Cookie Policy Spain (Política de Cookies)
POLÍTICA DE COOKIES
[Company Name] — [Website URL]
Última actualización: [Policy Date]
1. RESPONSABLE DEL TRATAMIENTO
Denominación social: [Company Name]
NIF/CIF: [Company NIF]
Domicilio: [Company Address]
Email de contacto para protección de datos: [Contact Email]
2. ¿QUÉ SON LAS COOKIES?
Las cookies son pequeños archivos de texto que los sitios web instalan en el dispositivo del usuario (ordenador, tablet, teléfono móvil) cuando este los visita. Permiten al sitio web recordar información sobre la visita y mejorar la experiencia de navegación. La presente Política de Cookies se rige por el artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI), el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), y la Ley Orgánica 3/2018 (LOPDGDD).
3. GESTIÓN DEL CONSENTIMIENTO
Puede gestionar, aceptar o rechazar las cookies no esenciales en cualquier momento a través de nuestra plataforma de gestión del consentimiento: [CMP Name]. El rechazo de cookies no técnicas no afecta al funcionamiento básico del sitio. Conforme a las directrices de la AEPD (Guía sobre el uso de las cookies, 2021), el consentimiento debe ser libre, específico, informado e inequívoco.
4. DERECHOS DEL USUARIO
Tiene derecho a acceder, rectificar, suprimir, limitar el tratamiento y portabilidad de sus datos personales conforme a los artículos 15 a 22 del RGPD. Para ejercer sus derechos, contacte con: [Contact Email]. También tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).
What Is a Cookie Policy Spain (Política de Cookies)?
A Cookie Policy Spain (Política de Cookies) is a mandatory legal disclosure document that explains to users of a website or mobile application which cookies and similar tracking technologies the site deploys, the purposes for which they are used, the third parties who may access the data collected, and how users can consent to or refuse cookies — governed principally by Article 22.2 of the Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), which transposes Article 5(3) of the ePrivacy Directive 2002/58/CE into Spanish law, and by the Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) and its Spanish implementing statute, the Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Article 22.2 LSSI establishes the core rule: service providers may only store or access terminal equipment (including cookies) after obtaining the user's informed consent, except for cookies that are strictly necessary for the provision of a service expressly requested by the user (exempted technical cookies). The Agencia Española de Protección de Datos (AEPD) is the supervisory authority responsible for enforcing cookie compliance in Spain, and has published detailed guidelines — including the Guía sobre el uso de las cookies (2019, updated 2021) — setting out the standard of consent required and the information that must be provided.
The AEPD's Guía sobre el uso de las cookies establishes that valid consent for non-essential cookies must be: freely given (libre) — not conditioned on access to the service; specific (específico) — granted separately for each purpose and category of cookie; informed (informado) — given after the user has received clear and accessible information about the cookies; and unambiguous (inequívoco) — expressed through an affirmative act (a click or toggle), not through scrolling, continuing to browse, or pre-ticked boxes. This standard is stricter than the prior LSSI consent regime and aligns with the Tribunal de Justicia de la UE ruling in Planet49 (Case C-673/17, 1 October 2019).
Spanish cookie law distinguishes between cookies by purpose — technical cookies (técnicas), personalisation cookies (de personalización), analytical cookies (de análisis), advertising cookies (publicitarias), and social media cookies (de redes sociales) — and by duration — session cookies (de sesión) that expire when the browser is closed, and persistent cookies (persistentes) that remain for a defined period. The Política de Cookies must describe each category deployed on the site, name the specific cookies in each category (or at minimum provide a table of cookies), state their duration, and identify the responsible entity (whether first-party or third-party, such as Google Analytics, Meta Pixel, or LinkedIn Insight Tag).
Since 2021, the AEPD and the European Data Protection Board (EDPB) have treated Google Analytics as a cookie that transfers personal data to the United States, raising adequacy concerns following the Schrems II decision (Data Protection Commissioner v Facebook Ireland, Case C-311/18, 16 July 2020). The AEPD has issued warnings to Spanish websites using Google Analytics without adequate transfer safeguards. A Política de Cookies for Spanish websites must address international data transfers (transferencias internacionales de datos) and the legal basis for such transfers — whether under EU Standard Contractual Clauses (cláusulas contractuales tipo) approved by Decisión de Ejecución (UE) 2021/914, or under the EU-US Data Privacy Framework adopted in 2023.
When Do You Need a Cookie Policy Spain (Política de Cookies)?
A Cookie Policy Spain is legally required for any website or mobile application that uses cookies or similar tracking technologies and is accessible to users in Spain or the European Union.
