Marco normativo
Legislación europea sobre cookies y tecnologías de seguimiento.
El uso de cookies y tecnologías similares en Europa está regulado por dos normativas principales que trabajan de forma complementaria. Entender cómo interactúan estas normas es fundamental para cualquier responsable de un sitio web que opere en el Espacio Económico Europeo.
Las dos normas clave
Directiva ePrivacy 2002/58/CE
La Directiva ePrivacy es la norma específica para cookies y comunicaciones electrónicas.
Esta directiva, conocida coloquialmente como la "ley de cookies", establece las reglas específicas para el almacenamiento de información en los dispositivos de los usuarios. Sus puntos fundamentales son:
- Artículo 5.3: Regula el almacenamiento y acceso a información en dispositivos de usuarios
- Principio: Consentimiento previo obligatorio, con excepciones limitadas
- Aplicación: Cualquier tecnología que almacene o acceda a datos del dispositivo
Ver texto oficial en EUR-Lex →
Más sobre la Directiva ePrivacy →
Reglamento General de Protección de Datos (RGPD)
El RGPD es la normativa general de protección de datos personales en la Unión Europea. Aunque no menciona específicamente las cookies, complementa la ePrivacy cuando estas tecnologías identifican a personas. Sus aspectos más relevantes para las cookies son:
- Base legal: Define cuándo es válido el consentimiento
- Derechos: Información, acceso, supresión, portabilidad
- Sanciones: Hasta el 4% de la facturación global
Ver texto oficial en EUR-Lex →
Relación entre ambas normas
Comprender la relación entre ePrivacy y RGPD puede resultar confuso al principio. La clave está en entender que cada norma regula un aspecto diferente: ePrivacy se centra en el acceso al dispositivo, mientras que el RGPD regula el tratamiento de datos personales.
┌─────────────────────────────────────────────────┐
│ Directiva ePrivacy │
│ (Regula el ACCESO al dispositivo) │
├─────────────────────────────────────────────────┤
│ RGPD │
│ (Regula el TRATAMIENTO de datos personales) │
└─────────────────────────────────────────────────┘En la práctica, esto significa que ambas normas pueden aplicarse simultáneamente a una misma cookie:
- ePrivacy se aplica a todas las cookies (incluso anónimas)
- RGPD se aplica cuando las cookies identifican personas
- Ambas requieren consentimiento en la mayoría de casos
- ePrivacy tiene excepciones para cookies técnicas; RGPD tiene bases legales alternativas
¿Qué cookies están exentas?
El Artículo 5.3 de la Directiva ePrivacy establece dos excepciones muy concretas al requisito de consentimiento. Solo las cookies que cumplan estrictamente estos criterios pueden instalarse sin pedir permiso al usuario:
| Tipo | Ejemplo | Exento |
|---|---|---|
| Cookies de sesión | PHPSESSID, session_id | Sí |
| Cookies de carrito | cart_items | Sí |
| Cookies de preferencia | language, currency | Depende |
| Cookies de analytics | _ga, _gid | No |
| Cookies de publicidad | _fbp, IDE | No |
La exención solo aplica si la cookie es estrictamente necesaria para el servicio solicitado por el usuario.
Sanciones por incumplimiento
El incumplimiento de estas normativas puede acarrear sanciones económicas muy significativas. Las autoridades de protección de datos de cada país tienen competencia para imponer multas, y en los últimos años han demostrado una actitud cada vez más activa en la aplicación de estas normas:
| Autoridad | Sanción máxima |
|---|---|
| AEPD (España) | 20M€ o 4% facturación |
| CNIL (Francia) | 150M€ (caso Google 2022) |
| ICO (Reino Unido) | 17.5M£ |
Próximos cambios
El panorama normativo está en evolución. La Directiva ePrivacy será sustituida por el Reglamento ePrivacy, que lleva años en negociación en las instituciones europeas. Aunque no hay fecha definitiva, los cambios esperados apuntan hacia un endurecimiento de los requisitos:
- Armonización en toda la UE (reglamento, no directiva)
- Posible regulación de cookies en navegador (no por sitio)
- Endurecimiento de requisitos para cookies de terceros