Sanciones por Consentimiento de Cookies: Multas del RGPD y Riesgos Legales Explicados

Resumen Ejecutivo

Los banners de consentimiento de cookies se han vuelto omnipresentes en los sitios web en los últimos años, impulsados por leyes de privacidad que requieren el permiso del usuario antes de que se puedan implementar tecnologías de seguimiento (como las cookies). No mostrar un banner de consentimiento de cookies adecuado –y, por lo tanto, no obtener el consentimiento válido del usuario– es una violación directa de esas leyes. En todas las jurisdicciones, las sanciones por tales violaciones pueden incluir multas sustanciales y órdenes de ejecución. Por ejemplo, en 2025, la Autoridad Francesa de Protección de Datos (CNIL) impuso multas récord por infracciones relacionadas con las cookies: Google y Shein fueron sancionados con multas de 325 millones de euros y 150 millones de euros, respectivamente, por colocar cookies de seguimiento sin un consentimiento libremente otorgado ^{[1] [2]}. Los tribunales también han sancionado los "muros de cookies" –banners que obligan coercitivamente a los usuarios a aceptar cookies como condición del servicio– y han exigido a las empresas que añadan opciones claras de "rechazar" bajo amenaza de multas diarias ^[3] (Source: noyb.eu). En Bélgica, por ejemplo, la APD ordenó a cuatro importantes sitios web de noticias que añadieran un botón visible de "rechazar todo" o se enfrentarían a multas de 50.000 euros al día (Source: noyb.eu). En resumen, omitir un banner de consentimiento de cookies conforme (o emplear uno defectuoso) puede desencadenar las sanciones máximas según la ley de protección de datos –a menudo limitadas al 2-4% de la facturación global de una empresa o a decenas de millones de euros– y puede incluir multas diarias u órdenes judiciales hasta que se logre el cumplimiento.

Este informe proporciona un análisis en profundidad de las normas legales y las tendencias de aplicación que rigen los banners de consentimiento de cookies, los tipos de sanciones impuestas por el incumplimiento y las implicaciones prácticas para las organizaciones. Cubre el desarrollo histórico de las leyes de consentimiento de cookies, los marcos regulatorios actuales en diferentes regiones (especialmente la UE y el Reino Unido, donde las leyes son estrictas) y las sanciones que se han impuesto en casos reales. Examinamos la investigación académica sobre el cumplimiento de los banners de cookies, los comentarios de expertos y los estudios de caso (incluidas las principales multas impuestas por la CNIL y otros). También exploramos contra-perspectivas (por ejemplo, las preocupaciones de la industria sobre la "fatiga del consentimiento" y las posibles futuras reformas de las normas sobre cookies). A lo largo del informe, las afirmaciones están respaldadas por extensas citas a fuentes legales, anuncios regulatorios, informes de noticias y estudios académicos.

Introducción

El drástico aumento de las tecnologías de seguimiento en línea en las últimas dos décadas llevó a los reguladores a exigir a los sitios web que obtuvieran el consentimiento del usuario antes de implementar cookies o herramientas análogas. Este requisito se remonta a principios de la década de 2000 con la "ley de cookies" de la UE (la Directiva sobre privacidad y comunicaciones electrónicas) y desde entonces ha sido reforzado por leyes de protección de datos más amplias (en particular, el Reglamento General de Protección de Datos de la UE, o GDPR). En la práctica, la manifestación más visible de estas reglas es el banner de consentimiento de cookies o la ventana emergente que saluda a los visitantes en muchos sitios web hoy en día. Estos banners suelen informar a los usuarios sobre el uso de cookies y les piden que acepten o rechacen las cookies no esenciales.

Sin embargo, muchos sitios web han tenido dificultades para implementar estos banners de manera totalmente legal. Los fallos comunes incluyen no mostrar ningún banner, ocultar la opción de rechazar/excluirse, premarcar las casillas de consentimiento o, de otro modo, dirigir a los usuarios hacia el consentimiento. Como resultado, los reguladores de privacidad han intensificado su acción, investigando sitios e imponiendo sanciones. De hecho, los banners de cookies no conformes se han convertido en un importante foco de aplicación. Los defensores de la privacidad (como el grupo de la UE NOYB) han presentado cientos de quejas sobre banners engañosos, lo que ha llevado a las autoridades de protección de datos ("APD") a actuar.

Este informe aborda la pregunta: ¿Cuál es la sanción por no mostrar un banner de consentimiento de cookies? En otras palabras, qué acciones de cumplimiento y sanciones puede esperar un operador de sitio web si no obtiene un consentimiento válido para las cookies. Procedemos primero describiendo el marco legal (por qué se requiere el consentimiento), luego resumiendo las diversas sanciones (multas, mandatos judiciales, etc.) impuestas por los fallos. Analizamos datos y estudios de caso, y examinamos múltiples perspectivas (reguladores, empresas, expertos en privacidad). También discutimos el contexto más amplio y el probable futuro de la ley de consentimiento de cookies. La respuesta es exhaustiva: profundiza en las complejidades de la ePrivacy y la ley de protección de datos, revisa las tendencias de aplicación en todas las jurisdicciones y proporciona ejemplos detallados de sanciones, respaldados por fuentes expertas y académicas.

Antecedentes Legales y Regulatorios

Evolución de las Normas de Consentimiento de Cookies

El requisito de mostrar banners de cookies se deriva principalmente de las leyes de privacidad de datos adoptadas en la UE y jurisdicciones relacionadas. Las raíces clave son:

• Directiva ePrivacy de la UE (2002/58/CE): A menudo llamada la "ley de cookies", esta directiva de la UE (modificada en 2009 por la Directiva 2009/136/CE) exige explícitamente que los sitios web no pueden almacenar ni acceder a información en el dispositivo de un usuario (por ejemplo, a través de cookies) a menos que el usuario haya dado su consentimiento claro después de haber sido informado sobre los fines. En la mayoría de los estados miembros, esto se transpuso a la legislación nacional (por ejemplo, las Regulaciones de Privacidad y Comunicaciones Electrónicas del Reino Unido, "PECR"). La regla central se puede resumir como: Los sitios web deben informar a los usuarios sobre las cookies y obtener su consentimiento inequívoco antes de colocar cookies no esenciales.

• GDPR de la UE (2016/679): Aunque el GDPR no menciona específicamente las "cookies", afirma que las cookies identificables (especialmente aquellas que rastrean el comportamiento) constituyen datos personales. Por lo tanto, el procesamiento de esos datos requiere una base legal, más comúnmente el consentimiento. Según el GDPR, el consentimiento debe ser libremente otorgado, específico, informado e inequívoco (Artículo 4). Si un banner de cookies no cumple con estos estándares –por ejemplo, al aceptar todas las cookies por defecto o al ocultar la opción de exclusión– el consentimiento no es válido según el GDPR. Muchas de las multas de la UE por violaciones de cookies se han enmarcado, de hecho, como infracciones del GDPR (por ejemplo, no obtener el consentimiento según lo requerido por los Artículos 6 y 7 del GDPR).

• Implementaciones Nacionales: Los estados miembros de la UE (y los países que adoptan leyes similares) han promulgado o adaptado sus leyes de privacidad para imponer obligaciones de consentimiento de cookies. Por ejemplo, la Ley de Protección de Datos de Francia (Loi Informatique et Libertés) contiene disposiciones (por ejemplo, el Artículo 82) que se dirigen específicamente a las "cookies publicitarias", haciéndose eco de la regla de la UE ^[4]. En el Reino Unido, las PECR y la Ley de Protección de Datos (y ahora el GDPR del Reino Unido) rigen las cookies. Otros países (por ejemplo, Suiza, Japón, Corea del Sur) tienen sus propias leyes de privacidad, y en algunos casos reglas especiales para las tecnologías de seguimiento, aunque a menudo no tan detalladas o estrictamente aplicadas como en la UE ^{[5] [6]}.