A Política de Cookies is required for any e-commerce website (tienda online) operating under the Ley 34/2002 LSSI — whether selling goods, digital products, or services — that uses session cookies for cart management, analytical cookies for traffic measurement, or advertising cookies for remarketing campaigns.
The policy is required for any corporate website (web corporativa) of a Spanish sociedad limitada, sociedad anónima, or autónomo that deploys analytics tools such as Google Analytics, Adobe Analytics, or Matomo, or social media plugins connecting to platforms such as LinkedIn, Facebook, Twitter, or Instagram.
A Política de Cookies is needed for software-as-a-service (SaaS) platforms, mobile applications, and web portals that use cookies for session management, user authentication, A/B testing, or personalisation — even where the primary users are business customers (B2B), since the RGPD and LSSI apply whenever personal data of natural persons is processed.
The policy is required when a website uses third-party advertising networks — including Google Ads, Meta Ads, or programmatic advertising platforms — that deploy third-party cookies for interest-based targeting, conversion tracking, or cross-site audience building.
A Política de Cookies update is needed when a website adds new cookies, changes analytics providers, updates cookie durations, or changes the consent management platform (CMP) it uses — the AEPD expects the policy to reflect the current actual cookie deployment at all times, and outdated policies may be treated as non-compliant disclosures.
Parties in Spain should prepare a Cookie Policy Spain (Política de Cookies) proactively rather than waiting for a dispute to arise. Courts interpret agreements based on the written terms rather than oral representations. Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255. Where the transaction involves regulated activities, prior approval from the relevant authority may be required before execution.
What to Include in Your Cookie Policy Spain (Política de Cookies)
A valid Cookie Policy Spain under LSSI Article 22.2 and RGPD must contain the following essential elements to satisfy AEPD enforcement standards and avoid administrative sanctions.
Definition of Cookies: A clear explanation of what cookies are — small files stored on the user's terminal device (ordenador, tablet, teléfono móvil) by websites visited — and how they work, suitable for non-technical users as required by the RGPD transparency principle (Article 5.1(a) RGPD and Article 13 RGPD).
Cookie Table: A thorough table listing each cookie deployed on the website, specifying: cookie name, purpose, category, duration (session or persistent with exact expiry), and the entity responsible (first-party or named third-party provider). The AEPD Guía requires that the policy enable users to understand exactly which cookies are active on the site.
Cookie Categories: Clear categorisation of cookies by purpose, consistent with AEPD guidance: (1) Strictly necessary / technical cookies (cookies estrictamente necesarias / técnicas) — essential for the site to function, exempt from consent; (2) Functional / personalisation cookies (cookies de preferencias / personalización) — remember user settings; (3) Analytical / measurement cookies (cookies analíticas) — collect aggregated traffic data; (4) Advertising / targeting cookies (cookies publicitarias / de seguimiento) — for interest-based advertising; (5) Social media cookies (cookies de redes sociales) — enable sharing and social login.
Consent Mechanism: Description of the consent management platform (CMP — plataforma de gestión del consentimiento) used, including how users grant, refuse, or withdraw consent for each category. Under AEPD guidance, the consent banner must offer a clear option to reject non-essential cookies with equal prominence to the accept option — 'reject all' must be as easy to access as 'accept all'.
Legal Basis: For each cookie category, the legal basis under Article 6 RGPD — consent (Article 6.1(a)) for non-essential cookies; legitimate interest (Article 6.1(f)) may apply in limited cases but requires a balancing test documented in the company's Registro de Actividades de Tratamiento under Article 30 RGPD.
Third-Party Cookies: Identification of each third-party cookie provider with a link to their privacy and cookie policy. For providers based outside the EU (e.g. Google, Meta, LinkedIn), the international data transfer mechanism must be stated — Standard Contractual Clauses (cláusulas contractuales tipo) adopted under EU Decision 2021/914, the EU-US Data Privacy Framework, or other appropriate safeguards under Article 46 RGPD.
User Rights: A statement of users' rights under Articles 15 to 22 RGPD — access, rectification, erasure, restriction, portability, and objection to processing — and the procedure for exercising them through the company's data protection contact. Forms-legal.com provides this Cookie Policy Spain template as a practical starting point. The AEPD recommends that Spanish websites conduct a cookie audit (auditoría de cookies) before publishing the policy to confirm it accurately reflects all cookies deployed.
Under Spanish data protection and digital services law, the Agencia Española de Protección de Datos (AEPD) enforces RGPD and LSSI obligations and may impose fines of up to €20 million or 4% of global annual turnover under RGPD Article 83. The LOPDGDD (Ley Orgánica 3/2018) supplements the RGPD in Spain. The ePrivacy Directive (Directiva 2002/58/CE) and its Spanish transposition govern electronic communications privacy.
