Volver

Cookies - Normativa y derechos

Las cookies son archivos que los sitios web guardan en tu navegador para recordar información. La ley exige que te informen y pidan consentimiento antes de usarlas, salvo las estrictamente necesarias.

Qué son las cookies

Las cookies son pequeños archivos de texto que los sitios web guardan en tu navegador cuando los visitas. Contienen información sobre tu visita: qué páginas has visto, tus preferencias de idioma, si has iniciado sesión, qué productos has añadido al carrito. Sirven para que la web "recuerde" quién eres y qué estabas haciendo.

En sí mismas, las cookies no son malas. El problema es cómo se usan: muchas cookies no sirven para mejorar tu experiencia, sino para rastrearte y crear perfiles de comportamiento que luego venden a anunciantes. Por eso la ley exige que te informen y te pidan permiso.

Tipos de cookies

Las cookies se clasifican de varias formas. Según su finalidad, pueden ser técnicas o necesarias (imprescindibles para que la web funcione), de preferencias (recuerdan tus ajustes), estadísticas (miden cómo usas el sitio) o de marketing (para mostrarte publicidad personalizada). Solo las técnicas están exentas de consentimiento.

Tipo Función Consentimiento
Técnicas/Necesarias Funcionamiento básico No requerido
Preferencias Recordar ajustes Requerido
Estadísticas Analítica web Requerido
Marketing Publicidad personalizada Requerido

Según su duración, las cookies de sesión se borran cuando cierras el navegador, mientras que las persistentes permanecen un tiempo determinado (días, meses o incluso años).

Según su origen, las cookies propias vienen del sitio que visitas, mientras que las de terceros vienen de otras empresas (Google Analytics, Facebook, redes publicitarias). Las cookies de terceros son las más problemáticas para la privacidad porque permiten rastrearte a través de múltiples sitios.

Tecnologías similares

La normativa no solo habla de cookies técnicamente, sino de cualquier tecnología similar. Esto incluye los píxeles de seguimiento (imágenes invisibles que registran que abriste un email o visitaste una página), el Local Storage (almacenamiento en tu navegador más persistente que las cookies), el fingerprinting (técnicas que identifican tu dispositivo por sus características únicas) y los beacons. Todas requieren el mismo tratamiento legal.

Normativa aplicable

Las cookies están reguladas por una combinación de normas europeas y españolas. A nivel europeo, la Directiva e-Privacy (2002/58/CE) fue la primera en exigir consentimiento para cookies. El RGPD también aplica cuando las cookies recogen datos personales (casi siempre). Hay una propuesta de Reglamento e-Privacy que lleva años en tramitación y que reforzaría estas normas.

En España, la LSSI (Ley 34/2002) transpone la directiva europea y establece las obligaciones de información y consentimiento. La LOPDGDD complementa el marco. Y la AEPD ha publicado una guía muy detallada sobre cookies que las empresas deben seguir.

Principios básicos

La normativa de cookies se basa en cuatro principios que las webs deben cumplir:

  • Información: Tienen que decirte qué cookies usan, para qué sirven y quién las instala.
  • Consentimiento: Deben pedirte permiso antes de instalar cookies no necesarias.
  • Control: Tienes que poder rechazar o configurar qué cookies aceptas.
  • Transparencia: La política de cookies debe ser accesible y comprensible.

Obligaciones de las webs

Las webs tienen obligaciones claras antes de instalar cookies en tu navegador. No pueden hacerlo "de tapadillo".

Información previa

Antes de pedirte consentimiento, deben informarte de qué cookies utilizan exactamente, para qué sirve cada una, quién las instala (especialmente importante si son cookies de terceros como Google o Facebook), cuánto tiempo permanecen, y cómo puedes rechazarlas o eliminarlas. Esta información debe ser clara y accesible, no enterrada en un documento legal incomprensible.

Consentimiento válido

El consentimiento para cookies tiene que cumplir requisitos estrictos. Debe ser previo (antes de instalar las cookies, no después), informado (que sepas qué estás aceptando), libre (que puedas rechazar sin que te penalicen impidiéndote ver el contenido), específico (poder aceptar unas categorías y rechazar otras) y revocable (poder cambiar de opinión en cualquier momento).

Lo que NO vale como consentimiento

La ley es clara sobre lo que no constituye un consentimiento válido: seguir navegando no es consentir, hacer scroll no es consentir, las casillas premarcadas no valen, los muros de cookies que te obligan a aceptar o irte sin alternativa real son abusivos, y un banner que solo tenga botón de "Aceptar" sin opción de rechazar no cumple la normativa.