En términos sencillos, según la legislación actual de la UE/Reino Unido, un sitio web debe (1) notificar a los visitantes cómo se utilizan las cookies, y (2) permitirles optar afirmativamente por las cookies no esenciales. Las cookies esenciales (por ejemplo, para la funcionalidad del carrito de compras o la seguridad básica) están exentas, pero prácticamente todas las cookies de publicidad, análisis y redes sociales requieren consentimiento. El banner de cookies del sitio web es el mecanismo para lograr (1) y (2). Como establece la guía de la ICO del Reino Unido: "debe informar a las personas que las cookies están ahí; explicar qué hacen las cookies y por qué; y obtener el consentimiento de la persona para almacenar una cookie en su dispositivo" ^[5]. Si un sitio web no obtiene un consentimiento válido (por ejemplo, al no tener un banner o al presentarlo incorrectamente), incumple las normas de ePrivacy/GDPR y, por lo tanto, se expone a sanciones.

Requisitos de Consentimiento en Detalle

Según el Artículo 7 y el Considerando 32 del GDPR, el consentimiento debe ser un acto afirmativo claro. Esto significa que no hay casillas premarcadas ni consentimiento asumido por silencio. El TJUE (Tribunal de Justicia de la UE) ha aclarado que la configuración de privacidad o el mero uso del sitio web no pueden servir como consentimiento. Los usuarios deben realizar una acción explícita (hacer clic en "aceptar", por ejemplo). Además, el consentimiento debe ser tan fácil de retirar como de dar; una opción de "rechazar" debe estar disponible sin penalización ^{[7] [8]}.

Los banners de cookies a menudo no cumplen estas pruebas por diseño: los investigadores han descubierto que muchos sitios premarcan "aceptar todo" por defecto o utilizan patrones oscuros para inducir la aceptación. Un estudio a gran escala encontró que el 54% de los sitios web probados violaban la ley, por ejemplo, al no dar a los usuarios una opción real. Específicamente, descubrieron docenas de sitios que registraban "consentimiento positivo" incluso cuando el usuario no hacía nada, y muchos que no ofrecían una opción de exclusión directa ^[9]. Otra encuesta de 7.500 sitios web en Grecia y el Reino Unido encontró que menos de la mitad de ellos mostraban algún aviso de cookies, a pesar de que la mayoría colocaba cookies de seguimiento ^[10].

Los reguladores a veces enfatizan los requisitos de forma. Por ejemplo, el Digital Clearing House de la autoridad de datos irlandesa señaló que los banners son ilegales si omiten un botón claro de "no" o sesgan el consentimiento de alguna otra manera ^[8]. En 2023, el Comisionado de la ICO del Reino Unido advirtió a las empresas: no ofrecer una opción sencilla de "rechazar todo" en su banner es una infracción de la ley, y la ICO lo perseguiría (aunque con pasos intermedios antes de imponer multas) ^[8]. De manera similar, el Grupo de Trabajo del Artículo 29 de la UE y, posteriormente, el Comité Europeo de Protección de Datos han emitido directrices que enfatizan que los banners de cookies no deben ocultar u ofuscar la opción de exclusión. El principio es claro: aceptar cookies debe ser una elección positiva, no una opción de exclusión por defecto.

Contexto Global: EE. UU. y Otros

Por el contrario, fuera de Europa el panorama legal es bastante diferente. En los Estados Unidos, no existe una ley federal que exija banners de consentimiento de cookies. La regulación de la privacidad es sectorial y a nivel estatal. La Ley de Privacidad del Consumidor de California (CCPA/CPRA) otorga a los usuarios derechos como "no vender mis datos", pero no exige explícitamente banners de cookies ni la obtención de consentimiento para las cookies de seguimiento comunes ^[6]. Las leyes federales como ECPA o COPPA restringen ciertos usos de los datos de comunicaciones (en particular, COPPA requiere el consentimiento de los padres para el seguimiento de niños a través de cookies) pero no imponen un requisito general de opt-in para sitios web. Como señala una FAQ legal, "según las leyes de privacidad de EE. UU., no existe un requisito claro para el consentimiento de cookies", aunque a menudo se aconseja a las empresas que utilicen banners voluntariamente para evitar acciones de la FTC o demandas colectivas ^[6].

Algunos países no pertenecientes a la UE han adoptado leyes con elementos de consentimiento. Por ejemplo, la PDPA de Singapur y la PIPEDA de Canadá requieren un consentimiento "significativo" para la recopilación de datos personales, lo que podría incluir las cookies, pero carecen de reglas detalladas específicas para las cookies. El proyecto de ley de protección de datos personales de la India (aún no en vigor) requeriría el consentimiento para el procesamiento de datos personales, pero los detalles de implementación están pendientes. En general, sin embargo, es el régimen de ePrivacy/GDPR centrado en la UE el que ha impulsado la adopción global del consentimiento mediante banners como práctica común, y las fuertes sanciones por incumplimiento que vemos hoy en día provienen principalmente de los reguladores europeos que aplican esas leyes.

Mecanismos de Aplicación y Sanciones

Si un operador de sitio web no presenta un banner de consentimiento de cookies válido (y, por lo tanto, no obtiene un consentimiento legal), las sanciones suelen presentarse en dos formas principales: multas administrativas según la ley de protección de datos, y órdenes judiciales u otros remedios de ejecución. En Europa, los principales encargados de la aplicación son las Autoridades Nacionales de Protección de Datos (APD) o los reguladores de comunicaciones. En otras regiones, la aplicación podría implicar a agencias de datos u organismos de protección del consumidor.

Multas según las Leyes de Protección de Datos

Según el GDPR (y las disposiciones espejo en las leyes nacionales), las APD pueden imponer multas sustanciales por infracciones. Para las infracciones relacionadas con las cookies, las disposiciones relevantes generalmente se encuentran bajo el Artículo 83 del GDPR. Las multas máximas están escalonadas: las infracciones de las obligaciones básicas de consentimiento y transparencia (como no respetar las opciones de exclusión de cookies) pueden dar lugar a multas de hasta 20 millones de euros o el 4% de la facturación global (lo que sea mayor) ^[11]. Las infracciones menores pueden incurrir en hasta 10 millones de euros o el 2% (por ejemplo, el incumplimiento de algunos requisitos específicos). En la práctica, muchas violaciones de banners de cookies se han considerado lo suficientemente graves como para justificar multas de varios millones o incluso de cientos de millones de euros.

La aplicación más fuerte de la UE hasta la fecha ha provenido de la CNIL de Francia. A finales de 2023 y en 2025, la CNIL impuso sanciones récord a grandes empresas por violaciones de cookies. Por ejemplo, en diciembre de 2023, Francia multó a Yahoo con 10 millones de euros por sus prácticas de cookies ^[12]. Y en septiembre de 2025, la CNIL impuso 325 millones de euros a Google y 150 millones de euros a Shein por no obtener un consentimiento válido ^{[1] [11]}. Estas multas fueron notables no solo por su tamaño sino por su justificación: citaron explícitamente fallos en el consentimiento de cookies. La CNIL declaró que Google había "coaccionado" a los usuarios para que aceptaran cookies (un "muro de cookies") al configurar cuentas, y había insertado cookies de seguimiento en Gmail sin un consentimiento libremente otorgado ^[13]. Shein fue sancionada por colocar cookies de seguimiento incluso después de que los usuarios se hubieran excluido, y por mecanismos de retirada inadecuados ^{[13] [11]}. En opinión de la CNIL, ambas empresas "no obtuvieron el consentimiento libre e informado de los usuarios" antes de la colocación de cookies ^[1]. Estos casos ilustran el extremo del espectro de sanciones: multas equivalentes a alrededor del 2-4% de los ingresos de las empresas ^[14].