Additional compliance elements for a Cookie Policy Spain (Política de Cookies) used in Spain include: Under the Ley de Sociedades de Capital (LSC) RDL 1/2010, the Registro Mercantil maintains the register of Spanish companies. The Código de Comercio 1885 governs commercial obligations. The Agencia Estatal de Administración Tributaria (AEAT) administers Impuesto sobre Sociedades (IS) under Ley 27/2014. The Comisión Nacional de los Mercados y la Competencia (CNMC) enforces competition law. The Código Civil governs general contractual obligations under Article 1255. Forms-legal.com provides this template as a starting point for Spain-compliant documentation.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Cookie Policy Spain (Política de Cookies) (Spain) [Legal document template]. Forms Legal. https://forms-legal.com/espana/business/policies/cookie-policy-spain
"Cookie Policy Spain (Política de Cookies) (Spain)." Forms Legal, 2026, https://forms-legal.com/espana/business/policies/cookie-policy-spain.
@misc{formslegal-cookie-policy-spain,
author = {{Forms Legal}},
title = {Cookie Policy Spain (Política de Cookies) (Spain)},
year = {2026},
howpublished = {\url{https://forms-legal.com/espana/business/policies/cookie-policy-spain}},
note = {Free legal document template}
}
Frequently Asked Questions
Conforme al artículo 22.2 de la Ley 34/2002 LSSI y las directrices de la AEPD, las cookies estrictamente necesarias (técnicas) están exentas del requisito de consentimiento. Son las cookies imprescindibles para la prestación de un servicio expresamente solicitado por el usuario — incluidas: cookies de sesión para mantener el estado de inicio de sesión, cookies del carrito de compra, cookies de balanceo de carga, cookies de seguridad para prevenir ataques CSRF, y cookies que almacenan las preferencias de consentimiento del usuario. El criterio es estricto: la cookie debe ser necesaria para un servicio específicamente solicitado por el usuario, no simplemente para la conveniencia del operador del sitio. Las cookies analíticas — incluso cuando se utilizan exclusivamente para mejorar el rendimiento del sitio — no están exentas de consentimiento según la doctrina de la AEPD, aunque el organismo ha señalado que las cookies analíticas con determinadas medidas de anonimización pueden considerarse de menor riesgo.
La Guía sobre el uso de las cookies de la AEPD (actualizada en 2021) establece que el consentimiento válido para cookies no esenciales en España debe cumplir los cuatro criterios del RGPD: debe ser libre (no condicionado al acceso al servicio), específico (por finalidad y categoría de forma separada), informado (otorgado tras recibir información clara) e inequívoco (mediante una acción afirmativa). En la práctica, esto significa: (1) el banner de consentimiento debe ofrecer una opción de «rechazar todo» con igual prominencia y accesibilidad que la de «aceptar todo» — ocultar la opción de rechazo en un menú secundario no cumple el estándar; (2) las casillas premarcadas, la navegación continuada o el desplazamiento por la página no constituyen consentimiento válido; (3) el usuario debe poder retirar su consentimiento con la misma facilidad con que lo otorgó. La AEPD ha sancionado a empresas como Google Spain, Vueling y Telepizza por banners de cookies no conformes que no ofrecían una opción clara de rechazo.
Las sanciones administrativas por incumplimiento de la normativa de cookies en España son impuestas por la AEPD bajo dos marcos normativos que se solapan. Conforme al RGPD (artículo 83), las infracciones de las disposiciones de transparencia y consentimiento pueden conllevar multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual global, la cuantía que resulte superior. Conforme a la LSSI, el artículo 38 clasifica la falta de consentimiento para las cookies como infracción leve (multas hasta 30.000 euros) o grave (multas hasta 150.000 euros). En la práctica, la AEPD aplica el marco del RGPD para las infracciones relacionadas con la protección de datos (tratamiento de datos personales sin consentimiento válido) y el marco de la LSSI para los incumplimientos procedimentales de divulgación. La AEPD investiga las reclamaciones de usuarios sobre cookies y puede también realizar actuaciones de oficio mediante herramientas automatizadas de escaneo de cookies. Las infracciones reiteradas o las que afectan a un número elevado de usuarios comportan sanciones más elevadas.
