Sanciones de la AEPD por cookies: resoluciones reales en pymes

Quien afirma que "en España no se multa por cookies" repite algo que era cierto en 2019 pero ya no lo es.

La AEPD lleva años resolviendo expedientes por cookies ilegales. Algunos van contra grandes empresas. Otros van contra empresas medianas y pymes. Los de pymes son los que menos trascienden, pero existen y se publican en el Registro de resoluciones de la AEPD.

Esta guía repasa los expedientes más relevantes. También extrae las lecciones concretas para cualquier empresa que opere con una web española.

¿Quieres saber ya mismo si tu banner cumple? Analiza gratis tu banner de cookies en menos de un minuto.

Resoluciones publicadas y patrones de incumplimiento

La AEPD publica las resoluciones sancionadoras en el Registro de procedimientos sancionadores. Los patrones que se repiten:

Por qué la AEPD tiene competencia sobre tu web

¿Tu web trata datos de usuarios en España? Cuenta también la IP y el comportamiento de navegación. Si la respuesta es sí, se aplica la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) junto con el RGPD.

La transposición del ePrivacy en EUR-Lex es el Artículo 22.2 de la Ley 34/2002 LSSI-CE. Esa norma prohíbe colocar cookies no esenciales sin consentimiento previo e informado. La AEPD puede investigar y sancionar cualquier incumplimiento.

No hace falta que la empresa sea española. Tampoco que el usuario sea español. Basta con que el tratamiento afecte a personas en España.

El precedente Vodafone España (2021): el caso de referencia

La sanción de 8,15 millones de euros impuesta a Vodafone España en mayo de 2021 es la referencia obligada cuando se habla de la capacidad sancionadora de la AEPD. La cuantía global se descompone en cuatro multas concurrentes:

• 4.000.000 € por infracción del Art. 28 RGPD (control sobre los encargados del tratamiento)
• 2.000.000 € por infracción del Art. 44 RGPD (transferencia internacional sin garantías)
• 150.000 € por infracción del Art. 21 LSSI-CE (envío de SMS y emails comerciales sin consentimiento)
• 2.000.000 € por infracción del Art. 48.1.b LGT (llamadas comerciales a usuarios que se habían opuesto)

La Sentencia de la Audiencia Nacional 6558/2024 redujo el total a 4,5 millones de euros tras el recurso de Vodafone, pero confirmó la base infractora.

Lo relevante para una pyme con web:

No es directamente un caso de cookies de la web. El precedente Vodafone gira sobre listas Robinson, contratos con encargados y transferencias internacionales. La pieza de Art. 21 LSSI-CE (150 000 €) se refiere a comunicaciones SMS y email comerciales sin consentimiento, no al banner de cookies del sitio web.

Sí es el precedente de la escala económica. La AEPD ha demostrado capacidad y disposición para imponer multas de ocho cifras. Las infracciones de Art. 22.2 LSSI-CE en cookies de web están sujetas al régimen sancionador del Art. 39 LSSI-CE, con tope de 600.000 € por infracción muy grave, pero pueden concurrir con sanciones del RGPD si la transferencia internacional o el tratamiento de datos personales asociado infringe el Reglamento.

Lo que la AEPD inspecciona en cookies de web

A día de hoy la AEPD no ha publicado una resolución específica con un titular del tipo "Multa millonaria por cookies en la web" comparable al precedente Vodafone, pero su Guía sobre el uso de cookies (versión de julio de 2023) y su programa de cartas de advertencia masivas durante 2024 y 2025 marcan claramente los puntos que comprueba:

1. Cookies antes del consentimiento. Google Analytics, Meta Pixel, Hotjar o cualquier script no estrictamente necesario que se carga antes de que el usuario interactúe con el banner. Detección directa con DevTools.

2. Rechazo equivalente a aceptación. Mismo nivel jerárquico, mismo número de clics, mismo peso visual. Banner con "Aceptar todo" en color principal y "Rechazar" oculto en un enlace gris incumple.

3. Banner que no bloquea. Tener un banner visible no basta. Si los scripts de rastreo se ejecutan al margen del consentimiento, el banner es decorativo y el incumplimiento es total.

4. Política de cookies desfasada. Las cookies declaradas en la política no coinciden con las que la web coloca en realidad. La AEPD lo verifica con un escaneo técnico básico.

5. Casillas premarcadas. Cualquier finalidad adicional con casilla marcada por defecto no genera consentimiento válido (jurisprudencia consolidada del TJUE en Planet49, C-673/17).

Expedientes contra empresas medianas y pymes

La AEPD no publica todos los expedientes contra empresas pequeñas. Las resoluciones disponibles muestran un patrón claro.

El procedimiento suele comenzar con una denuncia de un usuario o competidor. El denunciante describe qué cookies encontró. También indica cuándo las detectó. La AEPD puede verificarlo visitando la web.

En expedientes contra pymes la AEPD aplica el procedimiento simplificado (artículo 85 LOPDGDD). Esa vía permite cerrar el caso con un apercibimiento o una sanción reducida. Para acceder, la empresa debe reconocer la infracción y adoptar medidas correctoras. La rebaja extra es del 20 % sobre el descuento por pago voluntario.

Importes habituales en pymes tras reducciones: entre 1.000 € y 15.000 €. La horquilla depende de la gravedad, el volumen de datos afectados y el historial de la empresa.

Las tres infracciones más habituales

Al revisar las resoluciones de la AEPD sobre cookies hay tres patrones que se repiten:

1. Cookies antes del consentimiento El script de Google Analytics, el Pixel de Meta o Hotjar se carga cuando el usuario llega a la web. Es la infracción más frecuente. También es la más fácil de detectar.

