La AEPD actualizó la Guía de cookies con criterios aplicables en 2026: botón "Rechazar" al mismo nivel que "Aceptar", prohibición de patrones oscuros y fin del consentimiento por scroll. Las sanciones a PYMES están subiendo. Te explicamos los cambios, una plantilla revisada y cómo configurar el consentimiento sin perder analítica útil.
Qué cambia en 2026 respecto a la Guía AEPD anterior
La Guía sobre el uso de cookies de la AEPD se actualizó por última vez en julio de 2023 y, durante 2024 y 2025, la Agencia ha publicado criterios complementarios y resoluciones sancionadoras que afinan su aplicación. En 2026 hay tres exigencias firmes: botón "Rechazar" al mismo nivel visual que "Aceptar", prohibición de patrones oscuros y consentimiento explícito por acción afirmativa clara.
Son la traducción operativa del artículo 4.11 del RGPD, que define el consentimiento como manifestación de voluntad libre, específica, informada e inequívoca. Para una PYME, eso significa revisar banner, plugin de gestión de consentimiento y política de cookies como un mismo proyecto. No basta con cambiar el copy del aviso.
El botón "Rechazar" al mismo nivel que "Aceptar"
Si en tu banner hay un botón visible para aceptar todas las cookies, debe haber otro botón visible y al mismo nivel para rechazarlas. Mismo tamaño aproximado, mismo color de relleno o mismo contraste, misma altura, misma jerarquía visual.
Esconder "Rechazar" tras "Configurar" o "Más opciones" se considera patrón oscuro desde 2023 y la AEPD lo ha confirmado en resoluciones de 2024 y 2025. Tampoco vale colocarlo en un enlace de texto cuando "Aceptar" es un botón con relleno. La excepción de "rechazo en segunda capa" no aplica a la primera capa: en la capa visible al cargar la web, los dos botones tienen que convivir.
Fin del consentimiento implícito por scroll
Seguir navegando, hacer scroll o pulsar cualquier elemento de la página no equivale a aceptar cookies. La AEPD lo aclaró en sus FAQ y lo reforzó tras la actualización de las directrices del Comité Europeo de Protección de Datos. Si tu banner dice "Al continuar navegando aceptas el uso de cookies", está fuera de norma.
El consentimiento debe ser acción afirmativa clara: clic en "Aceptar", marcar una casilla previamente desmarcada o equivalente. Hasta que esa acción ocurra, las cookies no técnicas no se pueden cargar (Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight Tag y cualquier otro script de terceros).
Patrones oscuros explícitamente prohibidos por la AEPD
Un patrón oscuro es una técnica de diseño que dificulta o desincentiva la decisión informada del usuario. La AEPD ha identificado cinco patrones que considera infracción por sí mismos.
| Patrón oscuro | Por qué infringe | Cómo corregirlo |
|---|---|---|
| Botón "Rechazar" menos visible que "Aceptar" | Sesgo visual hacia aceptación | Mismo tamaño, color y posición |
| Banner sin opción "Rechazar" en primera capa | Obliga a navegación adicional para rechazar | Añadir botón "Rechazar" junto a "Aceptar" |
| Texto "Al navegar aceptas" sin clic | Consentimiento implícito ilegal | Sustituir por acción afirmativa explícita |
| Casillas premarcadas por categoría | Consentimiento no específico ni libre | Casillas vacías por defecto |
| Recarga del banner cada visita pese a rechazo | Castigo al usuario que rechaza | Recordar la decisión durante 12-24 meses |
El régimen sancionador del artículo 83 del RGPD permite multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial. En PYME española las sanciones efectivas se han movido entre 1.500 € y 60.000 € según gravedad, reincidencia y voluntad de cooperación.
Tipos de cookies y cuáles necesitan consentimiento previo
No todas las cookies requieren consentimiento. La distinción es la base técnica del banner y conviene aclararla antes de la plantilla.