Otras APD europeas han emitido multas u órdenes de menor escala. Por ejemplo, en Bélgica, la Autoridad de Protección de Datos multó al grupo de prensa Roularta con 50.000 euros (aproximadamente el 2% de la sanción solicitada para el cumplimiento de apoyo al consumidor) por violaciones del consentimiento de cookies ^[15]. La APD encontró que Roularta no cumplía las condiciones para obtener el consentimiento del usuario (simplemente almacenaba cookies de seguimiento sin una aceptación clara). Aunque menor en términos absolutos, esta multa (impuesta en mayo de 2022) refleja la aplicación de las normas del GDPR por parte de Bélgica: no fue una sanción penal sino una multa administrativa según la ley de protección de datos.

Las posibles multas varían entre los Estados miembros de la UE, dependiendo de cómo la legislación nacional canalice el RGPD. En Francia, por ejemplo, el Artículo 82 de la Ley de Protección de Datos aborda específicamente las "cookies publicitarias" y permite a la CNIL imponer sanciones por su uso indebido (como se vio anteriormente) ^[4]. En el Reino Unido, infracciones similares se rigen por las Regulaciones de Privacidad y Comunicaciones Electrónicas (PECR) y el RGPD del Reino Unido. Históricamente, las infracciones de las PECR podían ser procesadas o multadas con hasta 500.000 libras esterlinas, pero hoy en día el régimen de multas de la ICO sigue los niveles del RGPD (hasta 17,5 millones de libras esterlinas/4% para las infracciones más graves). La ICO aún no ha anunciado públicamente multas de alto perfil relacionadas con cookies, pero a finales de 2023 advirtió a las principales empresas del Reino Unido con banners no conformes que los corrigieran o se arriesgarían a acciones de cumplimiento ^{[16] [8]} (más sobre esto a continuación).

Multas Diarias y Órdenes de Cumplimiento

Además de las multas únicas, los reguladores a menudo utilizan pagos de penalización periódicos para asegurar el cumplimiento futuro. En particular, en el caso de la CNIL contra Google, el esquema de multa incluía una orden de que Google debía corregir sus prácticas en un plazo de seis meses o enfrentarse a una multa de 100.000 € al día ^[17]. La decisión oficial de la CNIL (septiembre de 2025) establecía explícitamente que si Google no implementaba las medidas requeridas (dejar de insertar anuncios y asegurar un consentimiento válido para las cookies) dentro del plazo, incurriría en esa penalización diaria ^[17]. Este mecanismo de "astreinte" (multa judicial) es una sanción contundente para asegurar que las empresas corrijan sus banners rápidamente.

Las autoridades belgas impusieron sanciones diarias de manera similar. En 2024, la APD belga ordenó a cuatro importantes sitios de noticias (operados por Mediahuis) que añadieran un botón claro de "rechazar" a sus banners y corrigieran opciones de diseño engañosas. La orden venía acompañada de una penalización de 50.000 € al día, por sitio web, por incumplimiento diario (Source: noyb.eu). En otras palabras, si alguno de esos sitios no implementaba los cambios requeridos a tiempo, el editor debería 50.000 € por cada día de retraso por cada sitio (Source: noyb.eu). Esta es una de las amenazas de "multa diaria" más altas observadas en la aplicación de la normativa sobre cookies, y subraya la seriedad con la que los reguladores consideran la negativa del consentimiento.

Otros reguladores de la UE han utilizado herramientas similares. Por ejemplo, en el acuerdo belga que vimos anteriormente, una pequeña "multa" de 10.000 € fue esencialmente un pago inicial para evitar forzar el cumplimiento, lo que ilustra que incluso sumas simbólicas pueden usarse como disuasión (aunque esta resolución fue ampliamente criticada por los activistas por ser demasiado indulgente (Source: noyb.eu). Los reguladores también pueden suspender el procesamiento u ordenar prohibiciones temporales de ciertas cookies hasta que se reparen los mecanismos de consentimiento, aunque tales detalles no siempre se publican explícitamente.

Estudios de Casos de Aplicación

A continuación, examinamos casos representativos y anuncios regulatorios que ilustran cómo se manifiestan estas sanciones.

• Francia/CNIL (Gigantes Azules y Rojos) – Los ejemplos más dramáticos provienen de la CNIL. En enero de 2024, la CNIL multó a Yahoo! con 10 millones de euros por no respetar las preferencias de cookies de los usuarios ^[12]. La CNIL había recibido docenas de quejas de que Yahoo dejaba las cookies de seguimiento activas incluso cuando los usuarios habían optado por no participar, y dificultaba mucho la retirada del consentimiento posteriormente. Más recientemente, en septiembre de 2025, la CNIL anunció multas de 325 millones de euros y 150 millones de euros contra Alphabet/Google y Shein, respectivamente ^{[1] [18]}. Ambas sanciones fueron explícitamente por infracciones relacionadas con cookies. En el caso de Google, la CNIL citó la "inserción de anuncios en Gmail" y la "coerción a los usuarios" para que aceptaran cookies a través de un muro de cookies ^{[19] [20]}. En el caso de Shein, se señaló la colocación de cookies sin consentimiento y la ignorancia de las elecciones de los usuarios ^{[18] [11]}. Estas multas ilustran que las grandes empresas globales pueden enfrentarse al límite máximo de las multas del RGPD por algo tan aparentemente mundano como los banners de cookies, cuando el consentimiento se ignora descaradamente. (La multa de Google representó una pequeña fracción de sus ingresos, pero se justificó por el alto impacto en los usuarios y las repetidas desviaciones del cumplimiento; la de Shein fue aproximadamente el 2% de su facturación en la UE ^[14].) La CNIL también ordenó a ambas empresas que cesaran las prácticas identificadas en un plazo de seis meses o se enfrentarían a sanciones diarias adicionales ^[17].

• Bélgica/APD (Mediahuis y Roularta) – A mediados de 2022, la APD belga multó a Roularta con 50.000 € ^[15] por colocar cookies de seguimiento sin consentimiento válido en dos de sus sitios web. La APD señaló que Roularta "no cumplía las condiciones para recabar el consentimiento del usuario para la colocación de cookies" según las disposiciones del RGPD ^[15]. Esta multa, aunque modesta, demuestra que ni siquiera un editor de prensa nacional puede ignorar las normas de consentimiento. Más recientemente (septiembre de 2024), tras las quejas de la ONG de privacidad NOYB, la autoridad belga ordenó a cuatro importantes medios de comunicación (parte del grupo Mediahuis) que implementaran un botón de rechazo prominente en los banners de cookies (Source: noyb.eu). Estos sitios fueron criticados por diseños de banner "engañosos". La orden advertía explícitamente de sanciones de 50.000 € al día si el incumplimiento persistía (Source: noyb.eu). (Cabe destacar que una gestión anterior permitió a estos sitios pagar acuerdos de 10.000 € sin cambiar sus banners, un resultado que NOYB criticó como permitirles "comprar su libertad del RGPD" (Source: noyb.eu).)

