Categorías de cookies
Clasificación de cookies según su propósito y requisitos de consentimiento.
Legal Cookies clasifica las cookies detectadas en categorías estándar según su propósito. Esta clasificación, basada en los criterios establecidos por las autoridades europeas de protección de datos, ayuda a determinar de forma rápida si una cookie requiere consentimiento previo del usuario.
Clasificación utilizada
El sistema de categorización que utilizamos sigue las recomendaciones del Grupo de Trabajo del Artículo 29 (ahora EDPB) y es compatible con la mayoría de CMPs del mercado. Cada categoría tiene implicaciones diferentes en términos de cumplimiento normativo:
| Categoría | ¿Requiere consentimiento? | Descripción |
|---|---|---|
| strictly_necessary | No | Esenciales para el funcionamiento |
| functional | Depende | Mejoran la experiencia pero no son esenciales |
| analytics | Sí | Miden el uso del sitio |
| marketing | Sí | Publicidad y seguimiento |
| unknown | Revisar | No clasificadas automáticamente |
Strictly Necessary (Estrictamente necesarias)
Exentas de consentimiento según el Art. 5.3 de la Directiva ePrivacy.
Las cookies estrictamente necesarias son aquellas imprescindibles para que el sitio web funcione correctamente. Sin ellas, el servicio que el usuario ha solicitado no podría prestarse. Esta es la única categoría que está completamente exenta del requisito de consentimiento previo.
Ejemplos
A continuación se muestran ejemplos típicos de cookies que suelen considerarse estrictamente necesarias. Es importante recordar que la clasificación depende del uso específico, no solo del nombre de la cookie:
| Cookie | Propósito |
|---|---|
PHPSESSID | Sesión del servidor PHP |
JSESSIONID | Sesión del servidor Java |
csrf_token | Protección contra ataques CSRF |
cart_id | Identificador del carrito de compra |
__cf_bm | Protección anti-bot de Cloudflare |
session | Sesión genérica de aplicación |
Criterios
Para que una cookie pueda considerarse "estrictamente necesaria" y por tanto exenta de consentimiento, debe cumplir todos los siguientes criterios sin excepción:
- Ser indispensable para el servicio que el usuario ha solicitado
- No recopilar datos para otros fines
- No compartir información con terceros para tracking
- Tener una duración proporcional a su función
Functional (Funcionales)
Las cookies funcionales son aquellas que mejoran la experiencia del usuario pero no son imprescindibles para el funcionamiento básico del sitio. Permiten recordar preferencias y personalizar la navegación, pero el sitio funcionaría igualmente sin ellas.
Ejemplos
Estas son algunas de las cookies funcionales más habituales. Su presencia en un sitio web no es necesariamente problemática, pero su tratamiento legal requiere atención:
| Cookie | Propósito |
|---|---|
language | Preferencia de idioma |
currency | Moneda seleccionada |
font_size | Tamaño de texto preferido |
theme | Modo claro/oscuro |
recently_viewed | Productos vistos recientemente |
¿Requieren consentimiento?
La respuesta a esta pregunta depende de cómo se implementen. El criterio clave es si el usuario ha realizado una acción explícita que justifique la cookie:
- Exentas si el usuario las ha activado explícitamente (eligió el idioma)
- Requieren consentimiento si se establecen automáticamente
Una cookie de idioma que se establece antes de que el usuario elija el idioma no está exenta. La exención solo aplica cuando la cookie es respuesta directa a una acción del usuario.
Analytics (Analíticas)
Las cookies analíticas miden el comportamiento de los usuarios para generar estadísticas sobre el uso del sitio web. Aunque son muy útiles para los propietarios de sitios web, no son necesarias para prestar el servicio al usuario y por tanto requieren consentimiento.
Ejemplos
El mercado de analytics está dominado por unos pocos proveedores. Estas son las cookies más frecuentes que encontrarás en la mayoría de sitios web:
| Cookie | Servicio | Duración |
|---|---|---|
_ga | Google Analytics | 2 años |
_gid | Google Analytics | 24 horas |
_gat | Google Analytics | 1 minuto |
_hjid | Hotjar | 1 año |
ph_* | PostHog | Variable |
mp_* | Mixpanel | 1 año |
amplitude_id | Amplitude | 10 años |
¿Por qué requieren consentimiento?
