Cookies y consentimiento: qué exige el RGPD y la LSSI
Ese banner que aparece nada más entrar en tu web no es un trámite cosmético: si está mal hecho, el consentimiento que recoge no vale nada. Cuándo hace falta pedir permiso, qué cookies puedes poner sin preguntar y cómo debe ser el aviso para no acabar en una resolución de la AEPD.
Casi todas las webs muestran hoy un aviso de cookies, pero muchos de esos avisos no cumplen. La razón es que mezclan dos cosas que conviene separar: cuándo hace falta consentimiento —lo decide la LSSI— y cómo tiene que ser ese consentimiento para ser válido —lo decide el RGPD—. Con esas dos piezas claras, montar (o auditar) un banner deja de ser un misterio.
Qué es una cookie a efectos legales.
La ley no habla de «cookies», sino de algo más amplio: «dispositivos de almacenamiento y recuperación de datos» en el equipo del usuario. Eso incluye las cookies clásicas, pero también las balizas web, el almacenamiento local del navegador, las huellas de dispositivo (fingerprinting) y los identificadores de SDK en aplicaciones. La regla es la misma para todas ellas: si guardas o lees información en el equipo de alguien, necesitas su permiso, salvo las excepciones que veremos.
Cuándo hace falta consentimiento: lo dice la LSSI.
La norma de cabecera en España es el artículo 22.2 de la Ley 34/2002, de servicios de la sociedad de la información (LSSI). Su lógica es de regla y excepción: por defecto, consentimiento previo e informado; sin él, solo lo estrictamente necesario.
«Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos. […] Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación […] o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»
Art. 22.2 — Ley 34/2002 (LSSI). Ver en el BOE →Lo importante está en el último inciso: hay dos casos en los que no necesitas consentimiento. Primero, el almacenamiento o acceso técnico para efectuar la transmisión de la comunicación. Y segundo, lo que resulte estrictamente necesario para prestar un servicio que el usuario haya solicitado expresamente. Todo lo que se salga de ahí —analítica, medición de audiencia con terceros, publicidad, perfilado— cae en la regla general y exige permiso.
Cómo debe ser ese consentimiento: lo dice el RGPD.
La LSSI dice que hace falta consentimiento, pero remite al estándar del Reglamento General de Protección de Datos para decidir qué cuenta como consentimiento válido. Y ese estándar es exigente.
El consentimiento es «toda manifestación de voluntad libre, específica, informada e inequívoca» por la que el interesado acepta el tratamiento, mediante una declaración o «una clara acción afirmativa» (art. 4.11). El art. 7 añade que debe poder retirarse con la misma facilidad con que se otorgó.
Arts. 4.11 y 7 — RGPD (Reglamento (UE) 2016/679). Ver en EUR-Lex →«Acción afirmativa clara» tiene una consecuencia directa y conocida: no valen las casillas premarcadas ni las fórmulas de aceptación pasiva. Un consentimiento que el usuario no ha dado activamente, no existe.
Olvida el clásico «si continúas navegando, entendemos que aceptas». Seguir navegando, hacer scroll o cerrar el aviso no es una acción afirmativa: es inacción. Tampoco valen las casillas marcadas por defecto ni un único botón «Aceptar» sin alternativa real para rechazar.
El banner que cumple.
Traducido a la práctica, un aviso de cookies bien hecho ofrece tres opciones en igualdad de condiciones: Aceptar, Rechazar y Configurar (o gestionar las preferencias por categorías). El punto que más banners incumplen es la simetría: rechazar debe ser tan fácil como aceptar. Si «Aceptar todo» es un botón grande y llamativo y «Rechazar» está oculto tras un menú o en un color apagado, el diseño está condicionando la decisión, y un consentimiento condicionado no es libre.
La AEPD publica una Guía sobre el uso de cookies que desarrolla precisamente estos criterios —información por capas, granularidad por finalidades, equivalencia entre aceptar y rechazar, y posibilidad de retirar el consentimiento en cualquier momento—. Es la referencia práctica para comprobar que un aviso pasa el examen.
Cookies que sí y cookies que no necesitan permiso.
La distinción decisiva es entre las cookies técnicas o estrictamente necesarias —exentas por el propio art. 22.2 LSSI— y todo lo demás. Esta tabla resume el criterio:
| Tipo de cookie | Ejemplos | ¿Requiere consentimiento? |
|---|---|---|
| Técnicas / estrictamente necesarias | Sesión, inicio de sesión, carrito de la compra, idioma elegido, balanceo de carga. | No (exentas, art. 22.2 LSSI) |
| Analíticas | Medición de audiencia y estadísticas de uso, sobre todo con terceros. | Sí |
| Publicitarias y de terceros | Publicidad comportamental, perfilado, retargeting, redes sociales embebidas. | Sí |
La clave de la columna exenta no es la etiqueta «técnica», sino la función: la cookie debe ser imprescindible para que funcione un servicio que el usuario ha pedido expresamente. La cookie que recuerda lo que has metido en el carrito es necesaria para comprar; la que sigue tu rastro entre webs para venderte anuncios, no. Por eso una cookie analítica de terceros, aunque te parezca inofensiva, exige consentimiento.
«¿Mi banner de cookies cumple?» — respóndelo con el artículo delante.
SuperLawyer conecta tu asistente de IA con la LSSI, el RGPD y las resoluciones reales de la AEPD. Pregúntale por tu aviso concreto —tus botones, tus categorías de cookies, tu fórmula de aceptación— y te dirá qué exige el art. 22.2 LSSI, qué estándar marca el RGPD y qué criterios aplica la Agencia, con la referencia verificable de cada uno, sin inventarse el contenido.
Solicitar acceso →Preguntas frecuentes.
¿Necesito consentimiento para todas las cookies?
No. El art. 22.2 de la LSSI exime a las cookies técnicas o estrictamente necesarias para transmitir la comunicación o prestar un servicio que el usuario ha solicitado. El resto —analíticas, publicitarias, de terceros— sí requieren consentimiento previo.
¿Vale la fórmula «si sigues navegando, aceptas»?
No. El RGPD exige una clara acción afirmativa que manifieste una voluntad libre, específica, informada e inequívoca (arts. 4.11 y 7). Seguir navegando o hacer scroll no es consentir, y tampoco valen las casillas premarcadas.
¿Rechazar debe ser tan fácil como aceptar?
Sí. Es uno de los criterios de la AEPD en su Guía sobre el uso de cookies: el usuario debe poder rechazar con la misma facilidad con que acepta. Un «Aceptar» destacado junto a un «Rechazar» escondido invalida el consentimiento.
¿Qué cookies están exentas de consentimiento?
Las estrictamente necesarias para efectuar la transmisión o para prestar un servicio expresamente solicitado (art. 22.2 LSSI): por ejemplo, la cookie de sesión, la de inicio de sesión, la del carrito o la que recuerda el idioma.
Este artículo tiene finalidad divulgativa y no constituye asesoramiento jurídico. La normativa puede cambiar; verifica siempre la versión vigente en la fuente oficial enlazada.