Técnicas, de preferencias, analíticas y publicitarias
Las cookies se clasifican según finalidad. Régimen de consentimiento en España:
| Tipo de cookie | Ejemplos | ¿Consentimiento previo? |
|---|---|---|
| Técnica estricta | Sesión, carrito, balanceo de carga, CSRF | No |
| Preferencias | Idioma, divisa, modo oscuro | No, si solo recuerda elección del usuario |
| Analítica de primera parte sin perfilado | Plausible, Matomo configurado sin cookies | No, si cumple condiciones técnicas |
| Analítica de tercero | Google Analytics 4, Hotjar, Microsoft Clarity | Sí |
| Publicitaria / marketing | Meta Pixel, LinkedIn Insight, Google Ads | Sí |
| Personalización avanzada | Recomendadores, A/B testing con perfilado | Sí |
Las técnicas y de preferencias se acogen a la excepción del artículo 22.2 LSSI: no requieren consentimiento, pero sí información clara en la política de cookies.
El matiz de las cookies analíticas
Google Analytics 4 es la pieza más conflictiva. La AEPD lo trata como cookie analítica de tercero, ya que Google también trata los datos con fines propios, así que requiere consentimiento previo antes de cargar el script.
Plausible Analytics, Matomo en modo sin cookies y Fathom pueden quedar exentos si cumplen condiciones técnicas: primera parte, sin cookies, IP anonimizada y sin compartir datos con terceros con fines propios. Conviene reflejarlo por escrito en tu política de cookies. Si rechazas GA4 y quieres conservar visibilidad de tráfico, hay dos rutas: Plausible/Matomo como sustituto, o GA4 con Consent Mode v2 y medición server-side. Lo desarrollamos en el bloque siguiente.
Caso real: sanciones recientes a PYMES por banner mal diseñado
La AEPD ha sancionado tanto a multinacionales como a empresas pequeñas. Casos recientes en resoluciones públicas:
- PS/00377/2022 · Vodafone España · 3,94 M € en parte por banner con patrones oscuros.
- PS/00352/2023 · Openbank · 2,5 M € por consentimiento por scroll y dificultad para rechazar.
- T1 2024 · academia online de Madrid · 9.000 € por casillas premarcadas y ausencia de botón "Rechazar" claro.
- T2 2024 · ecommerce de moda de Andalucía · 24.000 € por consentimiento implícito por scroll.
El patrón es claro: la cuantía depende del tamaño y del tratamiento, pero la conducta sancionable es la misma. Un banner mal configurado en una PYME ecommerce no genera 4 millones de multa, pero sí una sanción entre 5.000 € y 30.000 € que descapitaliza un año de margen.
Plantilla revisada de banner conforme: HTML mínimo y copies aceptados
Esta plantilla cumple los criterios AEPD 2026 sin depender de plugin comercial. Sirve como referencia mínima; en producción conviene un gestor que registre la prueba.
<div id="summum-cookie-banner" role="dialog" aria-modal="false" aria-labelledby="cookie-titulo">
<h2 id="cookie-titulo">Uso de cookies en esta web</h2>
<p>
Usamos cookies técnicas necesarias para que la web funcione y, con tu permiso,
cookies analíticas y de marketing para mejorar el servicio. Puedes aceptar,
rechazar o configurar tu elección. Más información en nuestra
<a href="/politica-de-cookies/">política de cookies</a>.
</p>
<div class="cookie-acciones">
<button type="button" data-accion="aceptar">Aceptar todas</button>
<button type="button" data-accion="rechazar">Rechazar todas</button>
<button type="button" data-accion="configurar">Configurar</button>
</div>
</div>
<style>
#summum-cookie-banner {
position: fixed; bottom: 24px; left: 24px; right: 24px; max-width: 720px;
margin: 0 auto; padding: 24px; background: #fff; border: 1px solid #E5E7EB;
border-radius: 12px; box-shadow: 0 8px 32px rgba(10,37,64,0.12);
font-family: system-ui, -apple-system, sans-serif; color: #0A2540;
}
.cookie-acciones { display: flex; gap: 12px; margin-top: 16px; flex-wrap: wrap; }
.cookie-acciones button {
flex: 1 1 auto; min-height: 44px; padding: 10px 20px; font-size: 16px;
font-weight: 600; border: 2px solid #0A2540; border-radius: 8px; cursor: pointer;
background: #fff; color: #0A2540;
}
.cookie-acciones button[data-accion="aceptar"] { background: #0A2540; color: #fff; }
.cookie-acciones button[data-accion="rechazar"] { background: #fff; color: #0A2540; }
</style>Tres puntos críticos:
- "Aceptar todas" y "Rechazar todas" comparten ancho, altura, fuente y formato. El contraste de relleno es opcional; lo importante es que sean igual de prominentes.