Claimeet recomienda

Si un banner de cookies no tiene opción clara de "Rechazar todo", la web está incumpliendo la normativa. Haz captura de pantalla y denúncialo a la AEPD.

Un banner de cookies bien hecho debe tener información clara sobre qué cookies va a usar la web, un botón para aceptar, un botón para rechazar igual de visible que el de aceptar (no escondido o en gris), un enlace a configuración donde elegir por categorías, y un enlace a la política de cookies completa.

Cookies exentas de consentimiento

No todas las cookies necesitan tu permiso. Las cookies estrictamente necesarias están exentas: cookies de sesión para mantener tu navegación, cookies que recuerdan tus preferencias de privacidad (la ironía), cookies del carrito de compra, cookies de seguridad contra ataques CSRF, y cookies técnicas de balanceo de carga. Pero cuidado: muchas webs clasifican como "necesarias" cookies que no lo son para justificar no pedirte permiso.

Tus derechos

Tienes derechos claros frente a las cookies, y las webs están obligadas a respetarlos.

Derecho a rechazar

Puedes rechazar todas las cookies que no sean estrictamente necesarias. La web debe seguir funcionando al menos en lo básico: no pueden impedirte ver el contenido solo porque no aceptas que te rastreen. Si te bloquean por rechazar cookies, probablemente están incumpliendo la normativa.

Derecho a configurar

Tienes derecho a elegir qué categorías de cookies aceptas y cuáles no. Si quieres estadísticas pero no marketing, debe ser posible. Y puedes cambiar tu configuración en cualquier momento: si aceptaste y luego te arrepientes, busca el enlace de "configuración de cookies" (suele estar en el footer de la web).

Derecho de información

Tienes derecho a saber qué cookies usa una web, quién las instala, para qué sirven y cuánto tiempo duran. Esta información debe estar accesible en la política de cookies.

Derecho de acceso y supresión

Sobre los datos que las cookies hayan recogido de ti, tienes los mismos derechos ARCO que sobre cualquier otro dato personal. Puedes pedir acceso para ver qué información tienen, y puedes pedir que la supriman.

Problemas frecuentes

Aunque la normativa es clara, muchas webs la incumplen de formas más o menos sutiles. Estos son los problemas más comunes.

Muros de cookies

Los muros de cookies son pantallas que te impiden acceder al contenido si no aceptas todas las cookies. "Acepta o vete", sin opción real de rechazo. La AEPD los considera generalmente abusivos porque impiden que el consentimiento sea libre: si no tienes alternativa real, no estás consintiendo libremente.

La única excepción aceptada es cuando ofrecen una alternativa genuina, como una suscripción de pago que te permita acceder sin cookies de seguimiento. Pero "acepta cookies o no entras" sin más, es denunciable.

Si te encuentras un muro de cookies, documéntalo con una captura de pantalla y reclama a la AEPD.

Diseño engañoso (dark patterns)

Los dark patterns son trucos de diseño para manipular tu decisión. El más común: botón de "Aceptar todo" grande y llamativo, mientras que "Rechazar" está en gris pequeño, o directamente oculto bajo "Más opciones". Otros trucos incluyen usar colores que destacan aceptar, hacer que configurar sea tan complicado que desistas, o requerir muchos clics para rechazar pero solo uno para aceptar.

Estos diseños engañosos vician el consentimiento y son denunciables. Si una web te dificulta rechazar sus cookies de forma deliberada, está incumpliendo la normativa.

🚨 "Aceptar" grande + "rechazar" pequeño = denuncia

Si el botón de aceptar es verde, grande y en el centro, y el de rechazar es gris, pequeño y hay que buscarlo, eso se llama dark pattern y es ilegal. La ley dice que rechazar debe ser igual de fácil que aceptar. Haz captura mostrando los dos botones y denuncia a la AEPD. Esas webs llevan años abusando de los usuarios porque nadie las denuncia. Sé tú quien lo haga.

No poder rechazar

Si un banner de cookies no tiene opción clara de rechazo, el consentimiento que obtengan no es válido. Es uno de los incumplimientos más evidentes. Haz captura de pantalla del banner y reclama a la AEPD.

