Requisitos de Consentimiento del RGPD: Qué Cuenta Como Consentimiento Válido (2026)

Según el artículo 4(11) del RGPD, el consentimiento válido requiere cuatro condiciones acumulativas: la persona debe otorgarlo libremente, para un fin específico, con información completa y mediante una acción afirmativa inequívoca. El artículo 7 exige además que los responsables del tratamiento documenten ese consentimiento, permitan una retirada sencilla y eviten condicionar el acceso al servicio a la aceptación de un tratamiento no esencial.
El consentimiento es una de las seis bases jurídicas para el tratamiento de datos personales bajo el RGPD. Cuando una organización se basa en él, los estándares son estrictos. Una política de privacidad enterrada en los términos y condiciones no es suficiente. Una casilla premarcada tampoco lo es. La inacción tampoco cuenta.
Obtener el consentimiento de forma incorrecta puede desencadenar sanciones. Hacerlo mal a gran escala (como descubrieron Google y SHEIN en septiembre de 2025) puede significar sanciones de nueve cifras. Esta guía explica qué requiere el consentimiento válido, cuándo el consentimiento es la base correcta (y cuándo no lo es), y qué implican en la práctica las novedades regulatorias de 2024 a 2026.
Para una visión general completa del reglamento, consulta Qué es el RGPD. Para las normas específicas sobre cookies, consulta la guía de la Directiva de privacidad electrónica. Para un programa de cumplimiento paso a paso, consulta la lista de verificación de cumplimiento del RGPD.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento legal. Consulta a un abogado especializado en protección de datos o a un profesional de la privacidad para obtener orientación específica sobre tu situación.
Respuesta Rápida: ¿Qué Hace Válido al Consentimiento Bajo el RGPD?
El artículo 4(11) del RGPD define el consentimiento como "toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen".
Los cuatro elementos deben estar presentes simultáneamente. La ausencia de uno solo invalida por completo el consentimiento.
- Libre (elección genuina, sin coacción, sin condicionamiento a requisitos no relacionados)
- Específico (consentimiento separado para cada finalidad distinta)
- Informado (explicación clara, en lenguaje sencillo, de quién, qué y por qué antes de que la persona decida)
- Inequívoco (un acto positivo de aceptación; el silencio o la inacción nunca son suficientes)
El artículo 7 añade después condiciones sobre cómo debe gestionarse el consentimiento una vez obtenido. Las Directrices 05/2020 del CEPD sobre el consentimiento siguen siendo la interpretación de referencia de estos requisitos.
Los Cuatro Elementos en Detalle
1. Libremente Otorgado
El consentimiento solo es válido si la persona tiene una elección genuina y libre y puede negarse sin sufrir ninguna desventaja.
Desequilibrio de poder. Cuando existe un desequilibrio significativo entre el responsable del tratamiento y el interesado, es poco probable que el consentimiento se considere libremente otorgado. El ejemplo más claro es la relación laboral. Los empleados pueden sentir que no tienen capacidad práctica de rechazar las solicitudes de tratamiento de datos de su empleador. Las directrices del CEPD advierten que, en la mayoría de los contextos laborales, el consentimiento no será una base válida precisamente por esta asimetría.
Condicionalidad. Según el artículo 7(4), las organizaciones no pueden condicionar el acceso a un servicio a la aceptación de un tratamiento no esencial. Un sitio de comercio electrónico que exige a los clientes aceptar correos de marketing como condición para completar una compra invalida ese consentimiento. El consentimiento no es libre si la negativa bloquea el servicio.
Granularidad. Una única casilla de "acepto todos los usos de mis datos" que cubre múltiples finalidades no relacionadas no satisface el requisito de especificidad y socava la libertad de elección. Las personas deben poder aceptar unas finalidades y rechazar otras de forma independiente.
Sin perjuicio. Rechazar o retirar el consentimiento no debe conllevar ninguna penalización, degradación del servicio o restricción de acceso más allá de lo estrictamente necesario. Si una plataforma reduce funciones para los usuarios que rechazan un tratamiento de datos opcional, el consentimiento obtenido de quienes sí aceptan queda abierto a impugnación.
2. Específico
El consentimiento debe vincularse a cada finalidad de tratamiento individual. El consentimiento genérico que cubre todos los usos de datos actuales y futuros es inválido.
