Banner de cookies: ¿cuándo es obligatorio y qué debe incluir?

Los banners de cookies ya son parte del paisaje habitual de Internet, y hay una buena razón detrás de ello: las leyes de protección de datos personales.

En Europa y España son obligatorios para todas las páginas web que recopilan aquellas cookies que no son estrictamente necesarias para el funcionamiento del sitio. Esto quiere decir que si se utilizan cookies para marketing se debe incluir un aviso de consentimiento.

En otros artículos hemos explorado en detalle qué son las cookies. En breves palabras, son pequeños archivos que los sitios web recopilan y almacenan y que contienen información clave sobre sus visitantes. Por un lado, ayudan a ejecutar funciones esenciales del sitio, como guardar carritos de compra en una tienda online o inicios de sesión en cuentas de usuario. Pero a su vez, muchas páginas web utilizan las cookies por razones no esenciales: analizar el tráfico, dirigir publicidad personalizada o mejorar la experiencia del usuario.

El uso de cookies está sujeto a regulaciones de protección de datos en muchos países, especialmente en la Unión Europea con el Reglamento General de Protección de Datos (RGPD o GDPR). En España, el uso de cookies está regulado por la Ley de servicios de la sociedad de la información y de comercio electrónico (LSSI) y la Ley de Protección de Datos y garantía de los derechos digitales (LOPDGDD).

¿Qué dicen las leyes sobre el banner de política de cookies?

Según las normas actuales en España, el banner de cookies es obligatorio cuando en la página web se usan cookies que requieren el consentimiento del usuario, es decir, todas aquellas que no sean estrictamente necesarias para el funcionamiento de la web. Esto incluye cookies analíticas, de publicidad y de personalización.

El banner debe permitir al visitante de la web aceptar, rechazar o configurar las cookies de manera equitativa y no se debe inducir a aceptarlo de manera engañosa.

Además, el consentimiento de las cookies debe ser explícito y revocable en cualquier momento, según explica la Guía sobre el uso de las cookies de la Agencia Española de Protección de Datos.

Cookies necesarias vs. cookies opcionales

Básicamente, podemos dividir las cookies en dos categorías: cookies estrictamente necesarias y cookies opcionales.

Cookies estrictamente necesarias

Si tu página solo usa cookies estrictamente necesarias, no necesitas un banner de consentimiento. En ese caso, basta con incluir una nota en tu política de privacidad.

Como indica su nombre, este tipo de cookies son esenciales para el funcionamiento de un sitio web. Permiten que los usuarios inicien sesión, que los productos permanezcan en el carrito de compras de una tienda online o que se guarden las preferencias de idioma.

Dado que estas cookies no recopilan datos personales con fines publicitarios o de análisis, pueden utilizarse sin consentimiento.

Cookies opcionales que requieren consentimiento

Todas las demás cookies que no son absolutamente esenciales para el funcionamiento del sitio requieren consentimiento. Estas incluyen, en particular, las cookies de seguimiento y marketing digital. Por ejemplo:

• Herramientas de seguimiento como Google Analytics o Meta Pixel: estos servicios rastrean el comportamiento del usuario en un sitio web para recopilar estadísticas, analizar las fuentes de tráfico y mejorar el rendimiento del sitio web. Dado que a menudo se tratan datos personales en este proceso, se requiere el consentimiento explícito.
• Cookies de retargeting y publicidad personalizada: muchos sitios web utilizan cookies para mostrar publicidad personalizada. Estas cookies recuerdan qué páginas ha visitado un usuario y permiten mostrarle anuncios en función de su comportamiento. Este tipo de tratamiento de datos requiere un consentimiento claro y voluntario. 
• Cookies para analizar el comportamiento del usuario: algunas cookies rastrean el comportamiento de los visitantes para analizar, por ejemplo, las rutas de clic, el tiempo de permanencia o el contenido preferido. Estos datos ayudan a las empresas a optimizar su sitio web, pero también acceden a información personal, por lo que se requiere el consentimiento.

