Política de Cookies España

La Política de Cookies es, en España, el documento interno de obligado cumplimiento regulado por Ley 34/2002 LSSI (art. 22.2), que fija las reglas y procedimientos que la organización debe observar.

El Artículo 22.2 LSSI establece la regla fundamental: los prestadores de servicios solo pueden almacenar o acceder a equipos terminales (incluidas las cookies) tras obtener el consentimiento informado del usuario, salvo en el caso de las cookies estrictamente necesarias para la prestación de un servicio expresamente solicitado por el usuario (cookies técnicas exentas). La Agencia Española de Protección de Datos (AEPD) es la autoridad de control responsable de supervisar el cumplimiento de la normativa de cookies en España, y ha publicado directrices detalladas — entre ellas la Guía sobre el uso de las cookies (2019, actualizada en 2021) — que establecen el estándar de consentimiento exigido y la información que debe facilitarse.

La Guía de la AEPD establece que el consentimiento válido para las cookies no esenciales debe ser: libre — no condicionado al acceso al servicio; específico — otorgado por separado para cada finalidad y categoría de cookie; informado — prestado tras recibir información clara y accesible; e inequívoco — expresado mediante una acción afirmativa (clic o activación de interruptor), nunca mediante el desplazamiento por la página, la navegación continuada o casillas premarcadas. Este estándar es más estricto que el régimen anterior de la LSSI y se alinea con la sentencia del Tribunal de Justicia de la UE en el asunto Planet49 (C-673/17, de 1 de octubre de 2019).

La normativa española de cookies distingue entre cookies por finalidad — técnicas, de personalización, analíticas, publicitarias y de redes sociales — y por duración — de sesión, que expiran al cerrar el navegador, y persistentes, que permanecen durante un período determinado. La Política de Cookies debe describir cada categoría utilizada en el sitio, identificar las cookies específicas de cada categoría (o al menos facilitar una tabla de cookies), indicar su duración e identificar la entidad responsable (propia o de terceros, como Google Analytics, Meta Pixel o LinkedIn Insight Tag).

Desde 2021, la AEPD y el Comité Europeo de Protección de Datos (CEPD) han considerado que Google Analytics constituye una cookie que transfiere datos personales a Estados Unidos, planteando dudas de adecuación tras la sentencia Schrems II (Asunto C-311/18, de 16 de julio de 2020). La AEPD ha advertido a sitios web españoles que utilizan Google Analytics sin las salvaguardias de transferencia adecuadas. Una Política de Cookies para sitios web españoles debe abordar las transferencias internacionales de datos y su base jurídica — ya sea mediante cláusulas contractuales tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 o en el marco del acuerdo UE-EE.UU. Marco de Privacidad de Datos adoptado en 2023.

La Política de Cookies España es legalmente obligatoria para cualquier sitio web o aplicación móvil que utilice cookies o tecnologías de seguimiento similares y sea accesible a usuarios en España o en la Unión Europea.

Se exige una Política de Cookies para cualquier tienda online que opere bajo la Ley 34/2002 LSSI — ya venda bienes, productos digitales o servicios — que utilice cookies de sesión para la gestión del carrito, cookies analíticas para la medición del tráfico o cookies publicitarias para campañas de remarketing.

La política es obligatoria para cualquier web corporativa de una sociedad limitada, sociedad anónima o autónomo español que utilice herramientas de analítica como Google Analytics, Adobe Analytics o Matomo, o plugins de redes sociales conectados a plataformas como LinkedIn, Facebook, Twitter o Instagram.

Se necesita una Política de Cookies para plataformas SaaS, aplicaciones móviles y portales web que usen cookies para la gestión de sesiones, autenticación de usuarios, pruebas A/B o personalización — incluso cuando los usuarios principales sean empresas (B2B), ya que el RGPD y la LSSI se aplican siempre que se traten datos personales de personas físicas.

La política es necesaria cuando un sitio web utiliza redes publicitarias de terceros — incluidas Google Ads, Meta Ads o plataformas de publicidad programática — que instalan cookies de terceros para segmentación por intereses, seguimiento de conversiones o construcción de audiencias entre sitios.

Se requiere una actualización de la Política de Cookies cuando el sitio web añade nuevas cookies, cambia de proveedor de analítica, actualiza la duración de las cookies o cambia la plataforma de gestión del consentimiento (CMP) — la AEPD exige que la política refleje en todo momento el despliegue real de cookies, y las políticas desactualizadas pueden considerarse declaraciones no conformes.