Las directrices del CEPD exigen una solicitud de consentimiento separada para cada operación distinta. Si una organización recopila direcciones de correo electrónico para un boletín y también desea compartirlas con anunciantes externos, necesita dos solicitudes de consentimiento separadas, presentadas de forma independiente, no agrupadas bajo una sola casilla.
La expansión de finalidades es un problema común. Una organización que más adelante desea usar los datos para una finalidad no cubierta por el consentimiento original no puede simplemente basarse en ese consentimiento original. Debe solicitar un consentimiento nuevo y específico para la nueva finalidad, o identificar una base jurídica distinta.
3. Informado
Las personas deben recibir suficiente información para tomar una decisión significativa antes de dar su consentimiento. La guía de la Comisión Europea especifica que debe divulgarse lo siguiente en el momento de la solicitud de consentimiento:
- La identidad del responsable del tratamiento
- La finalidad específica de cada operación de tratamiento
- Los tipos de datos que se recopilarán y tratarán
- El derecho a retirar el consentimiento en cualquier momento
- Si los datos se usarán para la toma de decisiones automatizada o la elaboración de perfiles
- Cualquier transferencia internacional de datos, si corresponde
Esta información debe expresarse en un lenguaje claro y sencillo. Ocultarla detrás de un enlace a una extensa política de privacidad, o presentarla en lenguaje jurídico complejo, no satisface el requisito de estar informado. El CEPD ha sostenido de forma constante que los avisos por capas (resúmenes breves con enlaces accesibles al detalle completo) son aceptables, pero la información esencial debe ser genuinamente accesible y comprensible antes de que se realice la acción de consentimiento.
4. Inequívoco (Acción Afirmativa Clara)
El RGPD y el considerando 32 son explícitos: el silencio, las casillas premarcadas y la inacción no constituyen consentimiento.
Las acciones afirmativas válidas incluyen:
- Marcar una casilla de aceptación que estaba desmarcada
- Hacer clic en un botón de "Acepto" o "Aceptar" donde la información sobre el tratamiento se presenta con claridad
- Elegir configuraciones específicas en un panel de privacidad
- Firmar un formulario de consentimiento por escrito
- Hacer una declaración oral (aunque documentar esto es difícil)
Desplazarse por una página, permanecer en un sitio después de que aparezca un aviso, o no desmarcar una casilla premarcada no son acciones afirmativas. El caso Planet49 (TJUE, asunto C-673/17, octubre de 2019) resolvió esto de forma concluyente: el Tribunal sostuvo que una casilla premarcada no constituye un consentimiento válido ni bajo la Directiva de privacidad electrónica ni bajo el RGPD, porque no refleja un comportamiento activo del usuario.

Las Condiciones del Artículo 7 Para Gestionar el Consentimiento
El artículo 4(11) define qué es el consentimiento. El artículo 7 regula cómo debe gestionarse una vez obtenido.
Demostrabilidad (Artículo 7(1))
El responsable del tratamiento debe poder demostrar que el interesado consintió. Se trata de una obligación continua, no de un evento único. La guía de la ICO sobre el registro del consentimiento recomienda documentar:
- Quién dio su consentimiento (suficiente detalle para identificar a la persona)
- Cuándo lo dio (fecha y hora)
- Qué se le informó en ese momento (la declaración o formulario de consentimiento exacto tal como se presentó)
- Cómo dio su consentimiento (casilla en línea, verbal, formulario firmado)
- Si el consentimiento se ha retirado desde entonces, y cuándo
Almacenar un simple indicador de "consentimiento = verdadero" no es suficiente. Si la declaración de consentimiento cambia posteriormente, deben conservarse los historiales de versiones para que la organización pueda demostrar exactamente qué aceptó cada persona en su momento.
Inteligibilidad y Accesibilidad (Artículo 7(2))
Cuando el consentimiento se da en el contexto de una declaración escrita que también se refiere a otros asuntos (como las condiciones del servicio), la solicitud de consentimiento debe ser claramente distinguible, expresarse en lenguaje sencillo y no utilizar una redacción innecesariamente compleja. Cualquier disposición que no cumpla con el RGPD no será vinculante.
Derecho a Retirar el Consentimiento (Artículo 7(3))
Dos reglas no son negociables.
La retirada debe ser tan fácil como otorgar el consentimiento. Si el consentimiento se dio con un clic, la retirada debe poder lograrse con no más de un clic. Exigir una llamada telefónica, una carta o la navegación por varios menús de configuración de cuenta para retirar un consentimiento originalmente otorgado marcando una casilla constituye una infracción. Las medidas de aplicación han citado este incumplimiento directamente.
