Guía AEPD de cookies 2026: checklist de 12 puntos para cumplir sin sustos

La Agencia Española de Protección de Datos (AEPD) publicó en julio de 2023 la actualización de su Guía de Cookies, que sigue vigente en 2026 con pequeñas matizaciones. Es el documento que los inspectores de la AEPD usan como checklist cuando auditan una web.

Aquí tienes los 12 puntos clave en formato verificable, con la lógica de implementación al lado.

1. Consentimiento previo y específico

Antes de instalar cualquier cookie no estrictamente necesaria, debes obtener consentimiento explícito por finalidad.

Implementación: bloquea todos los scripts de terceros con type="text/plain" y libéralos sólo cuando el CMP confirme el consentimiento para esa categoría.

2. Rechazo equivalente al aceptar

"Rechazar" y "Aceptar" deben tener la misma visibilidad, mismo nivel y mismo número de clics.

Implementación: dos botones, mismo tamaño, mismo color contraste, mismo z-index. No uses gris claro para "Rechazar" y rojo brillante para "Aceptar".

3. Granularidad por finalidad

El usuario debe poder aceptar analítica pero rechazar marketing desde el primer banner.

Implementación: tres a cinco categorías visibles: estrictamente necesarias, preferencias, analítica, marketing, redes sociales. Cada una con interruptor independiente.

4. Información completa antes del consentimiento

Identidad del responsable, finalidades, terceros, plazos y derechos.

Implementación: link a política de cookies + resumen en el propio banner. La política debe enumerar cookie a cookie.

5. Sin aceptación implícita por navegación

Seguir navegando no es consentimiento. Cerrar el banner sin clic explícito no es consentimiento.

Implementación: el banner queda persistente. Hasta que el usuario hace clic en "Aceptar" o "Rechazar", no se carga nada.

6. Revocación tan fácil como el consentimiento

El usuario debe poder cambiar de opinión con la misma facilidad.

Implementación: icono persistente (esquina, footer) que reabre el panel. Atajo en footer "Configurar cookies".

7. Sin cookie walls que bloqueen contenido

La AEPD considera abusivo bloquear el contenido al usuario que rechaza cookies no necesarias.

Implementación: si rechazan, el contenido sigue funcionando. Sólo se desactivan trackers.

8. Política de cookies por finalidad y actualizada

Inventario detallado: nombre, proveedor, finalidad, duración.

Implementación: escáner automático que rastrea tu web y reescribe la política cuando cambian las cookies.

9. Registro forense del consentimiento

Demostrable en caso de inspección.

Implementación: cada consentimiento genera un registro con timestamp UTC, hash de IP (no IP en claro), versión del banner y choices. Exportable a PDF firmado.

10. Re-solicitud cada 24 meses como máximo

El consentimiento caduca.

Implementación: configura tu CMP para re-mostrar el banner si han pasado 12-24 meses desde el último consentimiento.

11. Compatibilidad con DSR

Acceso, rectificación, supresión, oposición, portabilidad, limitación.

Implementación: el panel del banner debe ofrecer "Descargar mis datos" y "Eliminar mi consentimiento".

12. Transferencias internacionales documentadas

Si una cookie envía datos fuera de la UE, debes informar y aplicar garantías.

Implementación: la política indica la jurisdicción de cada proveedor y la base de la transferencia (cláusulas tipo, decisión de adecuación, etc.).

Cómo verificarlo en tu web ahora mismo

1. Abre tu web en modo incógnito.
2. Abre DevTools → Application → Cookies antes de hacer clic en el banner.
3. ¿Hay cookies de _ga, _gid, _fbp, IDE, NID? Estás incumpliendo el punto 1.
4. ¿Hay un botón "Rechazar todas" en la primera capa? Si no, incumples el 2.
5. ¿Puedes aceptar analítica y rechazar marketing? Si no, incumples el 3.

CookieSafe cubre los 12 puntos por defecto. Ya, sin configurar nada.