Sí. La AEPD ha confirmado que Google Analytics constituye una cookie que requiere consentimiento en España por dos razones independientes: (1) despliega cookies analíticas no esenciales que tratan datos personales (direcciones IP, identificadores de dispositivo, patrones de navegación) para los que se requiere consentimiento del RGPD conforme al artículo 6.1(a); (2) Google Analytics transfiere datos personales a servidores de Google LLC en Estados Unidos, lo que la AEPD (siguiendo las directrices del CEPD y la sentencia Schrems II) ha considerado una transferencia internacional potencialmente arriesgada que requiere salvaguardias adecuadas. Los sitios web que usan Google Analytics deben incluirlo en su tabla de cookies, obtener consentimiento previo antes de cargarlo y documentar la salvaguardia de transferencia — habitualmente el Marco de Privacidad de Datos UE-EE.UU. (adoptado en julio de 2023) o cláusulas contractuales tipo con una evaluación de impacto de la transferencia. Google Analytics 4 (GA4) con anonimización de IP e implementación del lado del servidor puede reducir el riesgo pero no elimina el requisito de consentimiento.
La Política de Cookies en España debe actualizarse cuando: (1) se añaden nuevas cookies al sitio web — por ejemplo, al instalar una nueva herramienta de analítica, un píxel publicitario o un plugin de redes sociales; (2) las cookies existentes cambian — nombre diferente, mayor duración, nueva finalidad o nuevo destinatario de los datos; (3) un proveedor de cookies modifica sus prácticas de privacidad o sus condiciones; (4) el marco legal cambia — por ejemplo, con la adopción del nuevo Reglamento ePrivacy (actualmente en trílogo a nivel de la UE) o nuevas directrices de la AEPD. La AEPD exige que la Política de Cookies publicada refleje fielmente en todo momento las cookies realmente desplegadas en el sitio — una discrepancia entre la política publicada y el despliegue real de cookies es en sí misma un indicador de incumplimiento. La AEPD recomienda que los operadores de sitios web realicen auditorías automatizadas de cookies al menos anualmente y tras cualquier cambio técnico significativo. La fecha de la última revisión debe constar en la política.
Una plataforma de gestión del consentimiento (CMP) es una herramienta técnica que implementa el banner de consentimiento de cookies, registra las elecciones de consentimiento de los usuarios, controla qué cookies se cargan según el estado del consentimiento y mantiene un registro de auditoría del consentimiento. Aunque la legislación española (LSSI y RGPD) no prescribe una implementación técnica específica — una CMP no está expresamente exigida por ley — la práctica de control de la AEPD hace que una CMP correctamente configurada sea necesaria en la práctica para cumplir la normativa. Sin una CMP, resulta técnicamente muy difícil: (1) bloquear las cookies no esenciales hasta obtener el consentimiento; (2) permitir a los usuarios retirar su consentimiento con la misma facilidad con que lo otorgaron; (3) mantener un registro documentado del consentimiento conforme al artículo 7.1 RGPD. Las CMP más utilizadas en España son Cookiebot (Cybot), OneTrust, Axeptio e Iubenda. El Transparency and Consent Framework (TCF v2.2) de IAB Europe se usa ampliamente para las cadenas de consentimiento de cookies publicitarias.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Política de Privacidad España (LOPDGDD)
Política de Privacidad para España — regulada por la LOPDGDD artículo 13 y el RGPD (UE) 2016/679, que cubre las obligaciones del responsable del tratamiento, los derechos de los interesados y el cumplimiento de la AEPD para sitios web y empresas españolas.
Política de Devolución y Reembolso España
Política de Devolución y Reembolso para España — regulada por la Ley 3/2014 (TRLGDCU) artículo 102, que cubre el derecho de desistimiento de 14 días, los plazos de reembolso y las excepciones para comercios online y físicos.
Acuerdo de Confidencialidad España — Ley 1/2019 de Secretos Empresariales
Acuerdo de Confidencialidad (NDA) para España conforme al artículo 1255 del Código Civil, la Ley Orgánica 3/2018 (LOPDGDD) y la Ley 1/2019 de Secretos Empresariales, que protege la información empresarial confidencial, los secretos comerciales y los datos exclusivos en relaciones comerciales.
Política de Protección de Datos en RRHH España
Política de Protección de Datos en Recursos Humanos para España — regulada por la LOPDGDD artículo 88, que cubre el tratamiento de datos de empleados, la monitorización en el lugar de trabajo y el cumplimiento de la AEPD para empleadores españoles.
Contrato SaaS España (Contrato de Software como Servicio)
Contrato de Software como Servicio para España regulado por la Ley 34/2002 LSSI-CE artículo 23, el Real Decreto Legislativo 1/1996 LPI y el Reglamento (UE) 2016/679 RGPD, que establece los términos de acceso a software en la nube, cuotas de suscripción, tratamiento de datos y titularidad de la propiedad intelectual.