El derecho a retirar el consentimiento debe comunicarse antes de obtenerlo. Informar a las personas de su derecho de retirada solo después de que ya hayan consentido no satisface el artículo 7(3).
La retirada no tiene efecto retroactivo. El tratamiento realizado mientras el consentimiento era válido sigue siendo lícito. Sin embargo, la organización debe cesar de inmediato todo tratamiento basado en ese consentimiento de ahí en adelante.
Sin Perjuicio (Artículo 7(4))
Aquí se codifica la regla de condicionalidad: al evaluar si el consentimiento se dio libremente, se tendrá muy en cuenta si la ejecución de un contrato se supedita al consentimiento para un tratamiento no necesario para dicho contrato.
Consentimiento Frente a las Otras Cinco Bases Jurídicas
El consentimiento es solo una de las seis bases jurídicas del artículo 6. Muchas organizaciones recurren al consentimiento por defecto cuando una base distinta sería más sencilla, más estable y jurídicamente más sólida.
| Base Jurídica | Cuándo Se Aplica |
|---|---|
| Contrato (Art. 6(1)(b)) | El tratamiento es necesario para ejecutar un contrato con el interesado, o para adoptar medidas precontractuales a su solicitud |
| Obligación legal (Art. 6(1)(c)) | El tratamiento es exigido por el derecho de la UE o del Estado miembro (por ejemplo, declaración fiscal, cumplimiento en materia de prevención del blanqueo de capitales) |
| Intereses vitales (Art. 6(1)(d)) | Proteger la vida de alguien cuando no puede prestar su consentimiento |
| Función pública (Art. 6(1)(e)) | El ejercicio de poderes públicos o el cumplimiento de una misión de interés público |
| Interés legítimo (Art. 6(1)(f)) | Los intereses del responsable o de un tercero prevalecen sobre los derechos del interesado tras una prueba de ponderación documentada |
| Consentimiento (Art. 6(1)(a)) | El interesado acepta libremente el tratamiento específico |
Por qué elegir el consentimiento sin cuidado genera problemas. El consentimiento genera una carga de gestión continua: mantener registros, proporcionar mecanismos de retirada, volver a obtener el consentimiento cuando cambian las finalidades y gestionar las solicitudes de retirada. Si otra base se aplica de forma legítima, casi siempre es más práctico utilizarla. La guía de la ICO sobre cuándo es apropiado el consentimiento recomienda usar el consentimiento solo cuando realmente se desee dar a las personas un control continuo sobre un tratamiento que de otro modo no sería necesario.
Las organizaciones tampoco pueden cambiar de base retroactivamente. Si se retira el consentimiento, la organización no puede simplemente declarar que en realidad se basaba en el interés legítimo desde el principio, a menos que esa base se aplicara genuinamente desde el inicio y estuviera documentada como tal.
Consentimiento Explícito Para Datos de Categoría Especial
El artículo 9 prohíbe el tratamiento de categorías especiales de datos (salud, biométricos, genéticos, origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical y datos relativos a la vida sexual o la orientación sexual) salvo que se aplique una excepción específica. Una de esas excepciones es el "consentimiento explícito".
El consentimiento explícito es un estándar más exigente que el consentimiento ordinario. Requiere:
- Una declaración clara y expresa que haga referencia específica a la categoría de datos sensibles y a la finalidad del tratamiento
- Confirmación activa e inequívoca; el consentimiento implícito o inferido nunca es suficiente para datos de categoría especial
- Un consentimiento separado de cualquier consentimiento general para otros tratamientos
Un genérico "acepto que mis datos sean tratados" no satisface el consentimiento explícito para datos de salud. El consentimiento debe nombrar directamente el tipo de dato y la finalidad.

Consentimiento de Menores (Artículo 8)
El artículo 8 impone requisitos adicionales cuando se ofrecen servicios de la sociedad de la información directamente a menores. Un servicio de la sociedad de la información abarca las plataformas de redes sociales, las aplicaciones, los juegos en línea, los servicios de streaming y la mayoría de los sitios web comerciales que recopilan datos personales.
