Las _cookies_ siguen siendo un asunto sensible para cualquier producto digital. En 2025, la autoridad española ha afinado criterios sobre cómo obtener un consentimiento válido y cómo sostener el control real del usuario. Este artículo (pensado para _founders_, _product managers_ y equipos legales de startups ) recapitula lo que ya era obligatorio y desarrolla, con detalle, qué cambia y cómo aterrizarlo en un diseño de banner y en una arquitectura técnica que pase una revisión seria.
La regla de base no se ha movido: ninguna cookie no esencial (analítica, publicidad, personalización no imprescindible, A/B testing, _social pixels_, SDKs de tracking) puede activarse antes de que el usuario consienta de forma expresa. El consentimiento debe ser libre, informado y específico, fruto de una acción afirmativa clara; no vale seguir navegando, hacer _scroll_ o no tocar nada. Debe existir información suficiente en dos capas: un aviso inicial breve y una política de cookies completa, accesible y comprensible.
Igual de importante es la reversibilidad: el usuario debe poder retirar el consentimiento con la misma facilidad con la que lo dio. Esto, en términos prácticos, exige un acceso permanente y visible a la configuración de cookies y que, al revocar, el sitio cese el tratamiento y elimine las cookies opcionales ya instaladas. En paralelo, la organización debe ser capaz de probar qué aceptó el usuario y cuándo, sin convertir ese registro en un nuevo vector de tracking.
El diseño de primera capa debe presentar dos decisiones equivalentes: aceptar y rechazar. Equivalentes quiere decir misma jerarquía visual, misma prominencia y mismo número de clics. Si un botón “Aceptar” es grande, contrastado y de acceso inmediato, el de “Rechazar” no puede esconderse tras un segundo paso, ni perderse con colores desvaídos, ni rebajarse de tamaño. El objetivo es sencillo: que rechazar no sea más difícil que aceptar.
Junto a esas dos opciones, el banner debe permitir configurar la elección. Ese tercer camino debe abrir, sin rodeos, el panel de preferencias: el usuario no está para leer párrafos interminables antes de encontrar los controles.
El consentimiento ya no es un “todo o nada”. Se espera que el usuario pueda elegir por finalidades (analítica, personalización, publicidad, etc.) y, si es posible, por proveedor. Es improcedente presentar casillas prehabilitadas: cada _toggle_ debe empezar en off, salvo las cookies técnicas exentas que no se eligen porque no requieren consentimiento. Cuando el usuario termine, debe existir un botón claro de “guardar” y una confirmación visible de que su preferencia se ha aplicado.
También debe haber un enlace o icono permanente (“Gestionar cookies”, “Preferencias de privacidad”…). No sirve un banner que aparece solo la primera vez y desaparece para siempre: la persona debe poder revisar y cambiar su decisión en cualquier momento.
Aquí hay un matiz clave que aligera fricción si se aplica bien. Si la personalización nace de una elección explícita del usuario (elige idioma, modo oscuro, tamaño de letra, disposición de columnas, moneda) y la cookie solo recuerda esa preferencia para cumplir lo que pidió, hablamos de una cookie técnica y no requiere consentimiento. Es la manera de no estropear la experiencia por puro formalismo.
Otra cosa es la personalización decidida por el editor sin petición expresa. Si el sitio adapta el contenido al comportamiento previo o a la geolocalización por defecto, estamos ante una finalidad que sí exige consentimiento. Y, en cualquier caso, lo que se guarda para recordar una preferencia no se puede reutilizar para propósitos distintos (como marketing o perfiles): eso cambiaría la base jurídica.
Traducción para e-commerce y SaaS: recordar el idioma o la moneda que el propio usuario eligió es técnico; recomendar productos en función de su navegación anterior no lo es y pide consentimiento.
Se admite una excepción muy limitada para medir el uso de un sitio sin consentimiento, pero solo si se dan todas estas condiciones, sin atajos:
- La finalidad es exclusivamente estadística y los datos se recogen para el editor, no para intereses propios del proveedor de la herramienta.
- El análisis produce datos agregados (no perfiles individuales), no se combina con otros tratamientos, no se cede a terceros y no permite seguimiento entre sitios (nada de identificadores comunes en múltiples dominios).
- Se fijan controles temporales: vida de la cookie como máximo 13 meses y retención de datos estadísticos no más de 24–25 meses.
- Esta práctica se explica claramente en la política de cookies (qué mides, cómo y bajo qué limitaciones).
En la realidad de una startup, muchas soluciones populares de analítica no cumplen esto por defecto. Si tu proveedor coloca identificadores de tercero, mezcla datos de varios clientes o usa la información con fines propios, no hay exención posible y debes pedir consentimiento. Alternativas: analítica propia/autogestionada o servicios _privacy-friendly_ que permitan configurar estos límites con garantías contractuales y técnicas.
El llamado modelo “consentimiento o pago” puede ser válido, pero no es carta blanca. Solo funciona si la persona tiene una alternativa real al rastreo: un acceso equivalente en contenido y calidad, ofrecido por el mismo editor, claramente explicado y sin presiones. La opción de pago no puede ser un servicio recortado ni un laberinto que de facto obligue a aceptar cookies. En medios o _marketplaces_, esto implica revisar pricing, experiencia y mensajes: si el intercambio es honesto y transparente, puede sostenerse; si degradas la alternativa o la vuelves inencontrable, probablemente no.