Dado que estas cookies no son necesarias para el funcionamiento básico del sitio, los usuarios deben poder aceptarlas o rechazarlas antes de que se activen. Un banner de cookies garantiza que esta decisión se tome de forma transparente y en cumplimiento con la normativa de protección de datos.

¿Qué debe decir el texto del banner de cookies?

El contenido del banner de cookies debe informar sobre el uso de cookies de manera clara y sencilla. No se puede usar colores o contrastes que dificulten la visibilidad de la opción de rechazo​ ni se pueden usar opciones premarcadas que den consentimiento automático.

Además, los usuarios deben tener la opción de aceptar solo las cookies esenciales, y si rechazan las no esenciales, no debe restringir de manera injustificada el uso del sitio web.

Ejemplos de texto de banner de cookies

Ejemplo 1:

Uso de cookies
Utilizamos cookies propias y de terceros para analizar el uso del sitio web y mostrarte publicidad relacionada con tus preferencias.

• [Rechazar cookies]
• [Configurar]
• [Aceptar cookies]

Ejemplo 2:

Cookies
Utilizamos cookies propias y de terceros para analizar el uso del sitio web y mostrarte publicidad basada en tus hábitos de navegación. ¿Aceptas las cookies?

• [No]
• [Sí]​.

Las diferencias entre Opt-in vs. Opt-out

La mayor diferencia entre los banners de cookies radica en la forma en que gestionan el consentimiento del usuario.

Una de las opciones es Opt-in (obligatorio en la UE y que cumple con GDPR). En este caso, las cookies solo se instalan tras el consentimiento del usuario, y los visitantes deben hacer clic activamente para aceptarlas.

En la opción Opt-out, las cookies se instalan automáticamente y el usuario debe desactivarlas manualmente. Este método no cumple el GDPR, pero se utiliza en países con leyes de protección de datos menos estrictas. En la UE, no está permitido si se utilizan cookies no esenciales.

¿Cómo crear un banner de cookies?

Puedes crear un banner de cookies por tu cuenta utilizando HTML, CSS y JavaScript, pero esta solución presenta varios inconvenientes, ya que las leyes de protección de datos cambian regularmente. Una vez programado un banner, puede dejar de ser legalmente válido a largo plazo.

Además, debes asegurarte de que el banner realmente bloquee todas las cookies hasta que se otorgue el consentimiento. Si hay problemas de implementación, puedes tener problemas legales.

Si usas WordPress, Joomla u otro CMS, puedes utilizar plugins especiales de banners de cookies. Existen soluciones que pueden integrarse fácilmente en un sitio web.

Soluciones de gestión de cookies

Si no quieres lidiar con cuestiones técnicas y legales, puedes optar por soluciones completas como Termly que te generan un banner de cookies fácil de insertar en cualquier sitio web y en cumplimiento con el GDPR.

La gran ventaja de estas soluciones es que el banner se actualiza de forma automática para cumplir con las leyes vigentes. Utiliza plantillas legalmente válidas que son ajustables al diseño específico de cada web.

Cómo funcionan los gestores de cookies

Los gestores de cookies como Termly realizan un escaneo del sitio web e identifican brechas de privacidad o elementos de cumplimiento legal faltantes. El dueño de la web recibe un resumen de lo que necesita adaptarse o añadirse.

Luego, a partir de una serie de preguntas simples sobre el negocio, el programa genera políticas de privacidad y banners de cookies legalmente válidos que pueden personalizarse individualmente.

Una vez que se aprueben los resultados, se puede agregar fácilmente las directrices creadas a tu sitio web, ya sea incrustándolas o mediante un enlace para que los visitantes puedan acceder a ellas en cualquier momento.

Las consecuencias de no tener un banner de cookies

Si tu sitio web no tiene un banner de cookies legalmente válido, corres el riesgo de recibir advertencias y hasta multas económicas. Las sanciones por falta de protección de datos pueden alcanzar hasta los 40.000 euros en caso de infracciones leves y hasta los 20 millones de euros en casos graves.

Por lo tanto, un banner de cookies no es solo una formalidad, sino una parte esencial de un sitio web. Garantiza que los usuarios tengan control sobre sus datos y que tu página cumpla con los requisitos legales.