Umbrales de Edad en Europa
El RGPD fija el umbral de edad por defecto en 16 años. Por debajo de esa edad, se requiere el consentimiento de los padres o tutores. Los Estados miembros pueden reducir el umbral hasta un mínimo de 13 años. El resultado es un mosaico normativo:
| Edad | Países |
|---|---|
| 13 | Bélgica, República Checa, Dinamarca, Estonia, Finlandia, Letonia, Malta, Portugal, Suecia |
| 14 | Austria, Bulgaria, Chipre, Italia, Lituania, España |
| 15 | Francia, Grecia, Eslovenia |
| 16 | Alemania, Hungría, Irlanda, Luxemburgo, Países Bajos, Polonia, Rumanía, Eslovaquia |
Un servicio que opera en varios Estados miembros de la UE debe aplicar el umbral de edad de cada país para los usuarios de ese país, no una única edad válida para toda la UE.
Verificación y Garantía de Edad
El artículo 8(2) exige "esfuerzos razonables" para verificar que se ha otorgado el consentimiento parental. Lo que se considera razonable es proporcional a los riesgos del tratamiento en cuestión. La Declaración 1/2025 del CEPD sobre garantía de edad aborda el uso creciente de herramientas técnicas de verificación de edad y reconoce que la estimación de edad, la verificación de edad y la autodeclaración representan distintos niveles de garantía adecuados a diferentes contextos de riesgo.
La garantía de edad también es cada vez más relevante bajo la Ley de Servicios Digitales, que impone obligaciones separadas a las plataformas en línea de muy gran tamaño en relación con los menores. Las Directrices 3/2025 del CEPD sobre la interacción entre la DSA y el RGPD abordan la interacción entre estos dos regímenes.
Servicios Preventivos y de Orientación
El artículo 8 no se aplica a los servicios de orientación y prevención ofrecidos directamente a menores para proteger su bienestar. Dichos servicios pueden tratar los datos de menores sin consentimiento parental cuando la participación de los padres sería contraria al interés del menor.
Consentimiento de Cookies y la Directiva de Privacidad Electrónica
El consentimiento de cookies actualmente opera bajo la Directiva de privacidad electrónica (Directiva 2002/58/CE), no directamente bajo el RGPD. Cuando las cookies implican datos personales, el RGPD se aplica al tratamiento posterior de esos datos, pero el permiso para instalar la cookie en primer lugar se rige por la Directiva de privacidad electrónica. Para el marco completo, consulta la guía de la Directiva de privacidad electrónica.
La Regla Clave: El Consentimiento Es Obligatorio Para las Cookies No Esenciales
El interés legítimo no puede usarse como base para instalar cookies no esenciales. La Directiva de privacidad electrónica exige el consentimiento para almacenar información en el dispositivo de un usuario. Ese consentimiento debe cumplir todos los estándares del RGPD. Esto se confirmó en Planet49 (asunto C-673/17) y se reitera en la guía sobre cookies de todas las autoridades de protección de datos importantes.
Cookies Que Requieren Consentimiento
- Cookies de análisis y medición (Google Analytics y herramientas similares)
- Cookies de publicidad y seguimiento conductual
- Complementos de redes sociales y botones para compartir
- Cookies de personalización que no son estrictamente necesarias para el servicio
Cookies Que No Requieren Consentimiento
Las cookies estrictamente necesarias están exentas. Estas incluyen:
- Gestión de sesión (carritos de compra, estado de inicio de sesión)
- Cookies de seguridad y prevención del fraude
- Tokens de equilibrio de carga
- Cookies de preferencias del usuario para accesibilidad o configuración de idioma
Requisitos de los Banners de Cookies
El informe del Grupo de Trabajo sobre Banners de Cookies del CEPD identificó las infracciones más comunes:
- Ausencia de la opción "rechazar todo" en la primera capa (lo que dificulta el rechazo más que la aceptación)
- Casillas premarcadas para cookies opcionales
- Patrones de diseño engañosos que orientan a los usuarios hacia la aceptación
- Invocar el interés legítimo como base para las cookies de publicidad
- Hacer que la retirada del consentimiento de cookies sea más difícil que darlo
Las Directrices 03/2022 del CEPD sobre patrones de diseño engañosos abordan la manipulación de banners en detalle y se aplican tanto a las plataformas de redes sociales como a otros servicios en línea.
El Modelo de "Consentimiento o Pago" y el Dictamen 08/2024 del CEPD
Las grandes plataformas en línea han ofrecido cada vez más a los usuarios una elección binaria: consentir la publicidad conductual o pagar una tarifa de suscripción. En abril de 2024, el CEPD emitió el Dictamen 08/2024, solicitado por las autoridades de protección de datos de los Países Bajos, Noruega y Hamburgo.