La autoridad ya ha sancionado situaciones en las que, tras pulsar “rechazar”, las cookies de terceros seguían activas o los scripts seguían disparándose. No basta con un botón bonito: el mecanismo técnico debe parar los tratamientos y eliminar las cookies no esenciales instaladas. Esto exige probar escenarios reales (primera visita, vuelta tras aceptar y después revocar, navegación autenticada y anónima, distintos navegadores) y verificar que el bloqueo y la limpieza funcionan siempre.
Empieza con una auditoría corta: inventaria cookies, SDKs y _tags_ por entorno (producción, _staging_, _landing pages_), proveedor y finalidad. Distingue lo técnico exento de lo que requiere consentimiento y mapea dependencias: si una etiqueta de _tag manager_ dispara a otra, solo podrás controlar ambas si el disparo está condicionado al estado del consentimiento.
Rediseña la primera capa con tres opciones visibles desde el inicio: _Aceptar_, _Rechazar_ y _Configurar_. La segunda capa debe abrir directamente un panel de controles, sin interponer textos largos. Evita el lenguaje sesgado y los colores que “empujan”. Comprueba que rechazar requiere los mismos pasos que aceptar.
Si quieres medir sin pedir consentimiento, elige o configura tu analítica para cumplir todos los límites de la exención, incluidos los plazos y la prohibición de seguimiento entre dominios. Si no encajas, pide consentimiento y sé claro en la política: qué mides, por qué y durante cuánto tiempo.
Separa con rigor la personalización técnica (elecciones del usuario que solo se recuerdan) de la editorial (adaptación proactiva): la primera no necesita consentimiento; la segunda sí, y no puede camuflarse como técnica.
Habilita un enlace permanente para reabrir el panel y documenta el estado de la preferencia (con un identificador anónimo y sello temporal por categoría, sin convertirlo en un nuevo seguimiento). Planifica pruebas periódicas: borra cookies, simula rutas de usuario y revisa que no haya fugas, un pixel que dispara antes de tiempo, un SDK en app que no respeta el estado, una etiqueta huérfana en _tag manager_.
Si te planteas “pay or okay”, verifica que la alternativa sin rastreo es equivalente, que la ofrece tu propio servicio y que la comunicación es cristalina. Revisa precios, frecuencia de aparición del diálogo y experiencia del usuario: si hace falta un máster para encontrar la opción sin cookies, no será válido.
¿Puedo usar “seguir navegando” como consentimiento?
No. Hace años que se exige una acción afirmativa: pulsar aceptar o activar categorías en el panel.
¿Cuánta granularidad necesito?
Al menos por finalidades. Si además permites elegir por proveedor dentro de una finalidad, mejor. Lo que no: casillas preactivadas o categorías redactadas de forma confusa.
¿Sirve con bloquear en el _tag manager_?
Solo si todas las etiquetas que disparan tratamiento no esencial dependen del estado de consentimiento. Una etiqueta mal condicionada o un script embebido fuera del gestor arruinan el control.
¿El “Consent Mode” de un gran proveedor me libra de pedir consentimiento?
No por sí mismo. Puede ayudarte a modular el comportamiento cuando no hay consentimiento, pero si la herramienta usa identificadores o fines propios, seguirás necesitando el “sí” del usuario.
¿Cuánto tiempo puedo guardar los datos de analítica “exenta”?
La referencia práctica es vida de cookie ≤ 13 meses y retención de datos ≤ 24–25 meses, y solo para estadística agregada del propio sitio.
¿Y en apps móviles?
El principio es el mismo: si un SDK no es técnico, no debe activarse sin consentimiento. Revisa el arranque de SDKs en iOS/Android para que respeten el estado desde el primer _launch_.
¿Tengo que registrar el consentimiento?
Es recomendable guardar una prueba ligera (preferencias por categoría, _timestamp_ y un identificador no trazable) para responder ante una inspección, sin convertir ese registro en un nuevo seguimiento.
Diseños que esconden el rechazo, cookies de terceros cargando antes de cualquier elección, paneles que no ofrecen control real, analíticas “exentas” que en realidad comparten datos o hacen seguimiento entre sitios, y revocaciones que no borran lo ya instalado son focos típicos de incumplimiento. Evitarlos es, en gran medida, diseño honesto y una cadena técnica bien atada.
---
El mensaje de 2025 es nítido: elección real, control continuo y trazas contenidas. Un banner simétrico, un panel granular usable, una medición de audiencia sometida a límites estrictos o respaldada por consentimiento, una personalización bien clasificada y una revocación que apaga y borra son ya atributos básicos de cualquier producto serio. Para una startup, hacerlo bien significa menos fricción regulatoria, menos deuda técnica y más confianza del usuario. Si ajustas ahora diseño y arquitectura, llegarás con ventaja a cualquier revisión y, de paso, mejorarás la experiencia de tu base de clientes.
Guía práctica sobre la LOI en España (startups y M&A): naturaleza jurídica, exclusividad, confidencialidad, calendario, qué pasa si no se cierra la operación y qué ocurre si se incumple la LOI.
Leer más →
Descubre por qué una asesoría no sustituye al abogado en el mundo startup. Aprende qué hace cada uno y cómo evitar errores legales graves.
Leer más →
Descubre qué forma jurídica te conviene al emprender en España. Comparativa detallada entre autónomo, SL, SLU y ERL. Fiscalidad, responsabilidad y más.
Leer más →