En este artículo, encontrarás las diferencias y similitudes entre distintos países con respecto al consentimiento.
Esta es la leyenda que te ayudará a saber si cada tema relacionado con las cookies se aplica o no en cada país.
✔️ ¡Sí!
❌ ¡No!
❓ No especificado/No está claro
⚙️ Más detalles sobre los estándares del país
* Referencias cruzadas al final del artículo, en la sección dedicada a las autoridades de la protección de datos y sus respectivas directrices
⚠️Última modificación: 13 de abril de 2022
📆 En diciembre de 2020, la Autoridad de Protección de Datos de Italia (la “Garante per la Protezione dei Dati Personali”) reconsideró las directrices italianas sobre las cookies, ya que no siempre cumplen con el RGPD, que entró en vigor con anterioridad: puede que haya cambios importantes en el futuro. En este artículo, podrás conocer y anticipar los potenciales cambios futuros (cf.🔎).
🍪 ¿Es obligatorio mostrar explícitamente los botones “Aceptar” y “Rechazar” en el banner?
Francia |
✔️ |
⚙️ Los botones “Aceptar” y “Rechazar” tienen que ser visibles y tener el mismo aspecto. |
Reino Unido |
✔️ |
⚙️ No es obligatorio tener un botón “Rechazar todo”, aunque es recomendable. Se acepta una alternativa equivalente para el no tratamiento del consentimiento. Tiene que ser igual de visible que los botones de elección granular y “Aceptar”. |
España |
✔️ |
⚙️ 2 opciones según la AEPD*: Botones "Aceptar" y "Rechazar" O botón "Aceptar" y un enlace en el banner hacia la política de privacidad para elegir las finalidades de forma granular. |
Irlanda |
✔️ |
⚙️ Los botones “Aceptar” y “Rechazar” deben estar igualmente visibles. |
Bélgica |
❓ |
⚙️ Posibilidad de retirar el consentimiento con la misma facilidad que para otorgarlo: el usuario debe estar informado de esta posibilidad cuando da su consentimiento. |
Alemania |
✔️ |
|
Portugal |
✔️ |
⚙️ Es preferible, sobre todo para obtener la prueba de consentimiento. |
Italia |
✔️ |
|
Polonia |
❓ |
⚙️ No está especificado: el consentimiento debe darse de forma libre (con una acción positiva por parte del usuario), específica, informada e inequívoca. El consentimiento puede recogerse con otros medios: si se utiliza la selección de una casilla, por ejemplo, el usuario debe poder retirar el consentimiento con la misma facilidad con la que lo otorga. |
Croacia |
❓ |
⚙️ No está especificado: el consentimiento debe darse de forma libre (con una acción deliberada por parte del usuario), específica, informada e inequívoca. El consentimiento puede recogerse con otros medios: si se utiliza la selección de una casilla, por ejemplo, el usuario debe poder retirar el consentimiento con la misma facilidad con la que lo otorga. |
Suecia |
✔️ |
La forma de la caja de consentimiento es estándar: aceptar todo / rechazar todo, o aceptar sólo las cookies esenciales, con una segunda ventana más precisa. |
Noruega |
✔️ |
⚙️La forma de la caja de consentimiento es estándar: aceptar todo / rechazar todo, o aceptar sólo las cookies esenciales, con una segunda ventana más precisa. |
Dinamarca |
✔️ |
⚙️La forma de la caja de consentimiento es estándar: aceptar todo / rechazar todo, o aceptar sólo las cookies esenciales, con una segunda ventana más precisa. |
Finlandia |
✔️ |
⚙️La forma de la caja de consentimiento es estándar: aceptar todo / rechazar todo, o aceptar sólo las cookies esenciales, con una segunda ventana más precisa. |
🍪 ¿Es necesario bloquear las cookies antes de obtener el consentimiento del usuario?
Francia |
✔️ |
Reino Unido |
✔️ |
España |
✔️ |
Irlanda |
✔️ |
Bélgica |
✔️ |
Alemania |
✔️ |
Portugal |
✔️ |
Italia |
✔️ |
Polonia |
✔️ |
Croacia |
✔️ |
CEPD |
✔️ |
Noruega |
✔️ |
Suecia |
✔️ |
Filandia |
✔️ |
Dinamarca |
✔️ |
🍪 ¿Es legal usar un cookie wall?
Francia |
✔️ |
⚙️ No está claro: varía caso por caso. Sin embargo, si existen reclamaciones de los usuarios, la CNIL* podría invalidarlo. |
Reino Unido |
❌ |
⚙️ "Poco probable que sea válido" según el ICO*. |
España |
❌ |
⚙️ Según la AEPD*, los cookie walls solo se aceptan si el usuario tiene otra alternativa para acceder al servicio sin tener que aceptar las cookies. |
Irlanda |
❓ |
Generalmente no son legales, pero no está especificado. |
Bélgica |
❌ |
|
Alemania |
❌ |
|
Portugal |
❌ |
|
Italia |
❌ |
🔎 En el futuro, los usuarios tendrán que tener la opción de acceder a un servicio o contenido equivalente sin tener que aceptar las cookies (criterio caso por caso). |
Polonia |
❌ |
⚙️ Según las directrices del EDPB*: si un proveedor de un sitio web bloquea el contenido si el usuario no acepta las cookies, se considera que el consentimiento no puede darse de forma libre. |
Croacia |
❌ |
|
CEPD |
❌ |
|
Suecia |
❓ |
|
Noruega |
❓ |
|
Finlandia |
❓ |
|
Danemarca |
❓ |
|
🍪 ¿Durante cuánto tiempo son válidas las elecciones sobre el consentimiento una vez recolectadas?
