Saltar al contenido
CookieSafe
Empezar gratis

2 de marzo de 2026 · 3 min read · Equipo legal CookieSafe

DSR para cookies: cómo gestionar derechos del interesado en tu CMP

Acceso, rectificación, supresión, oposición, portabilidad y limitación aplicados a registros de consentimiento de cookies. Plazos, procedimiento y cómo automatizarlo.

Los Data Subject Rights (DSR) son los seis derechos que el RGPD reconoce al interesado: acceso, rectificación, supresión, oposición, portabilidad y limitación. Las cookies generan datos personales (al menos el hash de IP, el ID de consentimiento y a veces más) y por tanto están sujetas a estos derechos.

Plazos legales

| Derecho | Plazo | Excepción | | --- | --- | --- | | Acceso | 1 mes | Prorrogable a 3 si es complejo | | Rectificación | 1 mes | — | | Supresión | 1 mes | Si hay obligación legal de conservar | | Oposición | Inmediata | — | | Portabilidad | 1 mes | Sólo datos proporcionados directamente | | Limitación | Inmediata | — |

Si lo gestionas a mano, una solicitud te puede llevar 2-3 horas entre buscar logs, exportar, anonimizar y responder. Si tienes 100 webs (agencia), multiplica.

Qué información debes poder dar

Para una solicitud de acceso a registros de consentimiento de cookies:

  • ID anónimo de consentimiento.
  • Hash de IP (no IP en claro — clave: si guardas IP en claro tienes otro problema).
  • User-agent.
  • Timestamp UTC del consentimiento.
  • Versión del banner mostrada.
  • Choices: qué categorías aceptó y cuáles rechazó.
  • Histórico de revocaciones / cambios.

CookieSafe expone todo esto en un único PDF firmado, generado en menos de 30 segundos desde el panel.

Cómo lo gestiona CookieSafe

Desde el banner

El propio panel de configuración tiene un enlace "Mis datos" que permite al usuario:

  1. Descargar un JSON con su historial de consentimiento.
  2. Suprimir todos los registros asociados a su navegador/dispositivo.
  3. Oponerse al tratamiento (equivalente a "Rechazar todas" persistente).

Desde el panel del administrador

Si el usuario te contacta por email, buscas por hash de email o por ID y resuelves con un clic. Plazo total: 30 segundos en lugar de horas.

Auditoría descargable

Cada acción DSR queda registrada con timestamp y usuario administrador que la ejecutó. La AEPD puede verificar que respondes en plazo.

Errores típicos

  1. No responder en 1 mes. La AEPD multa por silencio administrativo del responsable.
  2. Responder con IP en claro. Si guardas IP sin hashear y la incluyes en la respuesta, expones al titular.
  3. No tener procedimiento documentado. En auditoría te piden el procedimiento, no sólo el log.
  4. No incluir histórico de revocaciones. Si el usuario aceptó hace un año y rechazó hace 3 meses, ese cambio cuenta.

Cómo hacer un procedimiento mínimo viable

  1. Buzón único: privacidad@tudominio.com o similar.
  2. Plantilla de respuesta preparada (acceso, supresión, rectificación).
  3. Plazo interno de 20 días (no apurar el mes legal).
  4. Herramienta que centralice logs de consentimiento (CMP).
  5. Registro de auditoría de las solicitudes recibidas y respondidas.

Con CookieSafe los puntos 4 y 5 vienen hechos. Los demás los configuras una vez y olvidas.

Compartir:Twitter / XLinkedInEmail

Cubre tu riesgo desde 0 €/mes

Activa el banner CookieSafe en tu web hoy mismo. Sin tarjeta. Sin permanencia. Compliance AEPD desde el primer minuto.