Conclusión principal. En la mayoría de los casos, una gran plataforma en línea no puede satisfacer los requisitos de un consentimiento válido cuando presenta a los usuarios únicamente una elección binaria entre consentir el tratamiento de datos para publicidad conductual o pagar una tarifa. El dictamen no declara que estos modelos sean siempre ilícitos, pero establece condiciones estrictas.
Lo que exige el dictamen:
- La opción de "consentimiento" debe cumplir genuinamente las cuatro condiciones del consentimiento del RGPD, incluida la de ser libremente otorgado.
- La alternativa de pago debe ser un servicio realmente equivalente, no una versión degradada.
- Las plataformas deben considerar ofrecer una tercera opción: acceso respaldado por publicidad contextual (no conductual), que no requiera un tratamiento de datos personales más allá de lo estrictamente necesario para mostrar el contenido.
- La tarifa cobrada no debe fijarse tan alta como para coaccionar de manera efectiva el consentimiento de los usuarios que no pueden permitirse pagarla.
El CEPD se comprometió a desarrollar directrices más completas sobre los modelos de "consentimiento o pago" con un alcance más amplio. En noviembre de 2024 se celebró un evento de consulta con las partes interesadas.
Este dictamen es directamente relevante para las plataformas de redes sociales, los editores de noticias y cualquier servicio que haya implementado o esté considerando una alternativa de suscripción de pago frente al acceso gratuito financiado con publicidad.
La DMA y el RGPD: Obligaciones de los Guardianes de Acceso
Para las plataformas designadas como "guardianes de acceso" bajo la Ley de Mercados Digitales, se aplican restricciones adicionales. En 2025, el CEPD y la Comisión Europea publicaron conjuntamente directrices sobre la interacción entre la DMA y el RGPD. Estas aclaran cómo los guardianes de acceso deben aplicar el artículo 5(2) de la DMA (que exige una elección específica y un consentimiento válido para combinar datos personales entre servicios básicos de plataforma) de manera que también sea conforme con el RGPD. Para las plataformas que son a la vez guardianes de acceso bajo la DMA y están sujetas al RGPD, ambos conjuntos de requisitos se aplican simultáneamente.

Errores Comunes de Consentimiento
Las decisiones de aplicación de las autoridades de protección de datos y las conclusiones de las auditorías del CEPD identifican de forma constante los mismos fallos. Estos son los más comunes:
1. Tratar el consentimiento como base por defecto sin revisar alternativas. Muchas organizaciones "lavan" con consentimiento operaciones que podrían basarse legítimamente en la necesidad contractual o el interés legítimo. Esto crea obligaciones de retirada innecesarias y complica las operaciones cuando los usuarios ejercen después el derecho a retirar el consentimiento.
2. Casillas premarcadas o ausencia de opción de rechazo. Sigue siendo la infracción de consentimiento de cookies más citada. La opción de rechazo debe ser tan prominente y tan fácil de usar como la de aceptación en la primera capa de cualquier banner de cookies.
3. Hacer que retirar el consentimiento sea más difícil que otorgarlo. Exigir llamadas telefónicas, cartas o la navegación por configuraciones de cuenta ocultas para deshacer un consentimiento dado con un clic constituye una infracción directa del artículo 7(3).
4. Consentimiento agrupado. Una única casilla que cubre la suscripción al boletín, la elaboración de perfiles para publicidad y el intercambio de datos con terceros es inválida. Cada finalidad necesita una casilla separada presentada de forma independiente.
5. Ausencia de control de versiones en las declaraciones de consentimiento. Modificar un formulario de consentimiento sin conservar la versión anterior implica que la organización no puede demostrar qué aceptó realmente cualquier persona que dio su consentimiento antes del cambio.
6. Clasificar erróneamente las cookies de análisis como estrictamente necesarias. Medir cómo navegan los usuarios por un sitio es útil, pero no es estrictamente necesario para prestar el servicio. Las cookies de análisis requieren consentimiento.
7. Continuar tratando datos después de la retirada. Los sistemas deben contar con un mecanismo para cesar de inmediato el tratamiento basado en consentimiento cuando se registra una retirada. Los retrasos en los sistemas posteriores alimentados por un CRM son una fuente recurrente de quejas.
8. Usar el interés legítimo para el seguimiento basado en cookies. Esto sigue estando expresamente prohibido bajo el marco actual de privacidad electrónica. Citarlo en un aviso de consentimiento de cookies no lo hace lícito.