Cookies instaladas antes de consentir

Algunas webs instalan cookies antes de que des tu consentimiento. Es una violación directa de la normativa: el consentimiento tiene que ser previo. Puedes detectarlo usando las herramientas de desarrollador de tu navegador (Inspeccionar > Application > Cookies) nada más cargar la página, antes de interactuar con el banner. Si ves cookies de terceros o de marketing ya instaladas, denuncia.

Cómo gestionar cookies

Además de las decisiones que tomas en los banners de cookies de cada web, puedes gestionar las cookies desde tu propio navegador. Esto te da un control adicional sobre qué cookies se almacenan en tu equipo.

En el navegador

Cada navegador tiene su propia forma de gestionar cookies, pero todos permiten bloquearlas, permitirlas o eliminarlas según tus preferencias.

Chrome te permite configurar las cookies en Configuración > Privacidad y seguridad > Cookies y otros datos de sitios. Desde ahí puedes bloquear todas las cookies de terceros, eliminar las cookies existentes, o establecer excepciones para sitios específicos.

Firefox ofrece opciones similares en Preferencias > Privacidad y seguridad > Cookies y datos del sitio. Firefox tiene además una "Protección contra el rastreo mejorada" que bloquea automáticamente cookies de rastreadores conocidos sin que tengas que hacer nada.

Safari es el navegador más restrictivo con las cookies por defecto. En Preferencias > Privacidad puedes gestionar los datos almacenados y bloquear cookies de terceros, que en Safari ya vienen bloqueadas por defecto.

Edge tiene su configuración en Configuración > Cookies y permisos del sitio > Administrar y eliminar cookies. Funciona de forma similar a Chrome, del que deriva.

Extensiones útiles

Las extensiones de navegador añaden una capa extra de protección. Hay varias muy recomendables y todas son gratuitas.

uBlock Origin es un bloqueador general que no solo bloquea publicidad sino también muchos scripts de seguimiento. Es muy eficiente y no ralentiza la navegación. Privacy Badger, desarrollado por la EFF, aprende automáticamente qué rastreadores bloquear basándose en su comportamiento. Cookie AutoDelete elimina las cookies de los sitios que cierras, manteniendo solo las de los sitios que marques como excepciones. Y Ghostery te permite ver exactamente qué trackers tiene cada web y bloquearlos selectivamente.

Estas extensiones se complementan entre sí. Puedes usar varias a la vez sin problemas.

Todos los navegadores tienen un modo de navegación privada (también llamado incógnito). Este modo no guarda cookies, historial ni datos de formularios al cerrar la ventana. Es útil para sesiones puntuales donde no quieres dejar rastro.

Sin embargo, la navegación privada no es anonimato completo. Tu proveedor de internet sigue viendo a qué webs te conectas, y las webs pueden identificarte por otros medios (tu IP, fingerprinting del navegador). Para anonimato real necesitas herramientas adicionales como VPN o Tor.

Cómo reclamar

Si una web no cumple la normativa de cookies, puedes reclamar. El proceso es similar al de otras reclamaciones de protección de datos.

Ante la web

El primer paso es contactar con la propia web. Busca en su política de privacidad los datos del DPO (Delegado de Protección de Datos) o del responsable del tratamiento, e indica claramente cuál es el problema: que el banner no permite rechazar, que instalan cookies antes del consentimiento, que hay dark patterns, o lo que sea. Solicita que corrijan el incumplimiento y guarda copia de tu comunicación por si la necesitas después.

Muchas webs corrigen cuando reciben una queja, especialmente si es de un usuario que claramente conoce la normativa. A veces el problema es simplemente que nadie se había quejado antes.

Ante la AEPD

Si la web no corrige tras tu reclamación, o si el incumplimiento es flagrante y no quieres perder el tiempo, puedes reclamar directamente ante la AEPD. Accede a su sede electrónica y presenta una reclamación específica por incumplimiento de la normativa de cookies. Adjunta capturas de pantalla que demuestren el problema y describe claramente qué está haciendo mal la web.

La AEPD toma en serio las reclamaciones por cookies. Ha impuesto sanciones a empresas conocidas por banners que no permitían rechazar o por instalar cookies sin consentimiento.

Qué documentar

Para que tu reclamación tenga fuerza, documenta bien. Haz una captura del banner de cookies mostrando el problema (si no hay botón de rechazar, si tiene dark patterns). Haz otra captura de las cookies instaladas usando las herramientas de desarrollador del navegador (Inspeccionar > Application > Cookies) antes de interactuar con el banner. Anota la fecha y hora exactas, la URL del sitio, y redacta una descripción clara del incumplimiento que has detectado.