• Países Bajos/Autoriteit Persoonsgegevens (AP) – En abril de 2025, la APD holandesa señaló una amplia campaña de aplicación. Envió cartas de advertencia a más de 50 organizaciones (minoristas, medios de comunicación, aseguradoras) en los Países Bajos, indicando que sus banners de cookies eran engañosos o que colocaban cookies de seguimiento sin consentimiento ^[21]. Estas cartas daban a las empresas tres meses para corregir sus prácticas o arriesgarse a investigaciones formales y multas ^[21]. Aunque aún no se han anunciado multas específicas, la comunicación de la APD holandesa destacó que trata las infracciones con seriedad y puede imponer multas administrativas por incumplimientos de la Ley de Telecomunicaciones holandesa (que implementa las normas de ePrivacy de la UE) y las normas paralelas del RGPD ^[21]. Los analistas legales señalaron que esto forma parte de una campaña financiada para hacer cumplir las normas sobre cookies con mayor rigor en los Países Bajos. (La AP enfatizó que las cookies utilizadas para marketing solo son legales con consentimiento previo, y las empresas que no cumplan se enfrentan a toda la panoplia de sanciones bajo el RGPD y ePrivacy.)

• Reino Unido/ICO – Hasta ahora, el Comisionado de Información del Reino Unido ha sido relativamente cauteloso con las multas directas por cookies. Sin embargo, a mediados de 2023, la ICO advirtió públicamente a las empresas que los banners deficientes no serían tolerados ^[8]. El Comisionado Adjunto Stephen Bonner declaró explícitamente que la falta de una opción clara de "rechazar todo" es una infracción de la ley del Reino Unido (PECR), y que "no hay excusa" para el incumplimiento ^[8]. La ICO también indicó que podría adoptar un enfoque escalonado ("etapas de intervención") antes de pasar a las multas. En particular, en noviembre de 2023 surgieron informes de que la ICO había enviado notificaciones oficiales a varios de los sitios web más grandes del Reino Unido (incluidas empresas de medios y tecnología) exigiendo mejoras en sus banners en un plazo de 30 días o se enfrentarían a acciones de cumplimiento ^[16]. Aunque esos casos aún no han producido multas públicas, los comentaristas legales observan que la aplicación de la ley por parte de la ICO (antes considerada laxa) está aumentando; de hecho, un blog legal insta a las empresas a anticipar que la ICO comenzará a emitir multas en lugar de meros consejos ^[22]. (Las recientes propuestas legislativas del Reino Unido incluso aumentan las apuestas: el próximo Proyecto de Ley de Protección de Datos e Información Digital autorizaría multas mucho mayores bajo las PECR, alineándose con los niveles superiores del RGPD ^[23].)

• Otras APD de la UE – Varias otras autoridades europeas han emitido sanciones relacionadas con cookies en los últimos años. Por ejemplo, en Italia, el Garante ha discutido el diseño de cookies en sus directrices y ha iniciado investigaciones, aunque las grandes multas específicamente por banners han sido menos publicitadas. En Alemania, las asociaciones de consumidores han llevado a grandes editores a los tribunales por el diseño de banners (por ejemplo, el caso "Focus Online" determinó que su banner era inválido, lo que significaba que el consentimiento no se había obtenido legalmente (Source: blog.eprivacy.eu) (Source: blog.eprivacy.eu). La APD de España ha multado a docenas de sitios web en el pasado por falta de consentimiento o banners ocultos (según se informa, con totales de cinco cifras). La DSB de Austria también ha examinado el consentimiento de cookies, emitiendo órdenes para corregir banners engañosos. La conclusión clave es que, en toda la UE, casi todas las APD ahora tratan el consentimiento de cookies como un cumplimiento fundamental de la privacidad: las infracciones están sujetas a multas administrativas y órdenes de cumplimiento.

• Estados Unidos (Demandas Colectivas y Escrutinio de la FTC) – De nuevo, es importante señalar que no existe una ley federal de cookies en EE. UU. Sin embargo, las empresas que se dirigen a usuarios de la UE o que utilizan estándares tipo RGPD aún pueden enfrentar riesgos si aplican una privacidad de propósito amplio y, por lo tanto, declaran el cumplimiento del RGPD/CCPA en todas partes. Por separado, los fiscales generales de algunos estados o la Comisión Federal de Comercio (FTC) podrían impugnar a las empresas por prácticas de privacidad engañosas si un banner de cookies es engañoso (como una práctica desleal o engañosa), pero tales casos no son prominentes. Las principales "sanciones" estadounidenses relacionadas con las cookies han surgido en forma de demandas colectivas bajo diversas teorías de responsabilidad civil extracontractual y protección del consumidor (invasión de la privacidad, comercio desleal, etc.). Recientemente, bufetes de abogados estadounidenses han iniciado numerosas demandas colectivas relacionadas con cookies, alegando típicamente que los banners o políticas de los sitios web engañan a los consumidores. Estas demandas pueden resultar en acuerdos monetarios (a menudo en los millones bajos) pero su viabilidad final sigue sin ser probada por los tribunales ^[24]. A diferencia de las multas del RGPD, estas demandas colectivas suelen ser mucho menores en conjunto, y el propio gobierno de EE. UU. no ha impuesto grandes multas puramente por banners de cookies a partir de 2025｜.

En resumen, las sanciones por no mostrar o configurar correctamente un banner de consentimiento de cookies pueden ser severas, especialmente en Europa. Como mínimo, un sitio web no conforme podría recibir una orden para corregir su banner o dejar de usar cookies, y si no lo hace, puede incurrir en multas diarias. En el peor de los casos, las APD han demostrado que utilizarán todas sus facultades sancionadoras (hasta el 2-4% de la facturación) cuando la infracción sea flagrante y generalizada ^{[11] [17]}. A continuación, presentamos una tabla de casos notables:

| Bélgica (APD) | 2024 | Mediahuis (editor de 4 títulos) | Orden de corregir los banners (añadir "rechazar"); penalización de 50.000 €/día si no se cumple (Source: noyb.eu) | Uso de banners de cookies engañosos sin una opción clara de exclusión voluntaria (Source: noyb.eu). | | Bélgica (APD) | 2022 | Roularta Press Group | Multa de 50.000 € ^[15] | Incumplimiento de los requisitos de consentimiento al colocar cookies en sitios web ^[15]. | | Países Bajos (AP) | 2025 | 50 empresas (minoristas, medios, etc.) | Cartas de advertencia; plazo de 3 meses para corregir o enfrentar multas ^[21] | Banners de cookies engañosos o colocación de cookies de seguimiento sin consentimiento válido ^[21]. | | Reino Unido (ICO) | 2023 | Varios sitios principales (noticias, tecnología) | Notificaciones formales emitidas; 30 días para corregir o enfrentar acciones coercitivas ^[16] | Banners de cookies sin opciones claras ("rechazar todo") en incumplimiento de PECR/GDPR ^{[16] [8]}. | | Jurisdicciones de la UE (Varía) | 2023–24 | Varios sitios web | Órdenes de cumplimiento de las APD; pequeñas multas o compromisos | Uso de patrones oscuros; bloqueo de contenido a menos que se acepte ("muros de cookies"); información insuficiente. | | (Para comparar) EE. UU.† | — | — | Sin multa federal por cookies; regulaciones de exclusión voluntaria de la CCPA; posibles advertencias de la FTC | Sin mandato de consentimiento explícito; se observan demandas de privacidad por responsabilidad civil (acciones colectivas). | † En EE. UU., la aplicación de la ley se rige por las leyes estatales de privacidad y la FTC, en lugar de un régimen de sanciones al estilo de la UE ^[6].

