Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/RGPD Aplicado/3 de julio de 20265 min

El banner de cookies que no te protege de la AEPD: los 5 errores más comunes y cómo corregirlos

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

El 60% de los banners de cookies analizados por la AEPD en sus auditorías tienen algún incumplimiento. Muchos negocios instalaron un plugin 'de cookies' hace años y creen que ya están cubiertos. Estos son los cinco errores que la AEPD detecta con más frecuencia.

Puntos clave

1El banner debe aparecer ANTES de que se carguen cookies no necesarias — no después
2Aceptar y Rechazar deben estar al mismo nivel y con la misma facilidad de acceso
3Seguir navegando NO es un consentimiento válido — debe ser una acción activa
4Las cookies de analítica (Google Analytics) requieren consentimiento en la mayoría de configuraciones
5El consentimiento debe ser renovable: el usuario debe poder cambiar su elección en cualquier momento

Error 1: las cookies ya están cargadas cuando aparece el banner

Es el error más grave y técnicamente el más frecuente. Si Google Analytics, el píxel de Facebook o cualquier cookie no necesaria se carga al entrar en la web antes de que el usuario haya visto y decidido en el banner, ya se está incumpliendo el RGPD. La solución: bloquear la carga de todas las cookies no necesarias hasta que haya consentimiento explícito. Esto requiere una CMP (plataforma de gestión de consentimiento) bien configurada, no solo un banner visual.

Error 2: el botón 'Rechazar' es más difícil que 'Aceptar'

Los dark patterns más frecuentes: 'Rechazar' está en un color menos visible, 'Rechazar' requiere más clics (tienes que entrar en 'Gestionar' para rechazar), 'Rechazar' aparece en letra pequeña al fondo del banner. La AEPD exige que aceptar y rechazar sean igual de fáciles. Si un usuario necesita 3 clics para rechazar y 1 para aceptar, es un dark pattern sancionable.

Error 3: 'Si sigues navegando, aceptas las cookies'

Esta frase no tiene validez legal en España desde 2022. El consentimiento debe ser una acción afirmativa clara e inequívoca. Seguir navegando no lo es. Si lo tienes en tu web, quítalo. El consentimiento debe obtenerse antes del uso de cookies no necesarias, mediante una acción positiva (hacer clic en 'Aceptar' o en las categorías específicas que se aceptan).

Error 4: no hay forma de retirar el consentimiento después

Una vez el usuario ha dado su consentimiento, tiene derecho a retirarlo con la misma facilidad. Esto significa: debe haber un enlace permanente en la web (generalmente en el pie de página: 'Gestionar cookies' o 'Preferencias de privacidad') que abra el panel de configuración y permita cambiar las preferencias. Si solo hay forma de aceptar pero no de volver a rechazar después, el sistema es incompleto.

Error 5: la política de cookies está incompleta o desactualizada

La política de cookies debe listar cada cookie o grupo de cookies con: nombre (o descripción), finalidad, duración, si es propia o de tercero. Si cambiaste de herramienta de analítica hace seis meses y la política sigue listando la anterior, estás incumpliendo. Muchos plugins generan la política automáticamente pero hay que revisarla periódicamente, especialmente cuando cambias herramientas.

Próximos pasos recomendados

1Usa el Cookie Checker de la AEPD para auditar gratis qué cookies carga tu web y cuándo
2Revisa que tienes un enlace 'Gestionar cookies' permanente en el pie de página
3Actualiza la política de cookies con todas las herramientas que usas actualmente

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

AEPD — Guía sobre el uso de cookies (2023), Guía actualizada de la AEPD con los requisitos del banner y la gestión del consentimiento
AEPD — Cookie Checker, Herramienta gratuita de la AEPD para analizar las cookies de tu web

También en RGPDAplicado

Un cliente te pide que borres sus datos: qué haces, qué no puedes borrar y cómo responder

5 min

Envías newsletter a tus clientes: ¿necesitas consentimiento? La respuesta depende de cuándo se hicieron clientes

5 min

Cámaras de seguridad en tu local o empresa: qué permite el RGPD y qué está terminantemente prohibido

5 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.