Cookies · 7 min de lectura

Política de cookies para autónomos: guía práctica

Las cookies son uno de los puntos más confusos de la normativa para autónomos y pequeños negocios. La legislación es clara pero la implementación práctica genera muchas dudas: ¿qué cookies necesitan consentimiento? ¿Cómo tiene que ser el banner? ¿Qué dice la AEPD exactamente? Esta guía responde a todo eso.

¿Qué es una cookie?

Una cookie es un pequeño archivo de texto que un sitio web deposita en el dispositivo del usuario cuando lo visita. Puede contener información diversa: un identificador de sesión, preferencias de idioma, datos de seguimiento publicitario, etc.

Además de las cookies propiamente dichas, la normativa española aplica también a otras tecnologías de almacenamiento local con efectos similares: localStorage, sessionStorage, IndexedDB, píxeles de seguimiento, fingerprinting, etc.

Tipos de cookies según la AEPD

La AEPD clasifica las cookies según su finalidad:

Importante: Google Analytics requiere consentimiento previo. La AEPD ha confirmado que no es una cookie técnica, por lo que no puedes cargarla hasta que el usuario la acepte. Muchas webs lo hacen mal en este punto.

Qué documentos necesitas

Si tu web usa cookies que requieren consentimiento, necesitas dos cosas:

  1. Política de cookies: un documento accesible desde el footer que explica qué cookies usas, para qué y cómo gestionarlas.
  2. Banner de consentimiento: aparece en la primera visita y permite al usuario aceptar, rechazar o configurar las cookies.

Si solo usas cookies técnicas (sin analytics, sin publicidad, sin embeds de terceros), no necesitas banner de consentimiento, aunque sí es buena práctica mencionar el uso de cookies en tu política de privacidad.

Cómo debe ser el banner según la AEPD

La AEPD publicó en 2022 una Guía sobre el uso de cookies con requisitos específicos para los banners. Los puntos más relevantes:

Equiparación de opciones

Los botones "Aceptar todo" y "Rechazar todo" (o "Rechazar no esenciales") deben tener el mismo nivel de visibilidad y prominencia. No vale poner "Aceptar" en verde brillante y "Rechazar" como un enlace de texto pequeño. Eso es un dark pattern y está explícitamente prohibido.

Sin consentimiento por defecto

Ninguna cookie no técnica puede cargarse antes de que el usuario acepte. La navegación por la web sin interactuar con el banner no puede interpretarse como consentimiento.

Granularidad

El usuario debe poder aceptar o rechazar por categorías de cookies (analítica, marketing, personalización) de forma independiente. No puede exigírsele aceptar todo o no aceptar nada.

Facilidad para retirar el consentimiento

Retirar el consentimiento debe ser igual de fácil que otorgarlo. Si para aceptar basta un clic, para revocar también debe bastar un clic (normalmente mediante un enlace visible en el footer o un icono flotante).

Duración del consentimiento

La AEPD recomienda que el banner vuelva a aparecer periódicamente para renovar el consentimiento, con un máximo de 24 meses entre solicitudes.

Errores frecuentes

Si solo usas Google Analytics: ¿qué haces?

Esta es la situación más habitual para pequeños negocios. Tienes tres opciones:

  1. Banner de consentimiento + cargar GA solo si acepta: la opción más completa y la que la AEPD espera.
  2. Google Analytics en modo de consentimiento (Consent Mode v2): permite recoger datos agregados sin cookies hasta que el usuario acepta. Requiere configuración específica en GA4.
  3. Eliminar Google Analytics y usar una alternativa sin cookies: hay herramientas como Plausible o Fathom que no requieren consentimiento porque no usan cookies de seguimiento. Más simple pero pierdes algunas métricas.

El pack premium de LegalGen incluye una política de cookies personalizada con la tabla de cookies de tu web y un banner de consentimiento listo para copiar y pegar, conforme a los requisitos actuales de la AEPD.