Cookies y consentimiento (LSSI · Guía AEPD)

El Art. 22.2 de la Ley 34/2002 (LSSI-CE), que transpone el Art. 5.3 de la Directiva 2002/58/CE, exige el consentimiento informado del usuario antes de almacenar o acceder a información en su dispositivo mediante cookies u otros rastreadores. Solo quedan exentas las cookies estrictamente necesarias: las imprescindibles para la transmisión de la comunicación o para prestar un servicio expresamente solicitado por el usuario (p. ej., el carrito de la compra, la sesión de login, el balanceo de carga, la preferencia de idioma elegida). Requieren consentimiento previo las cookies de analítica, publicidad, retargeting, redes sociales y personalización por perfil. El consentimiento debe cumplir el estándar del RGPD: libre, específico, informado e inequívoco (Art. 4.11 y 7 RGPD).

La Guía de cookies de la AEPD exige que el banner permita aceptar, rechazar y configurar con el mismo nivel de facilidad y visibilidad. No se pueden instalar cookies no exentas antes de obtener el consentimiento; no vale el consentimiento tácito ni 'seguir navegando'. La AEPD prohíbe los patrones engañosos (botón 'Rechazar' oculto o menos visible, colores que empujan a aceptar, textos confusos). Retirar el consentimiento debe ser tan sencillo como otorgarlo, y estar disponible en todo momento. La AEPD considera razonable renovar el consentimiento cuando hayan transcurrido como máximo 24 meses, o antes si cambian las finalidades. Se recomienda información por capas: una primera capa con lo esencial y un enlace a la política de cookies completa.

El incumplimiento de cookies es uno de los focos sancionadores más activos de la AEPD. IBERIA fue sancionada con 30.000 € por incumplir la LSSI en la gestión de cookies. SEAT con 16.000 € (reducida a 12.000 € por pronto pago) por instalar cookies sin consentimiento y por no permitir borrar las ya aceptadas. TECHPUMP SOLUTIONS con 90.000 € (PS/00524/2023) por infracciones reiteradas en varios de sus sitios. La cuantía crece con el volumen de tráfico y la reiteración. La competencia sancionadora en materia de cookies corresponde a la AEPD conforme al régimen de infracciones de la LSSI (Art. 38-39), con multas que pueden alcanzar los 30.000 € por infracción grave.

La Directiva ePrivacy protege la confidencialidad de las comunicaciones electrónicas y de los datos de tráfico y localización (Art. 5, 6 y 9). Como norma especial (lex specialis) prevalece sobre el RGPD en lo que regula específicamente: comunicaciones no solicitadas (spam, Art. 13 — exige opt-in salvo la excepción de clientes existentes para productos similares), cookies (Art. 5.3) y tratamiento de datos de tráfico. El futuro Reglamento ePrivacy ampliará el ámbito a los servicios de comunicación 'over-the-top' (mensajería, VoIP), pero sigue pendiente de aprobación; mientras tanto rige la Directiva y su transposición española.

Un cuestionario adaptativo determina qué obligaciones de Cookies aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

• Política de Cookies (LSSI · Guía AEPD)