eu).gov
- Directrices 05/2020 del CEPD sobre el Consentimiento conforme al RGPD(edpb.europa.eu).gov
- Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (RGPD)(eur-lex.europa.eu).gov
- Programa de Trabajo de la Comisión Europea 2025, Retirada del Reglamento ePrivacy(commission.europa.eu).gov
- Paquete Digital de la UE, Comisión Europea (Ómnibus Digital)(digital-strategy.ec.europa.eu).gov
- Informe del Grupo de Trabajo sobre Banners de Cookies del CEPD (Enero de 2023)(edpb.europa.eu).gov
- Declaración del CEPD y el SEPD sobre el Ómnibus Digital (2026)(edpb.europa.eu).gov
- CNIL, Directrices sobre Cookies y Otros Dispositivos de Seguimiento(cnil.fr).gov
- Directrices sobre Cookies del Garante de Italia (2021)(garanteprivacy.it).gov
- LSSI de España (Ley 34/2002), Ley de Servicios de la Sociedad de la Información(boe.es).gov
- BfDI de Alemania, Comisionado Federal para la Protección de Datos(bfdi.bund.de).gov
- S.I. No. 336/2011 de Irlanda, Reglamento de Comunicaciones Electrónicas(irishstatutebook.ie).gov
- Telecommunicatiewet de los Países Bajos(wetten.overheid.nl).gov
- Loi Informatique et Libertés de Francia, Artículo 82(legifrance.gouv.fr).gov