Banner de cookies legal en 2026: requisitos de la AEPD
Cómo debe ser un banner de cookies conforme a la guía de la AEPD: primera capa, segunda capa y revocación. Checklist completo.
El banner de cookies parece un detalle menor, pero es el elemento de tu web que más expedientes abre en la AEPD. La razón: es visible para cualquiera y sus reglas son precisas. Si tu banner se diseñó hace un par de años, hay muchas probabilidades de que ya no cumpla. Aquí tienes los requisitos de la guía de la AEPD, capa por capa.
Las tres capas de un sistema de cookies
Un sistema de cookies conforme tiene tres niveles: la primera capa (el banner que aparece al entrar), la segunda capa (el panel de configuración detallada) y un mecanismo de revocación permanente. Los tres tienen que existir y estar bien hechos.
Primera capa: el banner inicial
Debe cumplir, sin excepciones:
- Botón de aceptar y botón de rechazar, con el mismo peso visual y en la misma capa. Nada de destacar “Aceptar” en color y esconder “Rechazar”.
- Un enlace a “Configurar” que lleve a la segunda capa.
- Información clara: quién usa las cookies, con qué finalidad, y enlace a la política de cookies completa.
- Nada de consentimiento tácito.Las frases “si sigues navegando aceptas” son ilegales.
Segunda capa: el panel de configuración
Cuando el usuario pulsa “Configurar”, debe poder elegir por categorías (analíticas, publicitarias, personalización). Reglas:
- Todas las cookies no necesarias aparecen desactivadas por defecto. Las casillas premarcadas son nulas.
- Las cookies técnicas necesarias pueden estar activas (no requieren consentimiento).
- El usuario guarda su elección con una acción explícita.
El tercer elemento: revocar en cualquier momento
El consentimiento debe poder retirarse tan fácilmente como se dio. Esto se resuelve con un enlace o botón flotante permanente —habitualmente en el pie o como icono fijo— que reabre el panel de configuración. Sin esto, el sistema está incompleto.
Lo que está expresamente prohibido
- Muros de cookies: bloquear el contenido si no se aceptan las cookies de publicidad.
- Asimetría de diseño: hacer el botón de aceptar grande y llamativo y el de rechazar pequeño o gris.
- Carga previa: activar cookies analíticas o publicitarias antes del consentimiento.
- Consentimiento por navegación o por seguir haciendo scroll.
Checklist rápido de tu banner
Abre tu web en incógnito y comprueba:
- ¿Hay botón de rechazar tan visible como el de aceptar?
- ¿Hay enlace a “Configurar”?
- En el panel, ¿está todo lo no necesario desactivado por defecto?
- ¿Existe forma de revocar el consentimiento después?
- Con las herramientas de desarrollador, ¿se cargan cookies antes de aceptar?
Si fallas alguno, tu banner no cumple. Es parte de una revisión más amplia: la auditoría completa de los 7 puntos cubre cookies y los otros seis frentes.
En resumen
- Un sistema de cookies conforme tiene tres capas: banner, panel y revocación.
- Rechazar debe ser tan fácil como aceptar, en la primera capa.
- Las cookies no necesarias van desactivadas por defecto y no se cargan antes del consentimiento.
- Muros de cookies y asimetría de diseño están prohibidos.
Preguntas frecuentes
- ¿El botón de rechazar tiene que estar en la primera capa?
- Sí. La guía de la AEPD exige que rechazar sea tan accesible como aceptar. El botón de rechazo debe estar en la primera capa (el banner inicial), no escondido en un segundo nivel ni en un enlace de texto pequeño.
- ¿Puedo bloquear el contenido hasta que acepten las cookies?
- No. Los llamados 'muros de cookies' que impiden el acceso al contenido si no se aceptan las cookies de publicidad están prohibidos. El usuario debe poder usar la web rechazando las cookies no necesarias.
- ¿Las cookies de Google Analytics necesitan consentimiento?
- Sí. Las cookies analíticas no se consideran estrictamente necesarias, así que requieren consentimiento previo y deben aparecer desactivadas por defecto en el panel de configuración. Solo las cookies técnicas imprescindibles quedan exentas.