- El enlace a la política de cookies es visible desde la primera capa.
- El banner no se cierra solo: se cierra cuando el usuario pulsa uno de los tres botones.
Detrás del HTML hace falta lógica que registre la decisión, la respete 12-24 meses y libere los scripts de terceros solo si la elección fue "Aceptar todas" o "Configurar" con categoría activada. Esa parte la cubre cualquier gestor profesional (Complianz, Iubenda, Cookiebot, Termly) o un script propio bien probado.
Cómo gestionar el consentimiento sin perder analítica útil
Hay tres rutas válidas para conservar medición sin saltarse la norma. Cada una compensa coste, complejidad y precisión.
| Ruta | Coste anual aproximado | Precisión vs GA4 estándar | Cumplimiento AEPD |
|---|---|---|---|
| Plausible Analytics (sin cookies) | 90-540 € | 100 % del tráfico, pero sin user-ID | Exento de consentimiento |
| Matomo on-premise (sin cookies) | 0 € licencia + hosting propio | 100 % del tráfico | Exento de consentimiento |
| GA4 + Consent Mode v2 + server-side | 0-1.200 € infraestructura | 70-90 % vía modelado de Google | Sí, con consentimiento previo |
Si tu PYME ya invierte en Google Ads y necesita el embudo completo dentro del ecosistema Google, la tercera ruta es la opción realista. Consent Mode v2 envía señales "denegadas" cuando el usuario rechaza y Google reconstruye estimaciones por modelado, con pérdida real del 10-30 % según volumen.
Si el caso de uso es puramente analítica de negocio, Plausible o Matomo aportan datos suficientes sin gestionar consentimiento. En PYMES con menos de 100.000 visitas/mes es el camino más limpio. Conectado al CRM, encaja con la lógica de gestión del consentimiento conectada al CRM que aplicamos en proyectos de marketing automation.
Política de cookies vs aviso legal vs política de privacidad: cuándo separar y cuándo unir
Los tres documentos cubren obligaciones distintas y no son intercambiables, aunque conviven en el mismo footer.
- Aviso legal: identifica al titular del sitio. Obligatorio por la LSSI, artículo 10. Datos fiscales, registro mercantil, contacto.
- Política de privacidad: explica qué datos personales tratas, con qué finalidad, base legal, plazo y derechos del interesado. Obligatorio por el RGPD, artículos 13 y 14.
- Política de cookies: detalla cada cookie usada, finalidad, plazo y tercero responsable. Obligatorio por la LSSI, artículo 22, y por la guía AEPD.
En PYMES pequeñas se pueden unir las tres en una página bien estructurada. Cuando la web crece o aparecen tratamientos complejos (clientes, contactos comerciales, candidatos, usuarios registrados), conviene separar. La política de cookies se mantiene siempre como sección o página independiente, ya que el banner enlaza directamente con ella.
Papel del Delegado de Protección de Datos externo para auditar el banner
Un DPO externo aporta tres entregables verificables sobre tu banner: auditoría inicial, evidencia documental del proceso de consentimiento y revisión periódica frente a cambios normativos. Es la forma habitual de cerrar la puerta a sanciones.
La auditoría inicial revisa cada cookie del sitio (las propias y las inyectadas por embebidos: YouTube, Vimeo, Maps, embed sociales), las clasifica por finalidad y comprueba que la categorización del banner coincide con la realidad técnica. Es habitual encontrar cookies de marketing cargando antes del consentimiento porque un plugin viejo o un embed inyecta el script sin pasar por el gestor.
La evidencia documental incluye registro de consentimientos con timestamp, IP truncada, versión del banner y categoría aceptada. Sirve como prueba si la AEPD abre expediente. La revisión periódica se hace al menos una vez al año o al cambiar herramientas del sitio: cada plugin nuevo o cada cambio en el theme puede añadir cookies sin avisar.