Ejemplos de Aplicación Normativa
CNIL contra Google (Septiembre de 2025, 325 Millones de Euros)
La CNIL francesa impuso una multa combinada de 325 millones de euros a Google LLC (200 millones de euros) y Google Ireland Limited (125 millones de euros) en septiembre de 2025. La investigación, que siguió a una denuncia de NOYB, encontró dos infracciones distintas. Primero, Gmail mostraba mensajes promocionales insertados entre correos privados en las bandejas de entrada de los usuarios sin consentimiento. Segundo, durante la creación de cuentas, el diseño del consentimiento hacía sustancialmente más difícil rechazar las cookies de publicidad que aceptarlas, y no informaba a los usuarios de que el acceso a los servicios del grupo Google dependía de la instalación de cookies de publicidad. La CNIL ordenó a Google que dejara de insertar anuncios en Gmail sin consentimiento previo en un plazo de seis meses.
CNIL contra SHEIN (Septiembre de 2025, 150 Millones de Euros)
En el mismo ciclo de aplicación normativa, la CNIL multó a la filial irlandesa de SHEIN, Infinite Styles Services Co. Limited, con 150 millones de euros por instalar cookies de publicidad en los dispositivos de los usuarios antes de cualquier interacción con el banner de consentimiento, es decir, antes de que el usuario tuviera la oportunidad de aceptar o rechazar. La investigación también determinó que, incluso cuando los usuarios hacían clic en "rechazar todo", las cookies seguían instalándose y las cookies ya establecidas seguían leyéndose. Con aproximadamente 12 millones de residentes franceses visitando el sitio mensualmente, la escala de la infracción determinó el tamaño de la sanción.
Publicidad Conductual de Meta (Decisión Vinculante del CEPD, 2023)
En 2023, el CEPD emitió una decisión vinculante urgente ordenando a la Comisión de Protección de Datos de Irlanda que exigiera a Meta cesar el tratamiento de datos personales para publicidad conductual sin una base jurídica válida. Esta decisión, aplicada en toda la UE a través del mecanismo de ventanilla única, provocó que Meta abandonara sus anteriores justificaciones de "interés legítimo" y "ejecución del contrato" en favor de un modelo basado en el consentimiento en la UE/EEE.
Novedades Recientes y Próximas (2025-2026)
Noviembre de 2025: El Paquete del Ómnibus Digital
El 19 de noviembre de 2025, la Comisión Europea publicó su Paquete del Ómnibus Digital, una amplia iniciativa de simplificación que propone modificaciones al RGPD, a la Directiva de privacidad electrónica, a la NIS2 y a la Ley de Datos.
Los cambios propuestos más significativos para el consentimiento y la ley de cookies son:
Trasladar las normas de cookies al RGPD. La propuesta eliminaría por completo el tratamiento de datos personales del ámbito de la Directiva de privacidad electrónica, consolidando las normas sobre cookies con datos personales exclusivamente bajo el RGPD. El actual marco de dos pasos (Directiva de privacidad electrónica para el permiso de acceso al dispositivo, RGPD para el tratamiento posterior) sería sustituido por una única norma armonizada.
Medidas contra la fatiga del consentimiento. Las propuestas incluyen una opción de rechazo de un solo clic siempre que se recurra al consentimiento, una restricción a las solicitudes repetidas de consentimiento para la misma finalidad dentro de los seis meses posteriores a un rechazo, y un avance hacia señales de preferencia legibles por máquina basadas en el navegador.
Lista blanca para análisis y medición agregada. Una lista blanca propuesta permitiría que ciertos tratamientos de bajo riesgo para la privacidad (incluidos el análisis básico y la medición agregada de audiencia) procedan sobre la base del interés legítimo sin banners de consentimiento, sujetos a salvaguardas que incluyen la minimización de datos.
Señales de consentimiento basadas en el navegador. Las propuestas prevén estándares técnicos para señales de consentimiento integradas en los navegadores y sistemas operativos, que harían innecesarios los diálogos de consentimiento sitio por sitio para los usuarios que ya han expresado sus preferencias. Estos estándares aún no existen, y el mecanismo no sería obligatorio hasta aproximadamente 2028 como pronto.
Estado actual. El Ómnibus Digital sigue siendo una propuesta legislativa. Debe pasar por negociaciones tripartitas entre la Comisión, el Parlamento Europeo y el Consejo antes de convertirse en ley. Nada en ella modifica las obligaciones de cumplimiento actuales.