Sanciones

Las sanciones por incumplimiento de la normativa de cookies pueden ser significativas. La AEPD ha sancionado a empresas conocidas, demostrando que este tema se toma en serio.

A empresas españolas

La AEPD ha impuesto multas a varias empresas españolas por incumplimientos relacionados con cookies. Algunos ejemplos conocidos son Vueling con 30.000€ por un banner de cookies deficiente, El Corte Inglés con 3.000€ por incumplimientos menores, EDP con 75.000€ por instalación de cookies sin consentimiento, y Vodafone con 150.000€ por prácticas invasivas de seguimiento.

Estas cifras pueden parecer modestas para grandes empresas, pero recuerda que son casos puntuales. La acumulación de sanciones y el daño reputacional hacen que cada vez más empresas se tomen en serio el cumplimiento.

Criterios de sanción

La AEPD valora varios factores para determinar la cuantía de las sanciones. El número de usuarios afectados es importante: no es lo mismo una web con mil visitas que una con millones. La intencionalidad también cuenta: un error por desconocimiento se trata diferente que un diseño deliberadamente engañoso. El tipo de datos recogidos importa: cookies de marketing son más graves que cookies estadísticas. La reincidencia agrava la sanción si ya hubo advertencias previas. Y las medidas correctoras adoptadas tras detectar el problema pueden atenuar la multa.

🧠 Hack del inspector: píllales con las manos en la masa

Abre una web. Antes de tocar el banner de cookies, pulsa F12 → Application → Cookies. Si ya hay cookies de Google Analytics, Facebook o cualquier tracker de terceros, te la han colado antes de que consintieras. Eso es ilegal. Haz captura con la lista de cookies visible y la fecha/hora. Ya tienes prueba directa para la AEPD. No es complicado: clic derecho → Inspeccionar → Application → Cookies. Tres segundos y les pillas.

Cookies y publicidad

Las cookies son la base tecnológica de la publicidad online personalizada. Entender cómo funcionan te ayuda a decidir si quieres aceptarlas o no.

Publicidad comportamental

La publicidad comportamental usa tu historial de navegación para mostrarte anuncios "personalizados". Las cookies de seguimiento registran qué páginas visitas, qué productos miras, qué búsquedas haces. Con esa información, las redes publicitarias construyen un perfil de tus intereses y te muestran anuncios que creen que te interesarán.

Este tipo de publicidad requiere tu consentimiento explícito. Si rechazas las cookies de marketing, no deberían poder rastrearte para publicidad comportamental.

Retargeting

El retargeting es esa sensación de que los anuncios te "persiguen". Visitas una tienda online, miras unos zapatos, y durante días ves anuncios de esos mismos zapatos en todas las webs que visitas. Son cookies de terceros que te identifican y recuerdan qué productos miraste.

Para muchas personas, el retargeting es lo más molesto de las cookies. La buena noticia es que puedes bloquearlo fácilmente rechazando las cookies de marketing en los banners o usando extensiones de navegador que bloquean trackers de terceros.

Alternativas a cookies de terceros

El sector publicitario está evolucionando porque las cookies de terceros tienen los días contados. Google anunció que Chrome las eliminará, y Safari y Firefox ya las bloquean por defecto.

Las alternativas que están surgiendo incluyen el Privacy Sandbox de Google, que intenta permitir publicidad sin seguimiento individual, las cookies de primera parte que solo funcionan en el sitio que las instala, la publicidad contextual que muestra anuncios basados en el contenido de la página y no en tu historial, y diversos identificadores alternativos que el sector está desarrollando.

El futuro de la publicidad online probablemente será menos invasivo que el actual, aunque queda por ver cómo de privadas serán realmente las nuevas tecnologías.

Consejos prácticos

Proteger tu privacidad frente a las cookies es una combinación de buenas decisiones en el momento y configuración preventiva de tus herramientas.

Para navegar con más privacidad

La primera línea de defensa es rechazar cookies no necesarias cada vez que veas un banner. Lleva un poco más de tiempo que aceptar todo, pero merece la pena. Usa extensiones de privacidad como las que mencionamos antes para bloquear trackers automáticamente. Borra las cookies periódicamente desde la configuración de tu navegador, o usa una extensión que lo haga automáticamente. Para compras o gestiones sensibles, usa la navegación privada para empezar con una sesión limpia. Y de vez en cuando, revisa la configuración de tu navegador para asegurarte de que no has relajado la protección sin darte cuenta.