Evidencia y Análisis de Datos

Tasas de Cumplimiento y Estudios

Múltiples estudios han documentado un incumplimiento generalizado de las normas de consentimiento de cookies:

• Encuestas Académicas: Kampanos y Shahandashti (2021) encuestaron sistemáticamente 17.000 sitios web en Grecia y el Reino Unido y descubrieron que, aunque alrededor del 60% de los sitios emitían cookies de seguimiento de terceros, menos del 50% mostraba algún aviso de cookies ^[10]. Incluso entre aquellos con banners, la mayoría empujaba a los usuarios a "aceptar" o dificultaba el rechazo, y muy pocos ofrecían una opción de exclusión voluntaria sencilla ^[25]. Esto sugiere que una gran fracción de sitios simplemente viola la ley al no informar a los usuarios en absoluto. Otro estudio de Matte et al. (2019) rastreó casi 23.000 sitios europeos utilizando el marco IAB TCF y encontró al menos una violación legal en el 54% de los sitios probados ^[9]. Las infracciones comunes incluían casillas de consentimiento premarcadas y el incumplimiento de una selección de exclusión voluntaria (alrededor de 27 sitios incluso almacenaron el consentimiento positivo después de una exclusión voluntaria explícita) ^[9]. Estos resultados indican que la mayoría de los sitios, al menos en las poblaciones muestreadas, no estaban respetando adecuadamente los requisitos de consentimiento.

• Herramientas de Detección Automatizada: Los investigadores han desarrollado herramientas (por ejemplo, "Cookiescanner" ^[26]) para detectar y evaluar banners de cookies a gran escala. Sus hallazgos refuerzan que muchos banners se implementan incorrectamente. Gundelach y Herrmann (2023) señalan que "muchos operadores de sitios web no cumplen con la ley y rastrean a los usuarios antes de cualquier interacción con el aviso de consentimiento, o intentan engañar a los usuarios para que den su consentimiento a través de patrones oscuros" ^[27]. Este estudio escaneó los 10.000 sitios web principales y encontró que los filtros manuales a menudo pasaban por alto los banners (lo que sugiere que el problema está muy extendido) y que la detección automática de botones de "rechazar" sigue siendo un desafío. En general, el escaneo especializado encontró numerosos casos en los que los banners carecían de una opción de rechazo o tenían dificultades para dar el mismo peso a las opciones de rechazar/aceptar ^[27]. Estos análisis sistemáticos proporcionan apoyo empírico para las acciones de cumplimiento: los reguladores habían anticipado que el cumplimiento sería laxo, y los datos muestran que, de hecho, más de la mitad de los sitios tenían algún problema con los banners.

• Quejas de Privacidad y Atención Regulatoria: Las propias agencias reguladoras informan que se basa en quejas. Por ejemplo, un blog de una firma de abogados de privacidad resume que la mayor atención de la ICO en 2023 fue provocada en parte por "el aumento de las quejas de los interesados" y las campañas de defensa ^[28]. Las encuestas ciudadanas también respaldan la necesidad de transparencia: una consulta pública de la UE encontró que más del 96% de los encuestados quieren que se les pregunte antes de que se utilicen cookies de terceros en su dispositivo. En resumen, tanto la presión pública de abajo hacia arriba como los cambios de política de arriba hacia abajo (como el borrador del Reglamento ePrivacy) apuntan a un consenso de que el consentimiento de las cookies debe tomarse en serio.

Estadísticas de Multas

Aunque carecemos de un repositorio central de todas las multas relacionadas con las cookies, los ejemplos conocidos permiten cierta cuantificación:

• Magnitud: Las multas impuestas por las APD por infracciones de cookies han oscilado entre decenas de miles y cientos de millones de euros. Aparte de Google/Shein (cientos de M€) y Yahoo (10 M€), muchas multas en 2019-2023 estuvieron en el rango de las seis cifras bajas. Por ejemplo, las multas anteriores de la CNIL incluían 150.000-200.000 € contra sitios más pequeños. Las decisiones de Francia a menudo comienzan alrededor de 100.000-150.000 € para sitios medianos ^[2]. De manera similar en Italia y España, se han reportado multas de alrededor de 100.000 € para infractores primerizos o de mediana escala. La multa belga a Roularta de 50.000 € fue de las más bajas, pero aun así significativa para un editor de tamaño mediano ^[15].

• Porcentaje de Facturación: En casos grandes, las multas se acercan a los límites legales. En particular, la CNIL enmarcó las multas a Google/Shein como aproximadamente el 2% de los ingresos europeos ^[14]. (Shein señaló explícitamente que sus multas corresponden a ~2% de su facturación de la UE en 2023 ^[14].) Esto sugiere que las APD están realmente inclinadas a aplicar el tramo máximo por infracciones flagrantes de consentimiento por parte de los principales actores. Las organizaciones más pequeñas suelen recibir multas absolutas relativamente más bajas, pero siempre proporcionales a su tamaño bajo el mandato "efectivo, proporcionado y disuasorio" del GDPR.

• Datos Agregados: Dado que la aplicación de la normativa sobre cookies se ha intensificado solo en los últimos años, los datos sistemáticos pueden surgir más tarde. Sin embargo, los avisos regulatorios y los comunicados de prensa indican que la inactividad de la era COVID (2019-2020) dio paso a una avalancha de casos en 2021-2025. Por ejemplo, la CNIL de Francia tenía un plan de acción de "mano dura con las cookies" desde 2019, y para 2022-2023 estaba imponiendo multas casi mensualmente (especialmente porque su plazo legal exigía que los sitios principales cumplieran antes de septiembre de 2020 ^[4]). En el Reino Unido, las acciones de la ICO siguen siendo más de asesoramiento, pero las hojas de cálculo de los avisos de PECR muestran un aumento en los casos relacionados con cookies registrados en 2023-24. La tendencia general es clara: la aplicación de la ley está aumentando drásticamente, y las sanciones están escalando.

Estudios de Caso y Ejemplos

Para ilustrar cómo se aplica la ley, describimos algunos ejemplos detallados de acciones regulatorias:

• Google (Francia, 2025): Posiblemente la acción de cumplimiento más publicitada involucró a Google. El 1 de septiembre de 2025, la CNIL anunció una multa de 325 M€ ^[19]. La investigación fue motivada por una queja de NOYB; los inspectores de la CNIL examinaron el servicio de Gmail de Google y el proceso de registro de cuentas ^{[19] [17]}. Los hallazgos fueron sorprendentes: Google estaba insertando anuncios en las bandejas de entrada de Gmail disfrazados de correos electrónicos personales, pero lo más relevante aquí fue cómo manejaba las cookies. La CNIL acusó a Google de "coaccionar" a los usuarios para que aceptaran cookies de seguimiento (un "muro de cookies") al crear cuentas, y que la interfaz de Gmail empujaba a los usuarios hacia el consentimiento ^{[20] [19]}. En resumen, el banner/diseño privaba a los usuarios de la libre elección. Al imponer la multa, la CNIL citó la negligencia repetida (Google había sido multado por problemas similares en 2020 y 2021), la enorme escala de usuarios afectados (más de 74 millones) y los altos ingresos de Google. Es importante destacar que las sanciones incluyeron una orden para que Google implementara los cambios necesarios en un plazo de seis meses; de lo contrario, Google se enfrenta a una multa adicional de 100.000 € por día ^[17]. Google respondió públicamente comprometiéndose a realizar cambios en sus análisis, enfatizando que solo una pequeña fracción de los usuarios ve "anuncios" en Gmail. (Este caso subraya que incluso la empresa tecnológica más grande no es inmune: el cumplimiento de las normas de consentimiento es obligatorio independientemente del tamaño de la empresa).