Francia |
6 meses |
⚙️ Las cookies para herramientas de análisis no pueden conservarse durante más de 13 meses. La información recogida por las cookies puede conservarse hasta 25 meses. |
Reino Unido |
6 meses |
⚙️ La duración del consentimiento debe justificarse para la finalidad de la cookie. Los usuarios tienen que ser informados sobre la duración de las cookies. |
España |
24 meses máximo |
⚙️ La AEPD* establece que el consentimiento debe volver a recogerse como máximo a los 24 meses de ser recogido. |
Irlanda |
6 meses |
|
Bélgica |
❓ |
⚙️ El consentimiento para las cookies no puede conservarse durante más tiempo del necesario para cumplir con su finalidad. |
Alemania |
❓ |
|
Portugal |
❓ |
|
Italia |
6 meses |
|
Polonia | ❓ |
⚙️ El UODO* no especifica un tiempo límite y recomienda las prácticas recogidas por el CEPD: renovación del consentimiento en plazos razonables. Esto permite dar toda la información necesaria de nuevo y asegurarse de que el objeto del tratamiento está informado sobre cómo se tratan sus datos y cómo ejercer sus derechos. |
Croacia |
❓ |
⚙️ Las cookies de sesión, por ejemplo, que funcionan solo durante la duración de una sesión en el navegador o algo más, deberían tener una duración corta y estar configuradas para expirar una vez que hayan cumplido con su propósito. La fecha de expiración de una cookie debe establecerse acorde con su finalidad. |
CEPD |
❓ |
⚙️ Directrices del CEPD*: "En principio, puede ser suficiente solicitar el consentimiento de un interesado una vez. No obstante, los responsables deben obtener un consentimiento nuevo y específico si cambian los fines del tratamiento de los datos tras haber obtenido el consentimiento o si se prevé un fin adicional." Si las operaciones ligadas al tratamiento cambian o evolucionan considerablemente, el consentimiento original deja de ser válido. |
Suecia |
5 años |
⚙️Retirar el consentimiento debe ser tan sencillo como darlo |
Noruega |
❓ |
⚙️Retirar el consentimiento debe ser tan sencillo como darlo |
Dinamarca |
5 años |
⚙️Retirar el consentimiento debe ser tan sencillo como darlo |
Finlandia |
❓ |
⚙️Retirar el consentimiento debe ser tan sencillo como darlo |
🍪 ¿Es válido recoger el consentimiento mediante el scroll o la navegación?
Francia |
❌ |
|
Reino Unido |
❌ |
|
España |
❌ |
|
Irlanda |
❌ |
⚙️ En el caso del scroll, el banner no debe desaparecer hasta que el usuario no haya hecho una elección, sea la que sea. |
Bélgica |
❌ |
⚙️ El consentimiento es válido solo si existe una interacción activa por parte del usuario, como un clic o la activación de un botón o una opción. |
Alemania |
❌ |
|
Portugal |
❌ |
|
Italia |
❌ |
|
Polonia |
❌ |
⚙️ Según las directrices del EDPB* de 2020: hacer scroll o navegar en una página web o una acción similar no cumplen bajo ninguna circunstancia los requisitos de una acción positiva, ya que el silencio, las casillas preseleccionadas o la inactividad no deben constituir consentimiento según el RGPD. |
Croacia |
❌ |
⚙️ Las cookies que no pertenezcan a ninguno de los dos casos específicos recogidos por la directiva ePrivacy a los que se le aplica la exención de consentimiento no deben instalarse en el dispositivo del usuario antes de obtenr su consentimiento explícito. Las dos exepciones se conocen como la exención de comunicación y la exención de cookies estrictamente necesarias* |
CEPD |
❌ |
|
Suecia |
❌ |
|
Noruega |
❌ |
|
Dinamarca |
❌ |
|
Finlandia |
❌ |
|
🍪 ¿Es legar preseleccionar las opciones del banner de consentimiento?
Francia |
❌ |
Reino Unido |
❌ |
España |
❓ |
Irlanda |
❌ |
Bélgica |
❌ |
Alemania |
❌ |
Portugal |
❌ |
Italia |
❌ |
Polonia |
❌ |
Croacia |
❌ |
CEPD |
❌ |
Suecia |
❓ |
Noruega |
❓ |
Dinamarca |
❓ |
Finlandia |
❓ |
🍪 ¿Es obligatoria la prueba de consentimiento tal y como se especifica en el RGPD?
