Política de cookies para autónomos: guía práctica
Las cookies son uno de los puntos más confusos de la normativa para autónomos y pequeños negocios. La legislación es clara pero la implementación práctica genera muchas dudas: ¿qué cookies necesitan consentimiento? ¿Cómo tiene que ser el banner? ¿Qué dice la AEPD exactamente? Esta guía responde a todo eso.
¿Qué es una cookie?
Una cookie es un pequeño archivo de texto que un sitio web deposita en el dispositivo del usuario cuando lo visita. Puede contener información diversa: un identificador de sesión, preferencias de idioma, datos de seguimiento publicitario, etc.
Además de las cookies propiamente dichas, la normativa española aplica también a otras tecnologías de almacenamiento local con efectos similares: localStorage, sessionStorage, IndexedDB, píxeles de seguimiento, fingerprinting, etc.
Tipos de cookies según la AEPD
La AEPD clasifica las cookies según su finalidad:
| Tipo | Finalidad | ¿Necesita consentimiento? |
|---|---|---|
| Técnicas o necesarias | Imprescindibles para el funcionamiento de la web. Sesión de usuario, carrito de compra, preferencias básicas. | No |
| De personalización | Recuerdan preferencias del usuario (idioma, región, tema visual) para futuras visitas. | Sí |
| De análisis o medición | Miden el uso de la web: páginas visitadas, tiempo de sesión, fuente del tráfico. Google Analytics es el ejemplo más común. | Sí |
| De publicidad comportamental | Crean perfiles del usuario para mostrar publicidad personalizada. Meta Pixel, Google Ads, etc. | Sí |
Importante: Google Analytics requiere consentimiento previo. La AEPD ha confirmado que no es una cookie técnica, por lo que no puedes cargarla hasta que el usuario la acepte. Muchas webs lo hacen mal en este punto.
Qué documentos necesitas
Si tu web usa cookies que requieren consentimiento, necesitas dos cosas:
- Política de cookies: un documento accesible desde el footer que explica qué cookies usas, para qué y cómo gestionarlas.
- Banner de consentimiento: aparece en la primera visita y permite al usuario aceptar, rechazar o configurar las cookies.
Si solo usas cookies técnicas (sin analytics, sin publicidad, sin embeds de terceros), no necesitas banner de consentimiento, aunque sí es buena práctica mencionar el uso de cookies en tu política de privacidad.
Cómo debe ser el banner según la AEPD
La AEPD publicó en 2022 una Guía sobre el uso de cookies con requisitos específicos para los banners. Los puntos más relevantes:
Equiparación de opciones
Los botones "Aceptar todo" y "Rechazar todo" (o "Rechazar no esenciales") deben tener el mismo nivel de visibilidad y prominencia. No vale poner "Aceptar" en verde brillante y "Rechazar" como un enlace de texto pequeño. Eso es un dark pattern y está explícitamente prohibido.
Sin consentimiento por defecto
Ninguna cookie no técnica puede cargarse antes de que el usuario acepte. La navegación por la web sin interactuar con el banner no puede interpretarse como consentimiento.
Granularidad
El usuario debe poder aceptar o rechazar por categorías de cookies (analítica, marketing, personalización) de forma independiente. No puede exigírsele aceptar todo o no aceptar nada.
Facilidad para retirar el consentimiento
Retirar el consentimiento debe ser igual de fácil que otorgarlo. Si para aceptar basta un clic, para revocar también debe bastar un clic (normalmente mediante un enlace visible en el footer o un icono flotante).
Duración del consentimiento
La AEPD recomienda que el banner vuelva a aparecer periódicamente para renovar el consentimiento, con un máximo de 24 meses entre solicitudes.
Errores frecuentes
- Cargar Google Analytics antes del consentimiento del usuario.
- Banners que solo ofrecen "Aceptar" sin opción de rechazar.
- Políticas de cookies genéricas que no mencionan las cookies reales de la web.
- No actualizar la política cuando se añaden nuevas herramientas (nuevo pixel, nuevo CRM, etc.).
- Considerar que WordPress con un plugin de cookies cumple automáticamente la normativa — los plugins ayudan, pero la configuración correcta depende de quién los use.
Si solo usas Google Analytics: ¿qué haces?
Esta es la situación más habitual para pequeños negocios. Tienes tres opciones:
- Banner de consentimiento + cargar GA solo si acepta: la opción más completa y la que la AEPD espera.
- Google Analytics en modo de consentimiento (Consent Mode v2): permite recoger datos agregados sin cookies hasta que el usuario acepta. Requiere configuración específica en GA4.
- Eliminar Google Analytics y usar una alternativa sin cookies: hay herramientas como Plausible o Fathom que no requieren consentimiento porque no usan cookies de seguimiento. Más simple pero pierdes algunas métricas.
El pack premium de LegalGen incluye una política de cookies personalizada con la tabla de cookies de tu web y un banner de consentimiento listo para copiar y pegar, conforme a los requisitos actuales de la AEPD.