Resumen del CEPD Sobre el Consentimiento (Abril de 2026)
En abril de 2026, el CEPD publicó un resumen conciso sobre el consentimiento para ayudar a las organizaciones a entender cuándo se requiere el consentimiento, cómo debe presentarse y qué obligaciones genera. El documento complementa las Directrices completas 05/2020 con una visión más accesible, dirigida en particular a las pequeñas y medianas empresas.
Más Guías Sobre el RGPD
- Qué es el RGPD para una visión general completa del reglamento
- Lista de Verificación de Cumplimiento del RGPD para una guía de cumplimiento paso a paso
- Multas y Sanciones del RGPD para datos de aplicación normativa y las consecuencias del incumplimiento
- Derechos de los Interesados del RGPD para los ocho derechos individuales
- Notificación de Violaciones de Datos del RGPD: la Regla de las 72 Horas para las obligaciones de notificación de violaciones
- RGPD Para Pequeñas Empresas para orientación específica para pymes
- Ley de Cookies de la UE (Directiva de Privacidad Electrónica) para el marco completo de consentimiento de cookies
- Leyes de Privacidad de Datos de la UE para la visión general completa de la protección de datos en la UE
Preguntas frecuentes
¿Qué cuenta como consentimiento válido bajo el RGPD?
El consentimiento válido bajo el RGPD debe ser libre, específico, informado e inequívoco. La persona debe realizar una acción afirmativa clara: marcar una casilla desmarcada, hacer clic en un botón de consentimiento o elegir configuraciones específicas. Las casillas premarcadas, el silencio, la inacción y el desplazamiento por una página quedan expresamente excluidos. Cada finalidad de tratamiento necesita su propio consentimiento, y la persona debe recibir información clara sobre quién trata sus datos y por qué antes de consentir.
¿Puedo usar casillas premarcadas para el consentimiento del RGPD?
No. El RGPD y el considerando 32 prohíben expresamente las casillas premarcadas como forma de consentimiento. El consentimiento requiere una acción afirmativa clara por parte de la persona. La casilla debe comenzar desmarcada, y la persona debe marcarla activamente. El TJUE confirmó esto en Planet49 (asunto C-673/17, 2019), que sostuvo que las casillas premarcadas no constituyen un consentimiento válido bajo el derecho de la UE.
¿Necesito consentimiento para todo tipo de tratamiento de datos?
No. El consentimiento es solo una de las seis bases jurídicas del artículo 6. Es posible que no necesites consentimiento si el tratamiento es necesario para ejecutar un contrato, cumplir una obligación legal, proteger intereses vitales, llevar a cabo una tarea de interés público, o perseguir intereses legítimos que no prevalezcan sobre los derechos de la persona. Basarse en el consentimiento cuando se aplica otra base genera una carga de gestión y riesgos de retirada innecesarios.
¿A qué edad pueden los menores consentir bajo el RGPD?
El RGPD fija un umbral por defecto de 16 años para los servicios de la sociedad de la información (aplicaciones, redes sociales, plataformas en línea). Los Estados miembros de la UE pueden reducirlo hasta un mínimo de 13 años. En la práctica, la edad varía: 13 en Bélgica, Dinamarca, Suecia y otros; 14 en Austria, Italia, España y otros; 15 en Francia y Grecia; 16 en Alemania, Irlanda, los Países Bajos y otros. Un servicio que opera en toda Europa debe aplicar la edad correspondiente a cada país.
¿Cómo retiro el consentimiento bajo el RGPD?
El consentimiento puede retirarse en cualquier momento. El proceso de retirada debe ser tan fácil como otorgar el consentimiento. Si el consentimiento se dio con un clic, la retirada no debe requerir más de un clic. El derecho a retirar debe comunicarse antes de obtener el consentimiento. La retirada no afecta a la licitud del tratamiento realizado antes de la retirada, pero la organización debe detener el tratamiento basado en consentimiento de ahí en adelante.
¿Necesito consentimiento para las cookies de mi sitio web?
Las cookies no esenciales (análisis, publicidad, seguimiento, redes sociales) requieren consentimiento bajo la Directiva de privacidad electrónica. Ese consentimiento debe cumplir los estándares del RGPD. El interés legítimo no puede usarse para justificar la instalación de cookies no esenciales. Las cookies estrictamente necesarias (gestión de sesión, seguridad, equilibrio de carga) están exentas. El Ómnibus Digital de noviembre de 2025 propone simplificar estas normas, pero todavía no es ley.