2. Banner que no bloquea El banner aparece. El usuario puede interactuar con él. Pero los scripts se ejecutan al margen. El banner solo es decorativo.

3. Rechazo que no funciona El banner tiene botón de "Rechazar" o "Solo esenciales". Al hacer clic, ese botón no detiene los scripts que ya están corriendo.

Qué exige la AEPD en la práctica

La Guía de Cookies de la AEPD en su versión de julio de 2023 establece los requisitos concretos:

Primera capa del banner:

• Información sobre el responsable y la finalidad.
• Opción de aceptar todo y opción de rechazar todo (o rechazar las no esenciales) con igual prominencia visual.
• Enlace a una segunda capa con información detallada.

Lo que no es válido:

• Un único botón de "Aceptar" sin opción de rechazo equivalente.
• Considerar que seguir navegando o hacer scroll equivale a consentimiento.
• Opciones preseleccionadas para cookies no esenciales.
• Un botón de rechazo visualmente secundario (letra pequeña, color gris, etc.).

Bloqueo técnico obligatorio: Las cookies no esenciales y los scripts que las generan deben estar desactivados hasta que el usuario acepte. No basta con poner el banner. Los scripts deben estar bloqueados de verdad.

Cómo verificar que tu web cumple

Este proceso te lleva menos de diez minutos:

1. Abre tu web en una ventana de incógnito (Ctrl+Shift+N en Chrome, Ctrl+Shift+P en Firefox).
2. No hagas clic en nada del banner todavía.
3. Abre las herramientas del desarrollador (F12). Entra en "Application" y luego en "Cookies".
4. ¿Ves cookies que empiezan por _ga, _fbp, _hjid o similares? Estás colocando cookies antes del consentimiento.
5. Ahora haz clic en "Rechazar" o "Solo esenciales".
6. Espera cinco segundos. Vuelve a revisar la lista de cookies.
7. ¿Aparecen cookies nuevas de analítica o marketing? El rechazo no funciona.

Si fallas en alguno de estos pasos tienes una infracción del artículo 22.2 LSSI-CE.

Qué herramientas de cookies funcionan bien

La herramienta de cookies no importa tanto como su configuración. Cookiebot, Complianz, CookieYes y otras funcionan bien en modo opt-in (bloqueo previo). Muchas vienen por defecto en modo "notice only" (informativo). Ese modo no cumple la AEPD.

Lo que hay que verificar en cualquier herramienta:

• Modo de escaneo de cookies activado.
• Bloqueo previo de scripts no esenciales habilitado.
• Prueba de "rechazo" verificada a mano.

Para webs en WordPress, Complianz es la opción más habitual. Para tiendas en PrestaShop o Shopify los módulos nativos de cookies suelen ser suficientes en modo opt-in.

El riesgo real para una pyme española

No es razonable ignorar las cookies porque "la AEPD no va a ir a por una empresa pequeña". Las denuncias no las inicia la AEPD. Las inicia cualquier usuario, competidor o asociación que visite tu web.

El coste de implementar un banner correcto es bajo. Unas pocas horas de configuración o un plugin de 50 a 100 € al año bastan. El coste de una sanción después de reducciones puede estar entre 1.000 € y 15.000 €. A eso hay que sumar el tiempo de gestión del expediente.

¿Tienes Google Analytics, el Pixel de Meta o cualquier script de seguimiento? La pregunta no es si necesitas un banner. La pregunta es si el que tienes funciona bien.

Qué hacer si la AEPD te abre expediente

Recibir una notificación de la AEPD es desagradable. No es el fin del mundo. El procedimiento permite presentar alegaciones. Si la empresa colabora, las reducciones aplicables son significativas.

Plazos clave del procedimiento sancionador:

1. Notificación de inicio. La AEPD comunica el inicio del expediente y los hechos que considera infractores. Tienes 10 días hábiles para presentar alegaciones iniciales.
2. Propuesta de resolución. La AEPD remite una propuesta con la sanción inicial calculada. Tienes 15 días para alegaciones finales.
3. Resolución. La AEPD emite la resolución definitiva. A partir de ese momento corre el plazo para pagar voluntariamente con reducción.

Reducciones aplicables (Art. 85 LOPDGDD):

• Reconocimiento voluntario de la infracción: 20 % de descuento.
• Pago voluntario antes de la resolución: 20 % adicional.
• Adopción de medidas correctoras documentadas: puede sustituirse la sanción por apercibimiento en infracciones leves.

Imagina una sanción inicial de 10.000 €. Reconocer la infracción y pagar voluntariamente la deja en 6.400 €. Si además has corregido el banner antes de la propuesta de resolución, en infracciones leves puede convertirse en apercibimiento sin coste económico.

Documenta tu cumplimiento desde hoy

Aunque no recibas una denuncia, conviene tener documentado el proceso de adaptación. Si la AEPD pregunta, debes poder mostrar:

• Captura del banner actual con sus opciones visibles.
• Listado de cookies que se colocan antes y después del consentimiento (puedes extraerlo del informe de tu herramienta de consentimiento).
• Fecha de la última revisión de la configuración.
• Política de cookies publicada con descripción de cada cookie y su finalidad.

Una pequeña hoja con esta información, archivada en una carpeta de la empresa, vale más que mil declaraciones de buenas intenciones cuando llega una denuncia.

¿Quieres saber si tu web cumple ahora mismo? Haz un análisis gratis y revisa qué cookies se colocan antes del consentimiento. Si quieres profundizar en otros aspectos, mira la guía de ¿Necesito un banner de cookies en España? o el aviso legal según el Art. 10 LSSI-CE.