Cookies de terceros: cuándo son obligatorias y cuándo puedes prescindir

Publicado el

← Volver
Escritorio minimalista con portátil, teclado y monitores para desarrollo y cumplimiento normativo
Foto de Elijah Boisvert en Unsplash

Uno de los errores más frecuentes al montar un banner de cookies es tratar todas las cookies de terceros como si fueran iguales. Resultado: sitios que piden consentimiento para cosas que no lo necesitan, y otros que cargan scripts de seguimiento antes de que nadie haya aceptado nada. Ambos extremos son un problema, uno de ruido innecesario y el otro directamente de incumplimiento.

Este post traza la línea con criterio técnico: qué tipos de cookies exigen consentimiento previo según el RGPD y la Directiva ePrivacy, cuáles están exentas, cómo reconocer cada caso en tu stack y cómo documentar la decisión de forma auditable.

1. El marco legal en España: RGPD + LSSI + ePrivacy

En España, la regulación de las cookies descansa sobre tres pilares: la Directiva ePrivacy 2002/58/CE, transpuesta al derecho español a través del artículo 22.2 de la LSSI-CE, y el RGPD.

El artículo 22.2 de la LSSI-CE establece el principio: la instalación de dispositivos de almacenamiento y recuperación de datos en equipos terminales de los usuarios requiere su consentimiento informado previo, con excepciones limitadas para las cookies técnicas.

La Guía sobre el uso de las cookies de la AEPD, actualizada en julio de 2023 (con vigencia desde enero de 2024), detalla las condiciones concretas de este consentimiento y se aplica a todos los sitios web accesibles desde España, independientemente de la ubicación del editor.

La regla general es simple: todas las cookies, excepto las estrictamente necesarias, deben obtener consentimiento previo. Pero el matiz está en qué se entiende exactamente por “estrictamente necesarias” y qué otras categorías pueden quedar exentas bajo ciertas condiciones.

2. Cookies que NO necesitan consentimiento

No todas las cookies están sujetas al mismo régimen. La AEPD distingue claramente: determinadas cookies son estrictamente necesarias para el funcionamiento del sitio y no requieren consentimiento. Se trata de las cookies de sesión (carrito de compra, autenticación), las cookies de preferencia de idioma, las cookies de equilibrio de carga del servidor y las cookies de medición de audiencia cuando están configuradas de modo que no permitan el seguimiento entre sitios.

Estos son algunos casos en los que no se requiere el consentimiento: cookies que se utilizan exclusivamente para efectuar la transmisión de una comunicación (como las que permiten el reparto de la carga entre servidores), y cookies estrictamente necesarias para proporcionar un servicio online que la persona solicita expresamente. Por ejemplo, las cookies de usuario en formularios online o en carritos de compra, y las cookies de autenticación cuando los usuarios inician sesión.

Hay un matiz importante sobre las cookies de personalización: cuando el usuario toma decisiones sobre estas cookies (como elegir el idioma del sitio web o la moneda de transacción), se consideran cookies técnicas y no requieren consentimiento. Sin embargo, si es el editor quien toma esas decisiones basándose en la información del usuario, debe informar de ello de manera destacada y ofrecer la opción de aceptar o rechazar.

En la práctica, están exentas:

  • Cookies de sesión para formularios y autenticación
  • Cookie de carrito de compra
  • Preferencia de idioma elegida por el usuario
  • Balanceo de carga entre servidores
  • Cookies de seguridad (CSRF tokens, etc.)

3. Cookies que SÍ necesitan consentimiento previo

El consentimiento previo es obligatorio para las cookies publicitarias y de segmentación, las cookies de redes sociales (botones de compartir, widgets integrados), las cookies de análisis de navegación con fines comerciales (Google Analytics en su configuración estándar), las cookies de personalización de contenido basadas en el perfil del usuario y los píxeles de seguimiento de terceros.

Un punto que genera confusión: ¿y las cookies de analytics? La respuesta depende de la herramienta y de cómo procesa los datos. La AEPD abre la posibilidad de que las cookies de medición de audiencia puedan estar exentas del consentimiento, siempre que cumplan determinados requisitos. Sin embargo, señala que algunos servicios de analítica no entran en el ámbito de la exención cuando declaran que reutilizan los datos para otras finalidades. Por tanto, puede interpretarse que la AEPD incluye a Google Analytics como una de estas herramientas que reutilizan los datos y que no permitirá la exención del consentimiento.

En la práctica, requieren consentimiento:

  • Google Analytics 4 en configuración estándar
  • Facebook Pixel y similares
  • Cookies de redes sociales (botones de “compartir”, widgets de Instagram, etc.)
  • Publicidad comportamental (Google Ads, Meta Ads)
  • Herramientas de grabación de sesión (Hotjar, Microsoft Clarity en configuración estándar)
  • Cualquier cookie que persiste entre sesiones y permite rastrear al usuario en varios sitios

4. El caso Google Fonts: no son cookies, pero tampoco son gratis

Google Fonts es un ejemplo habitual de tercero que muchos freelancers tienen en su stack sin haber tomado ninguna decisión consciente al respecto.

La API de Google Fonts limita la recopilación de datos del usuario final, no establece ni registra cookies. Sin embargo, cuando se integra mediante la API web, Google recibe la dirección IP del usuario, la URL solicitada y las cabeceras HTTP incluyendo el agente de usuario y el referrer.

