Política de Cookies Conforme a la AEPD 2026: Guía Completa

En resumen (si tienes prisa)

Si usas Google Analytics, Facebook Pixel o cualquier cookie que no sea estrictamente técnica, necesitas: (1) banner de cookies con opción de aceptar/rechazar, (2) política de cookies detallada, (3) no cargar cookies analíticas hasta que el usuario acepte. Sin esto, la AEPD puede multarte.

¿Qué son las cookies y por qué hay que informar?

Las cookies son pequeños archivos que tu web instala en el dispositivo del visitante para recordar información: sesión iniciada, preferencias, comportamiento de navegación. La Ley 34/2002 (LSSI), en su artículo 22.2, exige que informes al usuario y obtengas su consentimiento antes de instalar cookies que no sean estrictamente necesarias.

La AEPD publicó en 2023 su Guía sobre el uso de cookies, que es la referencia actual. En 2026, su criterio es claro: el simple hecho de tener un banner no es suficiente si no cumple los requisitos.

Tipos de cookies: cuáles necesitan consentimiento

✅ Cookies técnicas — NO necesitan consentimiento

Las imprescindibles para que la web funcione: sesión de usuario, carrito de compra, preferencias de idioma. La web no funciona sin ellas.

❌ Cookies analíticas — SÍ necesitan consentimiento

Google Analytics, Hotjar, Matomo. Miden el comportamiento del usuario. Necesitas consentimiento previo antes de cargarlas.

❌ Cookies publicitarias — SÍ necesitan consentimiento

Facebook Pixel, Google Ads, remarketing. Rastrean al usuario para mostrarle publicidad. Consentimiento obligatorio y explícito.

❌ Cookies de terceros — SÍ necesitan consentimiento

Widgets de redes sociales, vídeos de YouTube embebidos, mapas de Google. Aunque no las instales tú directamente, debes informar y obtener consentimiento.

Qué debe incluir el banner de cookies según la AEPD

La AEPD es muy específica sobre lo que debe incluir el banner. Un banner que solo dice "Aceptar" no cumple. Estos son los requisitos:

Botón "Aceptar todas" visible

Claro, en primer plano. No escondido ni de color gris.

Botón "Rechazar" igual de visible

Con el mismo peso visual que "Aceptar". No vale poner "Rechazar" en letra pequeña gris.

Enlace a la política de cookies completa

El banner debe enlazar a una página donde se detallen todas las cookies usadas.

No cargar cookies hasta aceptar

Google Analytics no debe ejecutarse hasta que el usuario pulse "Aceptar". Este es el error más frecuente.

Posibilidad de retirar el consentimiento

El usuario debe poder cambiar sus preferencias en cualquier momento, no solo la primera vez.

Qué debe incluir la política de cookies (página completa)

Además del banner, debes tener una página dedicada con:

Qué es una cookie y para qué sirve
Listado de todas las cookies que usa tu web (nombre, proveedor, finalidad, duración)
Cómo desactivar las cookies desde el navegador
Cómo modificar las preferencias de consentimiento
Enlace a la política de privacidad
Fecha de última actualización

Los errores más frecuentes que sanciona la AEPD

✗Banner solo con botón "Aceptar", sin opción de rechazar

✗Google Analytics cargándose antes de que el usuario acepte

✗Banner que desaparece solo al seguir navegando (scroll = consentimiento — inválido)

✗Política de cookies con cookies listadas de otra empresa (copiada)

✗Sin política de cookies en ningún lugar de la web

Sanciones por incumplimiento

La AEPD ha impuesto multas por uso indebido de cookies a empresas de todos los tamaños. Para autónomos y pymes, las sanciones habituales:

Sin política de cookies / banner3.000€ – 15.000€

Cookies analíticas sin consentimiento5.000€ – 30.000€

Cookies publicitarias sin consentimiento10.000€ – 50.000€

Guías relacionadas

Privacidad

Política de privacidad para autónomos: guía completa

LOPD

Cómo cumplir la LOPD siendo autónomo: checklist 2026

Genera tu política de cookies personalizada

Pack completo: política de cookies + aviso legal + privacidad + cláusula LOPD. Conforme a la AEPD. Desde 9€.

Generar mis documentos →