Las cookies de analytics requieren consentimiento por varias razones que las autoridades han dejado claras en múltiples resoluciones y guías:
- Identifican usuarios mediante IDs únicos (dato personal según el RGPD)
- Rastrean comportamiento a lo largo del tiempo y entre sesiones
- A menudo implican terceros (Google, Meta, etc.) con acceso a los datos
- No son "estrictamente necesarias" para prestar el servicio al usuario
Alternativas sin consentimiento
Si necesitas métricas básicas sin complicaciones legales, existen soluciones de analytics que no requieren cookies ni consentimiento. Estas herramientas utilizan técnicas que respetan la privacidad:
- Plausible: Analytics sin cookies, respeta privacidad
- Fathom: Similar a Plausible, con enfoque en simplicidad
- Simple Analytics: Sin tracking personal, datos agregados
- Server-side: Análisis basado en logs del servidor
Marketing (Publicidad)
Las cookies de marketing se utilizan para publicidad personalizada, retargeting y seguimiento de conversiones. Son las más invasivas desde el punto de vista de la privacidad y las que mayor impacto tienen en la puntuación de cumplimiento.
Ejemplos
El ecosistema publicitario utiliza una gran variedad de cookies. Estas son las más comunes que encontrarás en sitios web que monetizan mediante publicidad o que realizan campañas de marketing digital:
| Cookie | Servicio | Propósito |
|---|---|---|
_fbp | Meta/Facebook | Pixel de seguimiento |
_fbc | Meta/Facebook | Click identifier |
IDE | Google DoubleClick | Publicidad display |
test_cookie | Google DoubleClick | Test de cookies |
NID | Preferencias de anuncios | |
MUID | Microsoft/Bing | ID de usuario |
_uetsid | Microsoft Ads | Seguimiento UET |
li_fat_id | LinkedIn Ads | |
_ttp | TikTok | TikTok Pixel |
Impacto en cumplimiento
Las cookies de marketing son las más problemáticas desde el punto de vista del cumplimiento normativo. Presentan una serie de características que las hacen especialmente sensibles:
- Siempre requieren consentimiento previo, sin excepción
- Suelen ser third-party (establecidas por dominios externos)
- Implican transferencias internacionales de datos (EEUU principalmente)
- Tienen duraciones largas (meses o incluso años)
Penalización en puntuación
En el sistema de puntuación de Legal Cookies, las cookies de marketing son las que más penalizan la puntuación final. Esta decisión está justificada por varios factores que las hacen especialmente relevantes para el cumplimiento:
- Claramente requieren consentimiento sin ninguna duda interpretativa
- A menudo se establecen antes de mostrar el banner de cookies
- Implican múltiples terceros con acceso a datos del usuario
Unknown (Desconocidas)
Las cookies desconocidas son aquellas que el sistema no ha podido clasificar automáticamente. Esto no significa necesariamente que sean problemáticas, pero requieren revisión manual para determinar su categoría correcta.
Por qué ocurre
Hay varias razones por las que una cookie puede quedar sin clasificar. Entender estas razones te ayudará a interpretar mejor los resultados del análisis:
- Cookie personalizada desarrollada específicamente para el sitio
- Nombre ofuscado o generado dinámicamente
- Cookie nueva que aún no está documentada
- Cookie de un servicio poco común no incluido en nuestra base de datos
Qué hacer
Cuando encuentres cookies desconocidas en un análisis, es importante investigarlas antes de asumir que son problemáticas. El proceso de clasificación manual debería seguir estos pasos:
- Investigar el nombre y dominio de la cookie
- Analizar el valor de la cookie (¿contiene IDs?, ¿timestamps?)
- Identificar el script que la establece
- Determinar si es first-party o third-party
- Asignar la categoría correcta según los criterios anteriores
Por precaución, las cookies desconocidas se consideran potencialmente problemáticas hasta que se demuestre lo contrario. Es mejor investigar que asumir que son inofensivas.
Tabla resumen
Para facilitar la consulta rápida, esta tabla resume las características principales de cada categoría y cómo afectan a la evaluación de cumplimiento:
| Categoría | Consentimiento | Penalización | Color en informe |
|---|---|---|---|
| strictly_necessary | No requerido | Ninguna | Verde |
| functional | Depende | Baja | Amarillo |
| analytics | Sí | Media | Naranja |
| marketing | Sí | Alta | Rojo |
| unknown | Revisar | Media | Gris |