¿Necesito un banner de cookies en España? Guía rápida

Alguien te ha dicho que tu web necesita un banner de cookies. Quizá sí. Quizá no. La respuesta depende de lo que hace tu web, no de lo que quiere venderte un plugin de WordPress.

Aquí tienes cómo decidirlo en unos cinco minutos, con la normativa española como referencia.

La pregunta que decide

¿Tu web coloca cookies no esenciales o envía datos de visitantes a terceros?

Si la respuesta es sí, necesitas un banner con consentimiento activo. Si es no, lo más probable es que no te haga falta.

Eso es todo. El resto de la guía te ayuda a saber en qué lado estás y qué pide la AEPD si tienes que cumplir.

Qué cuenta como cookie no esencial

Las cookies se dividen en dos grandes grupos bajo la Directiva ePrivacy (2002/58/CE) y el Artículo 22.2 de la Ley 34/2002 LSSI-CE, que es la transposición española.

Cookies que puedes colocar sin consentimiento:

• Cookies de sesión que mantienen al usuario identificado
• Cookies del carrito de la compra en una tienda online
• Cookies de balanceo de carga que mantienen el sitio en marcha
• Cookies que recuerdan la preferencia del propio banner. Sí, el banner necesita su cookie.

Son las llamadas "estrictamente necesarias" o "técnicas". Hacen funcionar la web. Sin ellas, el sitio se rompe. La Guía de Cookies de la AEPD (revisión de julio de 2023) las define con detalle en el apartado 3.

Cookies que SÍ requieren consentimiento:

• Google Analytics, Microsoft Clarity, Hotjar y cualquier herramienta de analítica
• Facebook Pixel, Meta Pixel, LinkedIn Insight Tag y cualquier píxel publicitario
• Cookies de remarketing y publicidad personalizada
• Vídeos embebidos de YouTube y Vimeo en su modo por defecto
• Mapas de Google y widgets de redes sociales
• Cookies de "social login" (entrar con Facebook o Google)

Si tu web tiene cualquiera de las anteriores, necesitas un banner.

Cómo saber si tu web coloca cookies no esenciales

No hace falta ser técnico. Tres minutos en una ventana privada bastan.

1. Abre tu web en una ventana de incógnito (Ctrl + Mayús + N en Chrome o Firefox)
2. Antes de tocar nada del banner, abre las herramientas de desarrollador (F12)
3. Ve a "Application" o "Almacenamiento" y luego "Cookies"
4. Mira los nombres

Si ves cookies como _ga, _gid, _fbp, _hjid, _ym_uid o cualquier cookie con dominios .google-analytics.com, .facebook.com, .hotjar.com, etc., tu web ya está colocando cookies no esenciales antes de que el visitante haya dado su consentimiento. Eso incumple el Artículo 22.2 de la LSSI-CE.

Si solo ves cookies con nombres como PHPSESSID, cf_clearance, XSRF-TOKEN o el nombre de tu CMS (wordpress_logged_in_*, prestashop), probablemente todo lo que tienes son cookies técnicas. En ese caso, no necesitas banner.

Hay una herramienta gratis en TrustYourWebsite que hace esta comprobación sin que tengas que abrir las DevTools.

Qué exige la AEPD si necesitas banner

La revisión de julio de 2023 de la Guía de Cookies dejó las reglas más claras que la versión original de 2020. Un banner que cumple tiene tres cosas a la vez:

1. Botones equilibrados. El botón "Aceptar" y el botón "Rechazar" tienen que estar al mismo nivel: mismo tamaño, misma intensidad de color, misma posición visual. Esconder "Rechazar" dentro de un panel de configuración o pintarlo en gris claro frente a un "Aceptar" verde brillante es exactamente lo que la AEPD sanciona en sus resoluciones.

2. Configuración granular. El visitante puede elegir por categorías: técnicas (siempre activas), preferencias, analítica, marketing. No vale el "todo o nada". Las casillas de las categorías no esenciales tienen que aparecer SIN marcar por defecto. Marcarlas por adelantado fue declarado inválido por el Tribunal de Justicia de la UE en la sentencia Planet49 (C-673/17) en 2019, y la AEPD lo reitera en cada resolución sobre cookies.

3. Cero cookies no esenciales antes del consentimiento. Tu Google Analytics tiene que estar bloqueado hasta que el visitante pulse "Aceptar" en la categoría correspondiente. Si Analytics se carga en cuanto se abre la página, el banner es decoración: la AEPD lo va a tratar igual que si no existiera.

Los muros de cookies (cookie walls) que bloquean el contenido hasta que aceptas están desaconsejados para la mayoría de webs. Solo se admiten cuando hay una alternativa real para acceder al servicio sin aceptar (por ejemplo, un periódico que ofrece suscripción de pago como alternativa al consentimiento publicitario). Para una web corporativa o una pyme, un cookie wall es un riesgo directo de sanción.

Cuánto multa la AEPD

El régimen sancionador está en el Artículo 39 de la LSSI-CE:

• Infracciones leves: hasta 30.000 €
• Infracciones graves: de 30.001 € a 150.000 €
• Infracciones muy graves: de 150.001 € a 600.000 €

Para violaciones que también infringen el RGPD, se aplica además el Artículo 83.5 del RGPD: hasta 20 millones de euros o el 4 % de la facturación anual mundial.

