Cookie & Consent Banners

El GDPR exige que retirar o negar el consentimiento sea tan fácil como otorgarlo: la opción de rechazo debe vivir en el primer nivel del banner, con identica jerarquía tipografica, tamaño y contraste que el botón de aceptación. Un botón "Aceptar" destacado en color junto a un enlace gris de "Más opciones" para rechazar es un dark pattern ilegal en la UE, no una diferencia estética neutra. La EDPB Cookie Banner Taskforce fijo que si hay un "Accept all" en la primera capa, debe haber un "Reject all" en esa misma capa.

El consentimiento debe preceder al procesamiento, no seguirlo. Cargar analytics, píxeles de Meta/Google o cookies de remarketing mientras el banner sigue en pantalla viola el GDPR y la ePrivacy Directive, sin importar que el usuario luego acepte: es el momento de disparo lo que determina la legalidad. Solo las cookies estrictamente necesarias pueden ejecutarse sin consentimiento previo; todo lo demas se carga de forma condicional tras el clic en "Aceptar".

El consentimiento valido bajo GDPR exige un acto afirmativo claro del usuario. Las casillas pre-seleccionadas, los toggles en "ON" por defecto para categorías no esenciales o el diseño que requiere acción para rechazar invierten la lógica legal y lo invalidan por completo. El CJEU lo confirmo en el caso Planet49: las pre-ticked boxes no son consentimiento. El GDPR excluye expresamente "silence, pre-ticked boxes or inactivity" (Recital 32). Solo "Necesarias" arranca activa y bloqueada; lo demas en OFF.

El consentimiento debe ser específico: el usuario tiene derecho a aceptar cookies analiticas sin aceptar las publicitarias. Agrupar todo en un único toggle de "aceptar todo" elimina la especificidad que exige el GDPR e invalida cualquier consentimiento parcial. El panel de preferencias debe listar cada categoría (Necesarias, Funcionales, Analitica, Marketing) con su descripción y un control independiente. El Recital 43 senala que el consentimiento no es libre si no permite darse por separado para distintas operaciones.

La EDPB define seis categorías de dark patterns; en banners de consentimiento los más frecuentes son el botón "Aceptar" en color vibrante frente a un rechazo apagado, el lenguaje de culpa ("No, prefiero una experiencia inferior") y la opción de rechazo escondida un nivel más adentro. Cualquiera invalida el consentimiento por falta de libertad real. Las autoridades han actuado contra estos flujos asimetricos: la CNIL multo a Google con 150 millones de euros y a Facebook con 60 millones (enero 2022) por hacer "Aceptar todo" de un clic mientras rechazar requeria varios pasos.

Un cookie wall que impide acceder al sitio salvo que el usuario acepte rastreo coacciona el consentimiento y lo invalida (GDPR Art. 7: debe ser libremente dado). Si existe un wall, el operador debe demostrar una alternativa genuina y equivalente: acceso de pago justo, versión sin rastreo o la misma información por otro medio. La EDPB advirtio que el consentimiento no es libre cuando el acceso al servicio se condiciona a aceptar datos para fines ajenos al servicio mismo. El modelo "pagar o consentir" no puede presentar una sola salida.

Un banner que no es operable con teclado o lector de pantalla deja el consentimiento fuera del alcance de usuarios con discapacidad. Implementalo como dialog modal: role="dialog", aria-modal="true", aria-labelledby al título, foco movido al primer control al abrir, trampa de foco activa mientras esta abierto y foco devuelto al disparador al cerrar (SC 2.1.1 Keyboard, nivel A). El texto sobre el fondo del banner necesita contraste mínimo 4.5:1 (SC 1.4.3, AA) y el foco no debe quedar oculto tras otros componentes (SC 2.4.11).

El GDPR no solo exige poder dar consentimiento; exige poder retirarlo o modificarlo con igual facilidad y en cualquier momento (Art. 7.3). Quien acepto cookies publicitarias hace tres meses debe poder revocarlas sin borrar cookies del navegador ni contactar a soporte. El mecanismo habitual es un enlace persistente "Preferencias de cookies" en el footer que reabre el mismo panel real con el estado actual del usuario, no una página estática. Un footer que solo enlaza la politica de privacidad deja al usuario sin vía de revocación.