¿Necesito un banner de consentimiento de cookies en mi web?

Si alguna vez has creado una web, probablemente te has hecho esta pregunta. La respuesta no es un simple sí o no — depende de qué tecnologías usa tu sitio, de dónde están tus visitantes y de qué datos recopilas. Aquí tienes una guía clara.

La respuesta corta

Necesitas un banner de consentimiento de cookies si tu web establece cookies no esenciales o usa tecnologías de rastreo que almacenan datos en el dispositivo del visitante. Si tu sitio solo usa cookies estrictamente necesarias (o ninguna cookie), puedes prescindir del banner.

Veamos qué significa esto en la práctica.

Lo que dice realmente la ley

Dos leyes principales regulan el consentimiento de cookies en Europa:

La Directiva ePrivacy (a veces llamada la "Ley de Cookies") establece que necesitas consentimiento antes de almacenar o acceder a información en el dispositivo del usuario. Esto aplica a cookies, localStorage y tecnologías similares — independientemente de si se tratan datos personales.

El RGPD define cómo debe recogerse ese consentimiento: libre, específico, informado e inequívoco. Las casillas premarcadas, el consentimiento implícito y los banners de "al continuar navegando aceptas" son todos inválidos. La sentencia Planet49 de 2019 del Tribunal de Justicia de la UE lo dejó claro — el consentimiento debe ser una elección activa y afirmativa.

En febrero de 2025, la Comisión Europea retiró formalmente el esperado Reglamento ePrivacy que debía sustituir a la directiva, por lo que estas normas siguen siendo la ley vigente. Una propuesta "Digital Omnibus" de noviembre de 2025 permitiría a los usuarios configurar las preferencias de cookies a nivel del navegador en lugar de sitio por sitio, pero no entrará en vigor antes de 2027 como mínimo.

Cuándo SÍ necesitas un banner de cookies

Necesitas un banner de consentimiento si tu web usa cualquiera de estos:

• Cookies de analítica — Google Analytics, Adobe Analytics, Hotjar y herramientas similares que establecen cookies para rastrear el comportamiento del visitante
• Cookies de publicidad — redes publicitarias, píxeles de retargeting, seguimiento de conversiones de Google Ads
• Rastreo de redes sociales — Facebook Pixel, seguimiento de Twitter, widgets sociales integrados que establecen cookies
• Cookies de terceros de cualquier tipo — widgets de chat, herramientas de tests A/B o cualquier servicio integrado que almacene datos en el dispositivo del visitante

La prueba es sencilla: si desactivas la cookie, ¿se rompe alguna función que el usuario solicitó explícitamente? Si el sitio funciona perfectamente sin ella, la cookie no es estrictamente necesaria y requiere consentimiento.

Google Analytics en concreto

Google Analytics 4 establece cookies de primera parte y envía datos a los servidores de Google en EE.UU. Varios reguladores europeos — en Austria, Francia, Italia, Dinamarca y Noruega — han dictaminado que el uso de Google Analytics violaba el RGPD. El Marco de Privacidad de Datos UE-EE.UU. (adoptado en julio de 2023) proporciona una base legal para la transferencia de datos, pero ese marco está siendo impugnado actualmente ante el TJUE y sus fundamentos políticos son inciertos.

Incluso si la transferencia de datos es legal, GA4 sigue estableciendo cookies. Eso significa que se requiere un banner de consentimiento, y solo puedes cargar el script de seguimiento después de que el usuario consienta. Los estudios muestran consistentemente que el 50-60% de los visitantes rechazan las cookies cuando se les da una opción genuina — lo que significa que tus datos de GA4 están incompletos desde el primer día.

Cuándo NO necesitas un banner de cookies

Cookies estrictamente necesarias

Nunca necesitas consentimiento para cookies que son esenciales para un servicio que el usuario solicitó explícitamente:

• Cookies de sesión para login/autenticación
• Cookies de carrito de compra en sitios de e-commerce
• Tokens CSRF para seguridad
• Cookies de balanceo de carga
• La propia cookie de preferencia de consentimiento

Estas están exentas bajo la Directiva ePrivacy porque sirven a la solicitud del usuario, no a los intereses del propietario del sitio.

Analítica sin cookies

Si tu herramienta de analítica no establece cookies ni almacena datos en el dispositivo del visitante, la Directiva ePrivacy no aplica. No se necesita banner de cookies.

Herramientas de analítica respetuosas con la privacidad como Plausible, Fathom y Fairlytics siguen este enfoque. Miden páginas vistas, referrers y tipos de dispositivo sin establecer ninguna cookie ni recopilar datos personales. Obtienes las métricas de tráfico que importan sin la carga legal.