En la práctica, la mayoría de pymes reciben sanciones de 1.000 € a 10.000 € tras las reducciones del Artículo 76 de la LOPDGDD: el reconocimiento voluntario de la infracción rebaja la multa un 20 %, y el pago voluntario otro 20 %. Una sanción de 10.000 € puede quedarse en 6.400 € si cooperas pronto. Pero las cifras grandes existen: en diciembre de 2023, la AEPD multó a Vodafone España con 3,94 millones de euros (resolución PS-00298-2023) por categorías preseleccionadas y un botón "Rechazar" enterrado a dos clics de profundidad.

Cinco errores comunes que la AEPD sanciona

Los patrones que aparecen una y otra vez en las resoluciones publicadas en aepd.es:

• Casillas marcadas por defecto en analítica o marketing
• "Rechazar" oculto dentro de "Configuración" o "Más opciones"
• Google Analytics cargándose al abrir la página, antes de cualquier interacción
• Contar el "seguir navegando" o "hacer scroll" como consentimiento (la AEPD ya descartó esto en 2020)
• Banner sin enlace claro a la política de cookies, sin información sobre los terceros que las colocan

Qué hacer si tu plugin actual no cumple

Si usas WordPress y tienes un plugin como Cookie Notice, GDPR Cookie Consent o similar, revisa la configuración antes de cambiar de herramienta:

1. Activa el bloqueo previo (pre-consent blocking) si el plugin lo ofrece
2. Configura los botones "Aceptar" y "Rechazar" con la misma prominencia
3. Asegúrate de que las categorías no esenciales empiezan desactivadas
4. Conecta tu Google Tag Manager para que solo dispare las etiquetas tras el consentimiento

Plataformas como Cookiebot, Iubenda o Termly automatizan parte del bloqueo, pero su configuración por defecto no siempre cumple. Si pagas por una de ellas, dedica 30 minutos a revisar las opciones avanzadas.

Si tu web no usa WordPress, tu desarrollador puede integrar un gestor de consentimiento (CMP) o usar etiquetas condicionales en Google Tag Manager.

La opción más sencilla: quitar lo que no usas

Para muchas pymes, la solución más limpia no es comprar un banner mejor. Es quitar las cookies que no usas.

¿Cuándo fue la última vez que abriste tu Google Analytics? Si la respuesta es "hace meses" o "no me acuerdo", probablemente no necesitas Analytics. Las estadísticas básicas de tu hosting (Plesk, cPanel, Vercel Analytics) suelen bastar.

¿Tu web tiene un Facebook Pixel pero no haces campañas activas? Quítalo. Es un riesgo legal sin retorno.

¿Embebes vídeos de YouTube? Cambia el embed al modo "youtube-nocookie.com" para evitar el rastreo previo al consentimiento.

Cuanto menos rastreo no esencial, menos banner necesitas y menos riesgo de sanción.

Preguntas frecuentes

¿Necesito un banner si mi web solo opera desde España?

Sí, si colocas cookies no esenciales. La Directiva ePrivacy aplica en toda la UE y la LSSI-CE española la transpone. La AEPD la aplica con bastante actividad: en 2024 publicó más de 600 resoluciones, una buena parte sobre cookies.

¿Es legal Google Analytics en España?

Sí, pero solo después del consentimiento. La AEPD lo trata como una cookie no esencial de analítica. Tienes que bloquear su carga hasta que el visitante pulse "Aceptar" en la categoría de analítica. Hay alternativas sin cookies como Plausible, Fathom o Umami que funcionan sin banner.

¿Y el interés legítimo como base de las cookies?

Algunos negocios alegan "interés legítimo" del Artículo 6.1.f del RGPD para cargar analítica sin consentimiento. La AEPD y el Comité Europeo de Protección de Datos (CEPD) coinciden: las cookies de analítica y marketing requieren consentimiento, no interés legítimo. Apoyarse en esa vía es jugar con fuego.

Mi plugin dice que cumplo. ¿Es verdad?

Un plugin vale lo que su configuración. Muchos banners se instalan pero no se configuran para bloquear scripts antes del consentimiento. El banner aparece, el visitante no ha tocado nada, pero las cookies de Analytics ya están puestas. Pruébalo tú: abre tu sitio en incógnito, no toques el banner y mira en las herramientas de desarrollador qué cookies hay.

¿Puedo quitar Analytics en vez de poner banner?

Sí, y para muchas pymes es lo más sensato. Si no analizas activamente los datos, quitar Analytics elimina el motivo principal por el que necesitas un banner. Puedes usar herramientas sin cookies o mirar los logs de tu servidor para tráfico básico.

¿Cuánto tarda la AEPD en sancionar?

Lo habitual es entre 6 y 18 meses desde la denuncia hasta la resolución. En ese tiempo se abre un procedimiento sancionador, te requieren información y tienes derecho a alegar. Cooperar y arreglar el problema cuanto antes reduce la sanción.

---

¿No estás seguro de qué cookies coloca tu web? Hazte un análisis gratis en TrustYourWebsite y lo sabrás en 30 segundos. Si quieres ver las herramientas gratuitas para revisar las cookies, las cabeceras de seguridad y la accesibilidad, pásate por nuestro centro de herramientas.

Más sobre cumplimiento web en España: revisa los requisitos legales de tu web y la política de cookies para ver cómo aplicamos nosotros mismos lo que recomendamos.