Legal Cookies
Normativa

Directiva ePrivacy

Artículo 5.3 de la Directiva 2002/58/CE sobre privacidad en comunicaciones electrónicas.

La Directiva 2002/58/CE (modificada por la 2009/136/CE) es la norma europea que regula específicamente el uso de cookies y tecnologías similares. Aunque se conoce popularmente como la "Directiva de cookies", su alcance es más amplio y cubre todas las comunicaciones electrónicas.

Texto consolidado en EUR-Lex →

Artículo 5.3 - Texto legal

Este es el artículo clave que regula las cookies en Europa. Su redacción, aunque técnica, establece el principio fundamental: consentimiento previo, con excepciones muy limitadas.

"Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario."

Directiva 2009/136/CE en EUR-Lex →

Desglose del artículo

El texto legal puede parecer denso, pero su estructura es clara una vez que se analiza. Veamos qué establece exactamente.

Regla general

La norma establece un principio claro: el consentimiento previo es obligatorio para cualquier acción que implique:

  • Almacenar información en el dispositivo del usuario
  • Acceder a información ya almacenada

Este principio se aplica de forma amplia a cualquier tecnología que interactúe con el dispositivo del usuario, no solo a las cookies tradicionales. Esto incluye: cookies, localStorage, sessionStorage, fingerprinting, pixels de seguimiento, SDKs de aplicaciones móviles, y cualquier otra técnica similar.

Excepciones (sin consentimiento)

El legislador europeo reconoció que exigir consentimiento para absolutamente todas las cookies haría inviable el funcionamiento normal de internet. Por ello, estableció dos excepciones muy concretas. Solo están exentas las tecnologías que sean estrictamente necesarias para:

  1. Transmisión técnica: La comunicación no funcionaría sin ellas
  2. Servicio solicitado: El usuario ha pedido explícitamente ese servicio

La clave está en las palabras "estrictamente necesarias" y "expresamente solicitado". Estas expresiones han sido interpretadas de forma restrictiva por las autoridades de protección de datos.

Cookies exentas de consentimiento

A continuación se detallan ejemplos concretos de cookies que las autoridades europeas han considerado exentas. Es importante destacar que la exención depende del uso específico, no solo del nombre o tipo de cookie:

CookiePropósito¿Exenta?
Sesión de usuarioMantener la sesión activa
Carrito de compraGuardar productos seleccionados
Balanceo de cargaDistribuir tráfico entre servidores
Seguridad (CSRF)Proteger contra ataques
Preferencia de idiomaSi el usuario la ha elegidoDepende*
Recordar usuario"Mantenerme conectado"Depende*

*Solo si el usuario ha realizado una acción explícita para activarla.

Cookies que REQUIEREN consentimiento

Por el contrario, existe un amplio consenso sobre qué cookies no cumplen los criterios de exención. Estas tecnologías, por útiles que sean para el responsable del sitio web, no son "estrictamente necesarias" para prestar el servicio al usuario:

CookiePropósito¿Exenta?
Google AnalyticsEstadísticas de visitasNo
Facebook PixelSeguimiento de conversionesNo
Publicidad programáticaMostrar anuncios personalizadosNo
Redes socialesBotones de "compartir" con trackingNo
A/B testingExperimentación con usuariosNo
HeatmapsGrabación de comportamientoNo

Interpretación por autoridades

Las autoridades de protección de datos de cada país han ido desarrollando criterios interpretativos a través de guías, resoluciones y sanciones. Aunque pueden existir matices entre países, hay un consenso generalizado en los puntos fundamentales.

AEPD (España)

La Agencia Española de Protección de Datos ha sido clara en sus pronunciamientos. En su Guía sobre el uso de las cookies, establece criterios que todo responsable de sitio web en España debería conocer:

  • Las cookies de analytics no son estrictamente necesarias
  • Los "muros de cookies" (bloquear acceso sin consentir) son cuestionables
  • El consentimiento debe ser libre, específico, informado e inequívoco

CNIL (Francia)

El regulador francés ha sido especialmente activo en la aplicación de estas normas, imponiendo algunas de las sanciones más elevadas de Europa. Su actuación ha sentado precedentes importantes:

  • Sanción de 150M€ a Google por cookies sin consentimiento
  • Sanción de 90M€ a Google por cookies en YouTube
  • Guías detalladas sobre banners de cookies

Guía CNIL sobre cookies →

ICO (Reino Unido)

La Information Commissioner's Office, aunque el Reino Unido ya no pertenece a la UE, sigue aplicando normativa equivalente y sus criterios son referencia en todo el mundo anglosajón:

  • Las analytics requieren consentimiento incluso si son first-party
  • El scroll o la navegación no son formas válidas de consentimiento
  • Los "soft opt-in" para cookies no existen

Guía ICO sobre cookies →

Requisitos del consentimiento

No basta con pedir consentimiento de cualquier manera. La normativa establece requisitos específicos que determinan si un consentimiento es válido o no. Un consentimiento que no cumpla todos estos requisitos es como si no existiera:

RequisitoDescripción
PrevioAntes de instalar cookies no esenciales
InformadoExplicar qué cookies y para qué
LibreSin presión ni "dark patterns"
EspecíficoPor categorías o finalidades
InequívocoAcción afirmativa clara
RevocableTan fácil retirar como dar

Dark patterns prohibidos

Los "dark patterns" o patrones oscuros son técnicas de diseño que manipulan al usuario para que tome decisiones que no le benefician. Las autoridades europeas han identificado prácticas específicas que invalidan el consentimiento.

Estos patrones son especialmente problemáticos porque, aunque técnicamente muestran un banner de cookies, el consentimiento obtenido no es válido al no cumplir los requisitos de ser libre e inequívoco. Las prácticas más comunes que debes evitar incluyen:

  • Botón de "Aceptar" destacado y "Rechazar" oculto
  • Pre-seleccionar casillas de cookies
  • Continuar navegando = aceptar
  • Muro de cookies sin alternativa gratuita
  • Repetir el banner hasta que el usuario acepte

Informe del EDPB sobre dark patterns →

Marco normativo

Legislación europea sobre cookies y tecnologías de seguimiento.

RGPD y cookies

Cómo el Reglamento General de Protección de Datos se relaciona con el uso de cookies.

On this page

Artículo 5.3 - Texto legalDesglose del artículoRegla generalExcepciones (sin consentimiento)Cookies exentas de consentimientoCookies que REQUIEREN consentimientoInterpretación por autoridadesAEPD (España)CNIL (Francia)ICO (Reino Unido)Requisitos del consentimientoDark patterns prohibidos