Banner de consentimiento de cookies

Qué comprueba esta auditoría

Analiza la página renderizada en busca de (a) rastreadores de terceros no esenciales — Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, fbq, gtag — y (b) un banner de consentimiento de cookies de Cookiebot, OneTrust, Iubenda, Osano, Termly, Klaro, Borlabs, Cookieyes, o un diálogo a medida. La comprobación falla cuando hay rastreadores pero no se detecta ningún banner.

Por qué importa

Bajo la ley de la UE y el Reino Unido, las cookies no esenciales y tecnologías de seguimiento similares necesitan consentimiento previo, libre, específico, informado e inequívoco antes de dispararse. “El uso continuado implica consentimiento” no cuenta, y las casillas premarcadas tampoco.

• Multas GDPR. Hasta el 4% de la facturación anual global. Reguladores (CNIL en Francia, AEPD en España, Garante en Italia) han multado repetidamente a sitios por disparar Google Analytics o Meta Pixel antes del consentimiento.
• Exposición a class actions. Leyes estatales de EE. UU. (CCPA/CPRA, Colorado CPA, Virginia VCDPA) y la Digital Services Act de la UE añaden vías independientes de acción privada.
• Conversiones. Sin una configuración de Consent Mode v2, Google Ads y Analytics descartan los eventos sin consentimiento en lugar de modelarlos: tus informes y audiencias publicitarias se degradan en silencio.

Cómo solucionarlo

Elige un banner que soporte IAB TCF v2.2 + Google Consent Mode v2 (la combinación que Google exige desde marzo de 2024 para usuarios del EEE):

• Cookiebot — de pago, completo, escanea tu sitio cada semana para mantener al día la lista de cookies.
• OneTrust — enterprise; la opción por defecto si ya usas OneTrust para gestión de privacidad.
• Iubenda — asequible, multilingüe, buena opción para pymes.
• Klaro — open-source, autoalojado.

Ejemplo con Cookiebot — colócalo en <head> antes de cualquier otro script de seguimiento:

<script id="Cookiebot"
  src="https://consent.cookiebot.com/uc.js"
  data-cbid="YOUR-CBID"
  data-blockingmode="auto"
  type="text/javascript"></script>

Configura cada rastreador (GA4, gtag, Meta Pixel, etc.) con type="text/plain" y data-cookieconsent="statistics" (o "marketing") — Cookiebot los reescribe a text/javascript solo después del consentimiento.

Google Consent Mode v2 — inicializa gtag('consent', 'default', { ... }) con todo en denied antes de cargar GA, y pásalo a granted desde el callback del banner. De lo contrario, GA descarta el 100% de los eventos del EEE en vez de usar el modelado por consentimiento.

Audita lo que estás disparando. Abre DevTools → Application → Cookies en una ventana de incógnito y carga la página sin pulsar el banner. Si ves _ga, _fbp, _hjSessionUser_* o cualquier cosa de un dominio de seguimiento, estás disparando antes del consentimiento: esa es la infracción.

Preguntas frecuentes

¿Necesito un banner si solo uso Google Analytics?

Sí — en el EEE, Reino Unido y Suiza, GA está clasificado como no esencial por todas las autoridades de control que se han pronunciado. Lo mismo aplica si solo usas un Meta Pixel o una herramienta de tests A/B de terceros.

¿Y la analítica sin cookies como Plausible o Fathom?

Si la herramienta no guarda cookies, no hace fingerprinting de dispositivos y no transmite datos personales, puedes defender que es esencial y saltarte el banner. Plausible y Fathom se venden como “GDPR-friendly sin banner” sobre esa base; revisa su declaración vigente antes de confiar en ello.

Mi auditoría falló pero sí tengo banner, ¿qué pasa?

O el script del banner carga después de que dispare un rastreador (los rastreadores corren antes de la decisión de consentimiento), o el banner solo aparece en ciertas regiones y MetricSpot está auditando desde fuera, o la firma de detección no coincide con el proveedor que usas. Confírmalo abriendo DevTools y viendo el orden de peticiones en la primera carga.