• Shein (Francia, 2025): En el mismo anuncio, la CNIL multó a la filial de Shein en la UE con 150 M€ ^[18]. Shein es un minorista de moda rápida en línea dirigido a consumidores franceses (aproximadamente 12 millones de visitantes mensuales en Francia, según la CNIL). Una inspección del sitio web en 2023 encontró infracciones generalizadas: Shein estaba colocando cookies de seguimiento en los dispositivos de los visitantes sin consentimiento. Los usuarios que optaron por no participar fueron ignorados, y el banner no permitía una fácil retirada del consentimiento ^{[11] [30]}. Los reguladores mencionaron específicamente "la colocación de algunas cookies sin el consentimiento de los internautas, al no respetar sus elecciones y al no informarles adecuadamente" ^[30]. Shein impugnó la multa como desproporcionada y políticamente motivada (argumentando que desde entonces había remediado sus prácticas y que su modelo de negocio dependiente de la publicidad había sido atacado injustamente) ^[31]. Las tarifas correspondieron a aproximadamente el 2% de los ingresos de Shein en el año fiscal 2023 en Europa ^[14]. Shein ha indicado que apelará, pero la multa envía un mensaje contundente: los grandes actores del comercio electrónico están bajo escrutinio por el cumplimiento del consentimiento, al igual que las plataformas tecnológicas.

• Yahoo (Francia, 2023): Antes de las decisiones sobre Google/Shein, la CNIL ya había demostrado su voluntad de multar a grandes actores por fallos en las cookies. El 29 de diciembre de 2023, la CNIL multó a Yahoo EMEA con 10 millones de euros ^[12]. Según su propio informe, Yahoo no "respetó la elección de los internautas que rechazaron las cookies en su sitio web 'Yahoo.com'" e hizo imposible retirar el consentimiento en Yahoo Mail ^[12]. La multa se produjo tras decenas de quejas de usuarios. Una vez más, el problema era esencialmente que los sitios de Yahoo seguían colocando cookies de seguimiento incluso después del rechazo, y los usuarios eran conducidos al consentimiento mediante trucos de UX. La CNIL señaló que había emitido una notificación formal en 2020, pero los problemas persistieron. La multa de 10 millones de euros fue notable como un caso raro contra una importante marca tecnológica estadounidense (Yahoo ahora forma parte de Apollo), y demostró que las viejas obligaciones aún tenían peso. Yahoo afirmó que había cumplido a finales de 2023, pero había fallado antes. La sanción obligó a Yahoo a reelaborar sus banners para dar el mismo peso a la opción de "rechazar".

• Mediahuis (Bélgica, 2024): En septiembre de 2024, tras las quejas de NOYB, la DPA belga (Commission de la Protection de la Vie Privée) emitió decisiones contra el editor Mediahuis (que opera sitios de noticias como De Standaard, Het Nieuwsblad). La DPA ordenó a cada sitio que añadiera un botón de "rechazar" claramente etiquetado en la primera capa del banner de cookies y que eliminara cualquier codificación de color engañosa (por ejemplo, hacer que "rechazar" fuera gris sobre un fondo gris) (Source: noyb.eu). Antes de eso, NOYB había acusado a estos sitios de usar banners ilegales durante años, pero las autoridades se habían conformado previamente aceptando un mero pago de 10.000 euros de Mediahuis, sin ninguna corrección de cumplimiento (Source: noyb.eu). Bajo presión, la DPA dio marcha atrás e impuso condiciones estrictas: "Si Mediahuis no cumple, se enfrenta a una multa de 50.000 euros por día por sitio web" (Source: noyb.eu). Esto creó un poderoso incentivo para rediseñar los banners. El caso destaca no tanto la multa monetaria (la orden en sí no tenía una suma punitiva fija, solo la amenaza de 50.000 euros/día), sino el dramático apalancamiento de aplicación otorgado a los reguladores.

• Roularta (Bélgica, 2022): Como ejemplo belga anterior, en mayo de 2022 la APD multó a Roularta con 50.000 euros ^[15]. Se descubrió que Roularta (propietario de revistas y sitios web) no había obtenido un consentimiento válido para las cookies, tal como lo exige el GDPR/PECR. La Sala de Litigios de la DPA declaró explícitamente que Roularta "no cumplió las condiciones para recopilar el consentimiento del usuario" para las cookies ^[15]. Si bien 50.000 euros es una partida pequeña para un grupo editorial (aunque probablemente un porcentaje significativo de sus ingresos publicitarios en esos sitios), fue una aplicación de la protección de datos, y la APD advirtió a otros que futuras quejas podrían dar lugar a multas mayores. El caso subraya que incluso las empresas de medios tradicionales deben respetar las normas de consentimiento digital.

En cada uno de estos ejemplos, la ausencia o insuficiencia de un banner de cookies fue el quid de la violación. Las sanciones oscilaron desde órdenes de cumplimiento y multas relativamente modestas (Bélgica, 50.000 euros) hasta multas multimillonarias (Francia, 325 millones de euros). Las organizaciones sancionadas a menudo incluían una mezcla de empresas nacionales e internacionales, y en muchos casos, las acciones legales fueron impulsadas por la jurisdicción de la UE (por ejemplo, las infracciones de Google y Shein se consideraron bajo la ley francesa porque esas empresas estaban dirigidas al mercado francés).

Múltiples Perspectivas y Contexto

Al considerar la cuestión de las sanciones, es importante reconocer múltiples puntos de vista:

• Perspectiva Regulatoria: Las DPA ven el consentimiento de cookies como una línea de base crítica para la privacidad. Enfatizan que la autonomía del usuario sobre el seguimiento no es negociable. Las fuertes multas en Francia y otros lugares envían un mensaje disuasorio de que incluso los grandes actores no pueden ignorar las reglas de consentimiento. Las DPA también destacan que el consentimiento de cookies es a menudo el "primer paso" hacia un cumplimiento integral del GDPR: ignorar los banners a menudo se correlaciona con otros abusos de datos. Por ejemplo, la CNIL de Francia impuso multas por cookies como parte de una campaña más amplia sobre el incumplimiento del seguimiento ^[4]. Los reguladores han advertido abiertamente a las empresas: "no hay excusa" para no ofrecer una opción de rechazo adecuada ^[8]. También reconocen las quejas de los usuarios: las DPA señalan la avalancha de quejas sobre los banners como justificación para la acción. Como lo expresó un resumen de expertos, los reguladores europeos han respondido a la "rabia" de los usuarios por los banners persistentes o engañosos tomando medidas enérgicas (etiquetas como "clickspamageddon" reflejan el sentimiento público). En la guía regulatoria, el énfasis está en la transparencia y la facilidad de rechazo: rechazar las cookies debe ser "tan fácil" como aceptarlas ^[32].