Las partes en España deben elaborar la Política de Cookies de forma proactiva, sin esperar a que surja una controversia. La LSSI y el RGPD se aplican a todos los responsables del tratamiento establecidos en España o que traten datos de residentes en la UE. La AEPD puede imponer multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global por infracciones del RGPD.

Una Política de Cookies España válida conforme al Artículo 22.2 LSSI y al RGPD debe contener los siguientes elementos esenciales para satisfacer los estándares de la AEPD y evitar sanciones administrativas.

Definición de Cookies: Una explicación clara de qué son las cookies — pequeños archivos almacenados en el dispositivo terminal del usuario (ordenador, tablet, teléfono móvil) por los sitios web visitados — y cómo funcionan, adecuada para usuarios no técnicos conforme al principio de transparencia del RGPD (Artículo 5.1(a) y Artículo 13 RGPD).

Tabla de Cookies: Una tabla exhaustiva que enumere cada cookie desplegada en el sitio web, especificando: nombre de la cookie, finalidad, categoría, duración (de sesión o persistente con fecha exacta de expiración) y la entidad responsable (propia o de terceros identificados). La Guía de la AEPD exige que la política permita a los usuarios conocer exactamente qué cookies están activas en el sitio.

Categorías de Cookies: Categorización clara por finalidad, coherente con las directrices de la AEPD: (1) Cookies estrictamente necesarias / técnicas — esenciales para el funcionamiento del sitio, exentas de consentimiento; (2) Cookies de preferencias / personalización — recuerdan la configuración del usuario; (3) Cookies analíticas — recopilan datos de tráfico agregados; (4) Cookies publicitarias / de seguimiento — para publicidad basada en intereses; (5) Cookies de redes sociales — permiten compartir contenidos e inicio de sesión social.

Mecanismo de Consentimiento: Descripción de la plataforma de gestión del consentimiento (CMP) utilizada, con explicación de cómo los usuarios otorgan, rechazan o retiran su consentimiento para cada categoría. Conforme a las directrices de la AEPD, el banner de consentimiento debe ofrecer una opción de rechazo de las cookies no esenciales con igual prominencia que la opción de aceptación — "rechazar todo" debe ser tan accesible como "aceptar todo".

Base Jurídica: Para cada categoría de cookies, la base jurídica conforme al Artículo 6 RGPD — consentimiento (Artículo 6.1(a)) para las cookies no esenciales; el interés legítimo (Artículo 6.1(f)) puede aplicarse en casos limitados pero requiere un test de ponderación documentado en el Registro de Actividades de Tratamiento de la empresa conforme al Artículo 30 RGPD.

Cookies de Terceros: Identificación de cada proveedor de cookies de terceros con enlace a su política de privacidad y cookies. Para proveedores establecidos fuera de la UE (p. ej., Google, Meta, LinkedIn), debe indicarse el mecanismo de transferencia internacional de datos — cláusulas contractuales tipo adoptadas conforme a la Decisión (UE) 2021/914, el Marco de Privacidad de Datos UE-EE.UU. u otras garantías adecuadas del Artículo 46 RGPD.

Derechos de los Usuarios: Declaración de los derechos de los usuarios conforme a los artículos 15 a 22 RGPD — acceso, rectificación, supresión, limitación, portabilidad y oposición — y el procedimiento para ejercerlos a través del contacto de protección de datos de la empresa. Forms-legal.com ofrece esta plantilla de Política de Cookies España como punto de partida práctico. La AEPD recomienda que los sitios web españoles realicen una auditoría de cookies antes de publicar la política para confirmar que refleja fielmente todas las cookies desplegadas.

Base juridica del consentimiento: El consentimiento para cookies no esenciales debe ser libre, especifico, informado e inequivoco conforme al articulo 7 RGPD y al articulo 22.2 LSSI. El rechazo de cookies no puede suponer una penalizacion significativa para el usuario — la Agencia Espanola de Proteccion de Datos (AEPD) ha sancionado a webs que condicionaban el acceso al contenido a la aceptacion de cookies. Los mecanismos de consent management platform (CMP) deben registrar la evidencia del consentimiento y permitir su revocacion en cualquier momento con la misma facilidad con que se otorgo.

Forms-legal.com proporciona este modelo de Politica de Cookies Espana como punto de partida. Dado que la normativa de cookies evoluciona continuamente con nuevas directrices de la AEPD y del Comite Europeo de Proteccion de Datos (CEPD), se recomienda la revision anual de la politica y la consulta con un especialista en derecho digital o un Delegado de Proteccion de Datos (DPO) para garantizar el cumplimiento actualizado del RGPD y la LSSI. La plataforma forms-legal.com ofrece esta plantilla adaptada a la legislación española vigente para facilitar la elaboración de este documento con todas las garantías legales.