¿Cuál es la diferencia entre consentimiento y consentimiento explícito?
El consentimiento ordinario requiere una acción afirmativa clara para el tratamiento estándar de datos personales. El consentimiento explícito es un estándar más exigente requerido para los datos de categoría especial (salud, biométricos, genéticos, origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, vida sexual u orientación sexual). El consentimiento explícito requiere una declaración escrita clara que identifique expresamente la categoría de datos sensibles y la finalidad específica del tratamiento; el consentimiento implícito o general nunca es suficiente.
¿Es lícito un modelo de consentimiento o pago bajo el RGPD?
No automáticamente. El Dictamen 08/2024 del CEPD concluyó que, en la mayoría de los casos, una gran plataforma en línea no puede obtener un consentimiento válido bajo un modelo puramente binario: consentir la publicidad conductual o pagar una tarifa. El CEPD exige que las plataformas también ofrezcan una alternativa genuinamente equivalente que no implique publicidad conductual, como el acceso respaldado por publicidad contextual. Las tarifas no deben fijarse tan altas como para coaccionar efectivamente el consentimiento. La opción de consentimiento debe seguir cumpliendo las cuatro condiciones del RGPD.
¿Qué cambia el Ómnibus Digital de noviembre de 2025 sobre el consentimiento de cookies?
Nada todavía; sigue siendo una propuesta legislativa. La Comisión propuso consolidar las normas de cookies dentro del RGPD, introducir una lista blanca para el análisis básico, exigir un rechazo de un solo clic, limitar las solicitudes repetidas de consentimiento a cada seis meses por finalidad, y permitir señales de preferencia basadas en el navegador hacia 2028. Hasta que la propuesta pase por el proceso legislativo de la UE y entre en vigor, las normas actuales de consentimiento de cookies bajo la Directiva de privacidad electrónica se aplican sin cambios.
Fuentes y referencias
- Texto completo del RGPD — Reglamento (UE) 2016/679(eur-lex.europa.eu).gov
- Directrices 05/2020 del CEPD sobre el Consentimiento en virtud del Reglamento 2016/679(edpb.europa.eu).gov
- Resumen del CEPD sobre el Consentimiento (abril de 2026)(edpb.europa.eu).gov
- Comisión Europea — ¿Cuándo es Válido el Consentimiento?(commission.europa.eu).gov
- Comisión Europea — ¿Cómo Debe Solicitarse Mi Consentimiento?(commission.europa.eu).gov
- ICO — ¿Qué Es el Consentimiento Válido?(ico.org.uk).gov
- ICO — ¿Cómo Debemos Obtener, Registrar y Gestionar el Consentimiento?(ico.org.uk).gov
- ICO — ¿Cuándo Es Apropiado el Consentimiento?(ico.org.uk).gov
- Comisión Europea — Garantías Específicas para los Datos de Menores(commission.europa.eu).gov
- Dictamen 08/2024 del CEPD sobre el Consentimiento Válido en el Contexto de los Modelos de Consentimiento o Pago(edpb.europa.eu).gov
- Informe del Grupo de Trabajo del CEPD sobre Banners de Cookies (2023)(edpb.europa.eu).gov
- Directrices 03/2022 del CEPD sobre Patrones de Diseño Engañosos(edpb.europa.eu).gov
- ICO — Cookies y Tecnologías Similares(ico.org.uk).gov
- Directrices 1/2024 del CEPD sobre el Interés Legítimo(edpb.europa.eu).gov
- Directrices 3/2025 del CEPD sobre la Interacción entre la DSA y el RGPD(edpb.europa.eu).gov
- Directrices Conjuntas del CEPD y la Comisión Europea sobre la Interacción entre la DMA y el RGPD(edpb.europa.eu).gov
- CNIL — Google Multada con 325 Millones de Euros por Infracciones en el Consentimiento de Cookies y Publicidad (septiembre de 2025)(cnil.fr).gov
- CNIL — SHEIN Multada con 150 Millones de Euros por Instalar Cookies Sin Consentimiento (septiembre de 2025)(cnil.fr).gov
- Comisión Europea — Paquete del Ómnibus Digital (noviembre de 2025)(digital-strategy.ec.europa.eu).gov
- Tu Europa — Privacidad en Línea para Empresas(europa.eu).gov