La exención de medición de audiencia de la CNIL

La CNIL de Francia ofrece una exención específica: las cookies de analítica pueden saltarse el consentimiento si se usan exclusivamente para medición de audiencia y cumplen criterios estrictos — solo primera parte, vida útil limitada a 13 meses, datos retenidos no más de 25 meses, sin rastreo entre sitios, sin compartir datos con terceros. La CNIL actualizó estas directrices en julio de 2025 y publicó una herramienta de autoevaluación.

Matiz importante: Google Analytics no cumple con esta exención, independientemente de la configuración, porque los datos son procesados por un tercero (Google).

¿Y fuera de la UE?

Reino Unido

El Reino Unido tiene sus propias normas bajo PECR (Regulaciones de Privacidad y Comunicaciones Electrónicas), que funcionan de forma similar a la Directiva ePrivacy de la UE. Se requiere consentimiento previo para cookies no esenciales. La Data (Use and Access) Act, que recibió sanción real en junio de 2025, aumentó la multa máxima a 17,5 millones de libras o el 4% de la facturación global — un salto enorme respecto al tope anterior de 500.000 libras.

Estados Unidos

No existe una ley federal de consentimiento de cookies en EE.UU. Las leyes estatales de privacidad como CCPA/CPRA siguen un modelo de opt-out (exclusión voluntaria), no de opt-in. No necesitas un banner de cookies como tal, pero si tus cookies alimentan sistemas de publicidad o intercambio de datos, necesitas un enlace de "No vender ni compartir mi información personal". La CTDPA de Connecticut apunta específicamente a los dark patterns en banners de cookies, y su fiscal general ha comenzado auditorías de cumplimiento.

Brasil

La LGPD de Brasil requiere consentimiento opt-in para cookies no esenciales, similar al enfoque europeo.

Canadá

PIPEDA requiere consentimiento antes de recopilar información personal. El consentimiento implícito puede ser suficiente para analítica de bajo riesgo, pero las cookies de rastreo generalmente requieren consentimiento expreso.

La realidad de la aplicación

Esto no es teoría. Los reguladores están multando activamente a empresas por violaciones de cookies:

• Google fue multada con 325 millones de euros por la CNIL de Francia en 2025 por mostrar anuncios sin consentimiento — su tercera multa relacionada con cookies, frente a 150 millones en 2022 y 100 millones en 2020
• SHEIN recibió una multa de 150 millones de euros de la CNIL en 2025 por colocar cookies publicitarias sin consentimiento
• TikTok fue multada con 5 millones de euros por hacer más difícil rechazar cookies que aceptarlas

El patrón es claro: los dark patterns (hacer que el rechazo sea más difícil que la aceptación) son el principal objetivo de aplicación. Y las multas van en escalada.

Un estudio de 2025 de la Universidad de Aarhus encontró que solo el 15% de los banners de cookies cumplen los requisitos mínimos del RGPD. El 43% de los sitios establecen cookies de rastreo sin consentimiento válido. Que todo el mundo tenga un banner de cookies no significa que lo estén haciendo bien.

Un diagrama de decisión simple

1. ¿Tu sitio establece alguna cookie? → Si no, no necesitas banner.
2. ¿Son todas tus cookies estrictamente necesarias (login, carrito, seguridad)? → Si sí, no necesitas banner.
3. ¿Usas analítica sin cookies que no almacena nada en el dispositivo del visitante? → Si sí, no necesitas banner para analítica.
4. ¿Usas Google Analytics, píxeles publicitarios u otras cookies de rastreo? → Necesitas banner. Debe tener botones de Aceptar y Rechazar igualmente prominentes. Solo puedes cargar scripts de rastreo después de que el usuario consienta.

El camino más simple: no usar cookies en absoluto

La forma más fácil de evitar banners de cookies es no necesitar uno. Sustituye Google Analytics por una alternativa sin cookies, elimina los píxeles publicitarios que no estés usando activamente y audita tu sitio en busca de scripts de terceros que establecen cookies sin tu conocimiento.

Muchos propietarios de sitios se sorprenden al descubrir que la mitad de sus cookies provienen de scripts de terceros que añadieron hace años y olvidaron. Una auditoría rápida con las herramientas de desarrollo de tu navegador (Aplicación → Cookies) puede revelar lo que realmente se está estableciendo.

Para analítica en concreto, herramientas como Fairlytics te dan páginas vistas, páginas principales, referrers, navegadores y países — todo en un script de 510 bytes que no establece ninguna cookie. Obtienes los datos que necesitas para tomar decisiones sin la carga de gestión de consentimiento.

¿Quieres eliminar el banner de cookies? Prueba Fairlytics gratis — 10.000 páginas vistas/mes, sin cookies, sin consentimiento necesario.