Cuando se carga vía CDN de Google, el servicio recopila las direcciones IP de los usuarios y las transfiere a EE. UU. Dado que esa información cuenta como dato personal bajo el RGPD, se debe tener una base jurídica para su tratamiento.

La solución más directa: el self-hosting de Google Fonts es la solución más popular para usar las fuentes y ser conforme al RGPD, ya que las fuentes alojadas localmente son conformes.

Si las fuentes están alojadas localmente en tus servidores y no usas ningún otro servicio de Google en el sitio web, no es necesario tener un banner de cookies para las fuentes.

5. Cómo medir sin pedir consentimiento de analytics

Si tu objetivo es únicamente conocer el tráfico de tu sitio sin montar un CMP completo para analytics, existen alternativas que no caen bajo el régimen de consentimiento.

Plausible no instala cookies, no recopila datos personales y su script pesa alrededor de 1 KB. Dado que no utiliza cookies, no se requiere un banner de consentimiento para la medición de audiencia. Los datos se alojan dentro de la Unión Europea.

Matomo es otra opción, aunque requiere configuración activa para ser equivalente: Matomo autoalojado puede configurarse para cumplir completamente con el RGPD sin cookies, pero no es la configuración por defecto. Tal como viene, usa cookies de primera parte. Hay que configurar activamente el tracking sin cookies, la anonimización de IP y la operación sin consentimiento. Plausible y Fathom dan esto por defecto; Matomo hay que ganárselo.

Si mantienes GA4 con Consent Mode v2, la arquitectura de medición bajo ese modelo requiere bloquear scripts por defecto, configurar los cuatro parámetros de consentimiento y validar que los pings sin cookies llegan correctamente antes de la interacción del usuario con el banner.

6. Cómo auditar las cookies de tu stack

Antes de decidir qué poner en el banner, necesitas saber exactamente qué se está ejecutando. El proceso tiene tres pasos:

Paso 1: Auditar las peticiones de red

Abre las herramientas de desarrollo del navegador (pestaña “Red”), elimina todas las cookies, recarga la página y observa las peticiones de red antes de interactuar con el banner. Si ves llamadas hacia dominios de terceros, tu CMP no está bloqueando efectivamente los scripts.

Dominios a vigilar: fonts.googleapis.com, fonts.gstatic.com, analytics.google.com, connect.facebook.net, sc.static.net, cualquier CDN externo de widgets.

Paso 2: Clasificar cada cookie

Para cada cookie o petición de tercero que encuentres, responde a estas preguntas:

  • ¿Qué dato transfiere? (IP, identificador de usuario, historial de navegación)
  • ¿Quién lo recibe? (¿el editor solo o también el proveedor del script?)
  • ¿El proveedor declara que reutiliza esos datos para otros fines?

Si el proveedor reutiliza los datos (caso GA4, Meta Pixel), necesitas consentimiento. Si el dato se limita al funcionamiento del sitio y no sale del control del editor, probablemente estés en el terreno de la exención.

Paso 3: Documentar la decisión

Para cada elemento del stack, deja constancia escrita de la base jurídica elegida. No es un requisito formal de auditoría, pero es la diferencia entre un sitio que cumple y uno que puede demostrar que cumple.

Una tabla simple sirve:

Script / CookieTipoBase jurídicaConsentimiento necesario
Cookie de sesión NetlifyTécnicaInterés legítimo / necesariaNo
Google Fonts (self-hosted)NingunaNo
GA4Analytics con reutilización de datosConsentimiento
Font CDN externoTransferencia de IPConsentimiento
HotjarGrabación de sesiónConsentimiento

7. Requisitos del banner si lo necesitas

Si tu stack incluye algún elemento que requiere consentimiento, el banner debe cumplir con las actualizaciones de la AEPD vigentes desde enero de 2024.

La AEPD establece la obligación de incluir un botón o mecanismo equivalente, similar al mecanismo para aceptar las cookies, con las palabras “Rechazar cookies”, “Rechazar” o textos similares, para rechazar el uso de cookies (salvo aquellas exentas de la obligación de obtener consentimiento informado).

El CMP debe bloquear técnicamente la ejecución de los scripts de terceros mientras el usuario no haya consentido. No un bloqueo simbólico, un bloqueo real, verificable por inspección del tráfico de red.

La prueba del consentimiento (artículo 7 RGPD) debe almacenarse del lado del servidor, con un identificador único y una marca de tiempo. Una cookie local que contiene “consent=true” no constituye una prueba.

La validez del consentimiento es de un máximo de 24 meses según las orientaciones de la AEPD.

Resumen: el criterio de decisión en tres preguntas

Antes de añadir cualquier script o recurso de tercero a tu proyecto, aplica este filtro:

  1. ¿Transfiere datos personales (IP, identificador, comportamiento) a un tercero? → Si no, no necesitas consentimiento ni declaración especial.
  2. ¿El tercero declara que reutiliza esos datos para fines distintos al servicio prestado? → Si sí, necesitas consentimiento explícito previo, sin excepciones.
  3. ¿Puedes eliminar la dependencia del tercero? (self-hosting, alternativa privacy-first) → Si puedes, suele ser la opción más limpia técnica y legalmente.

El error más común no es desconocer la ley: es no haber revisado las peticiones de red del sitio desde el principio. Un proyecto bien montado en Astro sin embeds externos, con fuentes self-hosted y analytics sin cookies puede llegar a producción con un banner mínimo o incluso sin él, dependiendo del stack. Esa decisión merece tomarse con criterio, no por defecto.