Cómo encaja esto con ISO 27001, ENS y el Kit Consulting
La gestión del consentimiento de cookies es un control auditado en dos marcos certificables. En ISO 27001:2022 se cubre por el control A.5.34 (privacidad y protección de datos personales). En el Esquema Nacional de Seguridad se cubre por las medidas org.1 (política de seguridad) y mp.info.6 (cualificación de la información).
Tener el banner conforme facilita pasar la auditoría externa y aporta puntos en licitaciones públicas. En Summum Calidad acompañamos alrededor de 200 certificaciones ISO en 11 años y la cookie compliance aparece como hallazgo recurrente en revisión inicial.
Para PYMES con 10-249 empleados, el bono de Protección de Datos del Kit Consulting cubre la consultoría especializada en RGPD: auditoría inicial, diseño del programa de cumplimiento y formación del equipo. Permite acometer la revisión del banner sin coste directo si se aprueba el bono.
Preguntas frecuentes sobre cookies y RGPD en 2026
| Pregunta | Respuesta |
|---|---|
| ¿Mi PYME puede ser sancionada por un banner mal configurado? | Sí. La AEPD ha sancionado tanto a grandes empresas como a PYMES. Las multas pueden alcanzar 20 millones de euros o el 4 % de la facturación anual mundial, aunque para PYMES suelen ubicarse entre 1.500 € y 60.000 € según gravedad e iteración. |
| ¿Es obligatorio un botón "Rechazar" al mismo nivel que "Aceptar"? | Sí desde 2023 y reforzado para 2026. Si hay un botón visible para aceptar, debe haber otro visible al mismo nivel para rechazar. Esconder "Rechazar" tras "Configurar" se considera patrón oscuro. |
| ¿Necesito consentimiento para Google Analytics? | Sí. La AEPD considera GA4 cookie analítica de tercero y exige consentimiento previo. Plausible o Matomo sin cookies y con IP anonimizada pueden eximirse con documentación técnica. |
| ¿Qué pasa con el consentimiento si el usuario solo hace scroll? | No vale. La AEPD aclara que seguir navegando no constituye "acción afirmativa clara" según el artículo 4.11 del RGPD. El consentimiento debe ser explícito por clic. |
| ¿Cuánto cuesta poner el banner conforme con la normativa? | En WordPress con plugin (Complianz, Iubenda, Cookiebot) entre 80 y 300 € al año más configuración. En sitio a medida, auditoría y rediseño desde 600 €. Una infracción media supone 6.000-20.000 €, así que el retorno es claro. |
| ¿Necesito un DPO obligatorio para gestionar las cookies? | No siempre. El DPO es obligatorio en sector público, en tratamiento masivo o categorías especiales y en algunos sectores regulados. Para PYME ecommerce media sin esos tratamientos no es obligatorio, pero un DPO externo reduce el riesgo de sanción. |
| ¿Cómo encaja esto con el ENS o la ISO 27001? | La gestión del consentimiento es control auditado en ISO 27001 (A.5.34) y ENS (org.1, mp.info.6). Tener el banner conforme facilita pasar la auditoría externa y aporta puntos en licitaciones públicas. |
Cómo te acompañamos desde Summum
En Summum Consultoría diseñamos y auditamos banners de cookies conforme a la guía AEPD 2026, conectados con la política de privacidad y la evidencia que pide una inspección. El servicio se apoya en figura de DPO externo cuando procede o en consultoría puntual cuando no es obligatorio.
Desde nuestras oficinas de Valladolid, Burgos, Palencia, Aranda de Duero y las cuatro de Canarias acompañamos proyectos de cumplimiento RGPD en ecommerce, salud privada, formación online y asesorías. Si buscas conservar medición sin saltarte la norma, integramos la gestión del consentimiento con tu stack de marketing y con la trazabilidad de visitas y SEO sin perder analítica que aplicamos en proyectos de posicionamiento.
Audita tu banner de cookies con Summum Consultoría →
Solicita el bono Protección de Datos del Kit Consulting (10-249 empleados) →
Ángel Ortega Castro · Summum Marketing
Recursos visuales del artículo