Si te preocupa especialmente el rastreo

Si quieres ir más allá de lo básico, hay opciones adicionales. Puedes usar buscadores alternativos como DuckDuckGo que no rastrean tus búsquedas. Puedes cambiar a navegadores centrados en privacidad como Brave o Firefox, que tienen protecciones más agresivas que Chrome. Una VPN oculta tu dirección IP real, haciendo más difícil identificarte. Y para sitios sospechosos, puedes bloquear JavaScript completamente, aunque esto romperá la funcionalidad de muchas webs.

Equilibrio funcionalidad-privacidad

No hace falta ser un paranoico digital para proteger tu privacidad. Un equilibrio razonable es aceptar las cookies técnicas (son necesarias para que las webs funcionen), rechazar siempre marketing y estadísticas (no aportan nada a tu experiencia), y configurar excepciones para sitios de confianza donde quieras mantener sesión iniciada o preferencias guardadas.

Claimeet recomienda

Instala una extensión como uBlock Origin o Privacy Badger en tu navegador. Bloquean rastreadores automáticamente y te ahorran tener que rechazar cookies en cada web que visitas.

Con estas prácticas básicas ya estarás mucho mejor protegido que la mayoría de usuarios que hacen clic en "Aceptar todo" sin pensar.

Preguntas frecuentes

¿Puedo navegar sin aceptar cookies?

Sí, las webs deben funcionar sin cookies no esenciales. Puede que pierdas algunas funciones, pero el contenido básico debe ser accesible.

¿Qué pasa si acepto y luego me arrepiento?

Puedes cambiar tu configuración en cualquier momento. Busca el enlace "Configuración de cookies" (suele estar en el footer) o borra las cookies desde el navegador.

¿Las cookies son peligrosas?

Las cookies en sí no son malware. El riesgo está en el seguimiento de tu comportamiento para crear perfiles y mostrar publicidad personalizada.

¿Por qué tantos avisos de cookies?

Porque la ley europea obliga a informar y pedir consentimiento. Antes se instalaban sin que lo supieras.

Conclusión

Las cookies de rastreo necesitan tu consentimiento, y rechazarlas es tu derecho, no una molestia que debes tolerar. Los diseños engañosos que te presionan para aceptar son denunciables. Los muros de cookies que te impiden acceder son generalmente abusivos. Y si una web no respeta tus decisiones, puedes reclamar a la AEPD.

La privacidad online es un derecho fundamental. No te sientas obligado a aceptar cookies que no quieres solo porque el banner está diseñado para confundirte. Usa las herramientas de tu navegador, instala extensiones de privacidad, y denuncia cuando veas incumplimientos claros.

Para saber más

  • RGPD - El marco legal de protección de datos
  • Spam - Si las cookies se usan para enviarte publicidad
  • Denunciar a la AEPD - Cómo reclamar por cookies ilegales
Eduardo Lázaro

Sobre el autor

Eduardo Lázaro

Ingeniero de software y entusiasta del análisis de procesos legales y de consumo. Con una trayectoria vinculada a la arquitectura de información desde 2003, Eduardo aplica la lógica para desglosar normativas complejas en guías accesibles. Ha colaborado con varias organizaciones en la defensa de los derechos de los usuarios y la transparencia digital.

Ver perfil | edulazaro.com
Anterior
Derecho al olvido
Siguiente
Spam

Configuración de Cookies

Utilizamos cookies propias y de terceros para analizar el uso de la web, personalizar contenido y mostrarte publicidad relevante. Puedes aceptar todas las cookies o configurar tus preferencias. Más información

Preferencias de Cookies

Cookies Esenciales

Siempre activas

Necesarias para el funcionamiento básico del sitio. Incluyen cookies de sesión, autenticación y seguridad. No se pueden desactivar.

Cookies de Análisis

Nos ayudan a entender cómo interactúas con la web, qué páginas visitas y detectar posibles problemas técnicos. Usamos esta información para mejorar nuestros servicios.

Cookies de Marketing

Permiten mostrarte anuncios relevantes basados en tus intereses. También se utilizan para limitar el número de veces que ves un anuncio y medir la efectividad de las campañas.

Cookies Funcionales

Permiten funcionalidades mejoradas como recordar tus preferencias, idioma o región. Sin estas cookies, algunos servicios pueden no funcionar correctamente.

Ver Política de Cookies completa