• Perspectiva Corporativa: En el ámbito empresarial, las opiniones varían. Muchas empresas aceptan a regañadientes los banners de cookies como una necesidad legal, aunque a menudo los ven como una carga para la UX y una barrera para el marketing basado en datos. Algunos ejecutivos se han quejado públicamente de que las reglas degradan la experiencia del usuario, causan fatiga por los banners y obstaculizan la publicidad en línea. De hecho, los grupos comerciales en Europa han presionado para obtener reglas más indulgentes (por ejemplo, eximir las cookies analíticas del consentimiento o permitirlas por defecto). Por ejemplo, el Proyecto de Ley de Reforma de Datos del Reino Unido propuso que las cookies analíticas se "permitieran sin consentimiento", lo que refleja la presión de la industria para reducir las demandas de banners (aunque los críticos dicen que esto socava la elección del usuario) ^[23]. Muchos sitios utilizan soluciones de banners proporcionadas por Plataformas de Gestión de Consentimiento (CMP), y los blogs de la industria discuten con frecuencia las "tasas de consentimiento" y las formas de maximizar las suscripciones. Sin embargo, la opinión corporativa dominante es que el cumplimiento es obligatorio: después de las multas de Google/Shein, las empresas con tráfico europeo querrán flujos de consentimiento robustos para evitar un destino similar. Algunas empresas se quejan de que los reguladores otorgan una ventaja injusta a los competidores locales que cumplen, por ejemplo, Shein calificó su multa de "políticamente motivada" porque compite con minoristas franceses ^[31]. Pero en última instancia, la opinión es que ignorar los banners conlleva el riesgo de multas y daños a la reputación.

• Perspectiva del Consumidor/Defensor de la Privacidad: Los activistas de la privacidad y muchos consumidores ven los propios banners de cookies con ambivalencia o molestia, pero generalmente apoyan el concepto de que el consentimiento debe ser significativo. Organizaciones como NOYB se concentran en hacer que esos banners realmente respeten la autonomía del usuario. Condenan los "muros de cookies" de "tómalo o déjalo" y los botones de exclusión ocultos. El eslogan de la campaña de NOYB se refirió al "terror de los banners de cookies" y ya ha resultado en cientos de quejas ^[29] (Source: noyb.eu). Las ONG de privacidad argumentan que el uso de patrones oscuros por parte de las empresas socava la intención de la ley. Una posición militante común es que cualquier barrera al servicio si se rechazan las cookies (un muro de cookies estricto) nunca es un consentimiento válido. Esta perspectiva impulsa una aplicación estricta y afectó la aplicación de la CNIL de los muros de cookies como violaciones de la protección de datos ^[13]. Por parte del usuario, la evidencia muestra que la mayoría de las personas simplemente hacen clic en "aceptar" solo para quitar la molestia, lo que sugiere que los avisos de consentimiento pueden no estar sirviendo mucho a la privacidad de todos modos. Aun así, los defensores argumentan que el marco legal debe forzar un mejor diseño: como lo expresó el título de una demanda, "los usuarios deberían tener una opción clara de sí o no" ^[33]. NOYB y otros han dicho explícitamente que consideran inaceptables multas como el acuerdo de Mediahuis (10.000 euros, sin cambios); quieren un cambio real aplicado por las DPA (Source: noyb.eu). En resumen, desde el punto de vista de la privacidad, la cuestión de la "sanción" es menos sobre las cantidades en dólares y más sobre si la aplicación finalmente producirá un cumplimiento genuino en lugar de acuerdos simbólicos.

• Perspectiva Legal/Académica: Los académicos del derecho señalan que las leyes de consentimiento de cookies son técnicamente complejas. Por ejemplo, existe un debate sobre si el consentimiento de seguimiento podría obtenerse a veces por motivos de "interés legítimo" en lugar de optar por participar (una opinión rechazada por la mayoría de las DPA). Ha habido varios casos judiciales: el Tribunal Regional de Múnich (2020-21) dictaminó que el banner de un sitio de noticias (Focus Online) no obtuvo un consentimiento válido porque no hizo que el rechazo fuera tan fácil como el consentimiento (Source: blog.eprivacy.eu) (Source: blog.eprivacy.eu). A un nivel superior, los académicos se centran en las pruebas de usuario y las comprobaciones automatizadas de cumplimiento. Concluyen que la aplicación está justificada: por ejemplo, la investigación de Gundelach y Herrmann indica que muchos sitios rastrean a los usuarios antes de la interacción con el banner, lo que confirma que los reguladores ya podrían estar investigando estos problemas exactos ^[27]. Los abogados también señalan que, dado que las multas del Artículo 83 del GDPR se expresan como porcentajes máximos, las autoridades nacionales tienen discreción. Los primeros casos de cookies tendieron a multas más pequeñas posiblemente debido a la novedad de la aplicación, pero el reciente cambio a sanciones multimillonarias sugiere que las autoridades están interpretando "eficaz, proporcionado" como "disuadir a otras empresas golpeándolas con fuerza".

• Analistas de la Industria / Visión Futura: Una perspectiva final es el futuro del propio consentimiento de cookies. Algunos expertos ahora cuestionan si los banners de cookies (el enfoque tradicional de "ePrivacy") son sostenibles. De hecho, los funcionarios de la Comisión Europea han reconocido la "fatiga del consentimiento". Hay propuestas para revisar la Directiva ePrivacy (la llamada Regulación ePrivacy, en discusión desde 2017). Una noticia informó que la UE planea revisar las reglas de cookies para 2025 a la luz de las quejas de los usuarios (el llamado "clickspamageddon") ^[34]. Los posibles cambios incluyen eximir las cookies analíticas o desarrollar señales de consentimiento estandarizadas a nivel de navegador. El resultado podría alterar las sanciones que se avecinan: por ejemplo, si las cookies analíticas se convierten en "consentimiento implícito", algunos comportamientos actualmente multados con miles de millones de dólares podrían volverse legales. Sin embargo, la mayoría de los expertos en consentimiento advierten que la aplicación de un consentimiento transparente y no coercitivo seguirá siendo fundamental, incluso si se relajan algunas reglas. Cualquier cambio futuro probablemente preservará la elección del usuario para el seguimiento (cookies de publicidad/seguimiento), por lo que no mostrar un banner (o proporcionar un banner falso) aún podría ser punible.

Implicaciones y Direcciones Futuras

Implicaciones Prácticas para las Organizaciones

La implicación inmediata de estas sanciones es que las organizaciones deben tratar los banners de cookies como proyectos serios de cumplimiento. Los días en que un operador de sitio web podía descartar las cookies como "solo una molestia" han terminado, al menos si el negocio tiene alguna exposición a los mercados de la UE/Reino Unido. Las empresas deben auditar sus banners y el uso de cookies de forma proactiva. Esto significa asegurar que todas las cookies no esenciales estén detrás de un banner que cumpla con las pruebas legales: informar al usuario, ofrecer una opción fácil de "rechazar" o opciones granulares, y registrar el consentimiento válido antes de activar cualquier script de seguimiento. Los equipos de cumplimiento deben seguir los anuncios de las acciones de aplicación y modelar sus banners según las mejores prácticas (por ejemplo, dando la misma prominencia y estilo a aceptar y rechazar, y evitando los "muros de cookies" que fuerzan la aceptación). Algunas empresas actualizarán a nuevas plataformas de gestión de consentimiento. Los abogados también aconsejan que los registros de consentimiento y las decisiones de diseño de banners deben documentarse como evidencia de los esfuerzos de cumplimiento, en caso de futuras investigaciones.

Dados los crecientes riesgos, los gestores de riesgos están recalculando la exposición. Una pequeña empresa en Europa podría incurrir en multas de decenas de miles por incumplimiento, una empresa mediana en cifras bajas de seis dígitos, y las grandes multinacionales podrían enfrentarse a sanciones de ocho o nueve cifras si persisten violaciones flagrantes. Los productos de seguros para riesgos cibernéticos/de privacidad pueden empezar a tener en cuenta el deber de consentimiento de cookies en sus pólizas. Además, dado que las DPA a menudo se coordinan (la Junta Europea de Protección de Datos puede facilitar la aplicación transfronteriza), incluso las empresas que operan principalmente en un país deben seguir el enfoque más estricto: muy probablemente el modelo francés en este momento. Las multinacionales, como vimos con Google, pueden ser sancionadas en cualquier jurisdicción donde sus productos o servicios lleguen.

Más allá de las multas, las empresas deben tener en cuenta que el daño a la reputación también es una sanción. La cobertura mediática de grandes multas puede debilitar la confianza del usuario. Como mínimo, un error en un aviso de privacidad o en la política de cookies desencadena un flujo de quejas de los usuarios, lo que a su vez invita a los reguladores. El costo de oportunidad de no mostrar un banner es múltiple: multas regulatorias, gastos de remediación (rediseñar el sitio web con poca antelación), pérdida de confianza del usuario y posibles demandas civiles. En industrias altamente reguladas como las finanzas o la atención médica, el consentimiento de cookies es un aspecto del escrutinio general del manejo de datos; los fallos repetidos podrían incluso llevar a las autoridades a auditar otras prácticas. En resumen, el costo del cumplimiento (invertir en un banner y diseño adecuados) es mucho menor que las sanciones mencionadas.

Contexto más Amplio y Desarrollos Futuros

Varias fuerzas más amplias darán forma a cómo evoluciona la aplicación del consentimiento de cookies:

• Evolución de las Leyes de Privacidad: En Europa, la próxima Regulación ePrivacy (si se adopta) probablemente codificará muchos de los estándares de consentimiento en una única regulación. Los cambios propuestos incluyen la clarificación de las definiciones de "muro de cookies" y posiblemente la expansión de las exenciones (por ejemplo, para ciertas analíticas). Si se aprueba, también podría reemplazar o integrar las leyes nacionales de cookies. Cualquiera que sea la forma final, es probable que los poderes de aplicación aumenten. De manera similar, en el Reino Unido, el Proyecto de Ley de Protección de Datos e Información Digital señala sanciones más estrictas (y podría flexibilizar algunas reglas de cookies, por ejemplo, el consentimiento analítico). Las organizaciones deben observar estas vías legislativas, ya que afectarán las obligaciones de cumplimiento y las posibles sanciones.

• Cambios Tecnológicos: La industria tecnológica se está alejando de las cookies de terceros para el seguimiento (por ejemplo, la eliminación gradual de las cookies de terceros por parte de Google en Chrome y los cambios centrados en la privacidad en los navegadores). En los próximos años, menos sitios pueden usar publicidad basada en cookies; en su lugar, pueden surgir nuevos métodos (API de navegador o almacenamiento local). Los reguladores han señalado que los muros de pago de "consentir o pagar" no deben permitirse incluso utilizando nuevas tecnologías. Por lo tanto, incluso a medida que cambian los medios técnicos, el principio de elección del usuario permanece. El cifrado, la huella digital y el seguimiento del lado del servidor probablemente serán objeto de leyes con reglas de consentimiento similares (el GDPR cubre cualquier "procesamiento" de datos personales, no solo las cookies).

• Tendencias Internacionales: Fuera de Europa, algunos países están comenzando a centrarse en el consentimiento del usuario. Por ejemplo, el Proyecto de Ley PDP de la India (una vez promulgado) enfatizará el consentimiento del usuario para los datos personales. En Asia-Pacífico, la conciencia de las reglas de cookies de la UE está creciendo. Curiosamente, algunas empresas multinacionales simplemente están aplicando el consentimiento similar al GDPR en todas partes para simplificar la política (así, en la práctica, muchos sitios no pertenecientes a la UE ahora muestran banners de cookies). Si más leyes de privacidad (leyes estatales de EE. UU. o de Asia-Pacífico) comienzan a mencionar explícitamente el seguimiento, la noción de "sanción por banner" podría extenderse globalmente. Sin embargo, a partir de ahora, las sanciones más severas siguen siendo europeas.

• Campañas de Aplicación: Las DPA han indicado los ingresos por cookies como una campaña especial. Por ejemplo, el "plan de acción de cookies" de la CNIL de 2019-2025 ha implicado la emisión de directrices, avisos formales y multas en oleadas. Las ONG de privacidad como NOYB impulsan más quejas (la "campaña de banners de cookies" de NOYB presentó 850 quejas en toda Europa). Es probable que las DPA sigan utilizando tanto la zanahoria (orientación, aplazamientos temporales) como el palo (multas, anuncios públicos) en el futuro previsible. Como señaló el blog de Stephenson Harwood, los reguladores ven la aplicación de las cookies como un área prioritaria ^{[28] [35]}.

• Aclaraciones Judiciales: Los tribunales seguirán aclarando cuestiones limítrofes. Ya, el TJUE (en 2020) indicó que las casillas premarcadas y la información solo mediante enlaces eran formas de consentimiento inválidas. Los tribunales inferiores (como el caso Focus Online de Múnich) continúan esta tendencia. Si los tribunales superiores de los estados miembros (y posiblemente el TJUE) abordan cuestiones de diseño de banners de cookies, la jurisprudencia solidificará los contornos de la responsabilidad. Estas decisiones podrían afectar las evaluaciones de sanciones: si un tribunal declara ilegal un banner, un regulador puede imponer una multa con confianza, sabiendo que la base legal es sólida.

Conclusión

La sanción por no mostrar un banner de consentimiento de cookies adecuado puede ser severa. Según las leyes de privacidad vigentes, un banner ausente o deficiente significa que el consentimiento del usuario no se ha obtenido válidamente, una violación que puede desencadenar todo el peso de las sanciones de protección de datos. En Europa, los reguladores tratan explícitamente las infracciones de consentimiento de cookies como violaciones del RGPD, sujetas a los niveles más altos de multas. Los estudios de caso han demostrado sanciones que van desde decenas de miles de euros hasta cientos de millones, dependiendo de la escala y la intención de la violación. Hemos visto a los reguladores imponer multas masivas (por ejemplo, 325 millones de euros a Google, 150 millones de euros a Shein en 2025) y sanciones diarias (por ejemplo, 100.000 euros por día) por no obtener el consentimiento de cookies ^{[1] [17]}. Incluso multas más rutinarias (en las cifras bajas de seis dígitos) han sido comunes para actores más pequeños.

Estos resultados reflejan un mensaje consistente: el consentimiento de cookies no es opcional, y las autoridades lo harán cumplir vigorosamente. Las organizaciones que ignoran los requisitos de los banners no solo se arriesgan a sanciones financieras, sino también a cambios operativos forzados (eliminación de cookies no autorizadas) y a daños a la reputación. La carga recae en los operadores web para asegurar que sus mecanismos de consentimiento cumplan con los estándares legales de ser informados, libremente otorgados y fácilmente retirables ^{[5] [7]}.

Mirando hacia el futuro, si bien la experiencia del usuario con los banners de cookies puede evolucionar (con posibles reformas regulatorias destinadas a reducir la "fatiga de los banners"), la expectativa fundamental permanece: los usuarios deben tener un control claro sobre las cookies de seguimiento. Los reguladores han señalado que el incumplimiento seguirá atrayendo escrutinio y sanciones. En resumen, la "sanción" es que no mostrar un banner conforme a la ley es una infracción legal, y esas infracciones se encuentran cada vez más con sanciones estrictas, a menudo bastante cuantiosas ^{[11] [2]}. Las organizaciones harían bien en no solo mostrar banners de consentimiento de cookies, sino también en implementarlos de acuerdo con las directrices y los precedentes de aplicación anteriores.