Francia |
✔️ |
⚙️ La entidad que recoge el consentimiento también debe poder entregar la prueba de consentimiento a terceros que hayan tratado los datos del usuario basándose en su consentimiento. |
Reino Unido |
✔️ |
|
España |
✔️ |
⚙️ No está especificado, pero se puede inferir. |
Irlanda |
✔️ |
|
Bélgica |
✔️ |
|
Alemania |
✔️ |
|
Portugal |
✔️ |
|
Italia |
✔️ |
|
Polonia |
✔️ |
⚙️ RGPD Artículo 42: “Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento.” |
Croacia |
✔️ |
|
CEPD |
✔️ |
⚙️ No está especificado, pero se puede inferir. |
Suecia |
❓ |
|
Noruega |
❓ |
|
Dinamarca |
❓ |
|
Finlandia |
✔️ |
⚙️La prueba del consentimiento debe incluir: fecha y hora en que se solicitó y se obtuvo el consentimiento, la forma en que se solicitó, qué información se ofreció para solicitar el consentimiento y las credenciales que identifican por quién y o desde qué dispositivo se dio el consentimiento. |
🍪 ¿El consentimiento tiene que poder elegirse de forma específica finalidad por finalidad?
Francia |
✔️ |
⚙️ El consentimiento se recoge por sitio web/aplicación salvo si se especifica claramente que se recoge para un grupo de sitios web o aplicaciones. El consentimiento debe ser único y renovarse en cada plataforma. En caso de consentimiento compartido entre sitios web o aplicaciones, el usuario debe ser informado en el primer nivel del banner. |
Reino Unido |
❌ |
⚙️ No necesariamente finalidad por finalidad, pero el consentimiento debe darse específicamente para un servicio concreto. |
Espana |
✔️ |
⚙️ No está especificado, pero se puede inferir. |
Irlanda |
✔️ |
|
Belgica |
✔️ |
|
Alemania |
✔️ |
La necesidad de una elección granular por finalidad esta implícita: “debe ser posible seleccionar tratamientos de datos individualmente”. |
Portugal |
✔️ |
|
Italia |
✔️ |
El consentimiento debe ser granular por propósito o categoría. Un enlace con la lista de los vendors debe ser disponible en la primera capa de la CMP. |
Polonia |
✔️ |
⚙️ cf. directrices sobre la granularidad del EDPB* |
Croacia |
✔️ |
⚙️ Según las directrices del RGPD: si el tratamiento tiene varias finalidades y no existe la posibilidad de dar el consentimiento de forma individual para cada una de ellas, hay una ausencia de libertad. |
CEPD |
✔️ |
|
Suecia |
✔️ |
|
Noruega |
✔️ |
|
Dinamarca |
✔️ |
|
Finlandia |
❓ |
🍪 ¿Las cookies deben estar especificadas una por una?
Francia |
❌ |
|
Reino Unido |
❌ |
⚙️ La práctica preferible es proporcionar una descripción de las cookies. |
España |
❌ |
⚙️ Una lista por finalidad es válida. |
Irlanda |
✔️ |
Generalmente: ⚙️ El consentimiento se obtiene para cada finalidad para la que se usan las cookies. El consentimiento no tiene que obtenerse necesariamente de manera individual para cada cookie, “sino que puede obtenerse para cada finalidad para la que se usan las cookies”. |
Bélgica |
❓ |
⚙️ Ambigüedad entre una elección por finalidad sugerida para el primer nivel del banner y una elección por cookie después, teniendo en cuenta que el RGPD no exige la elección por cookie. |
Alemania |
❌ |
|
Portugal |
✔️ |
⚙️ Según el CNPD*, el consentimiento debe darse para cada cookie con la información necesaria, como la duración de conservación. Como la elección es individual, también debería ser posible aceptar todo o rechazar todo. |
Italia |
❌ |
|
Polonia |
❓ |
|
Croacia |
✔️ |
⚙️ Es muy recomendable enumerar las cookies una por una. |
Suecia |
❓ |
|
Noruega |
❓ |
|
Dinamarca |
❓ |
|
Finlandia |
❓ |
💡 En caso de duda, ponte en contacto con tu responsable de la protección de datos (DPO) o con tu departamento jurídico.
📕 Fuentes útiles e información sobre los reglamentos de cookies
🍪 Francia
APD (Autoridad de la Protección de Datos): Commission Nationale de l'Information et des Libertés (CNIL)
🍪 Reino Unido
APD: Information Commissioner's Office (ICO)
- The Privacy and Electronic Communications Regulations (PECR) - Cookies and similar technologies 2019
🍪 España
APD: Agencia Española de Protección de Datos (AEPD)
🍪 Irlanda
APD: Office of the Data Protection Commissioner
🍪 Bélgica
APD: Autorité de Protection des Données
🍪 Alemania
APD: Die Bundesbeauftragte für den Datenschutz und die Informations freiheit
🍪 Portugal
APD: Comissão Nacional de Proteção de Dados (CNPD)
- Directive 2002 European Parliament en la página sobre el derecho de la Unión Europea
🍪 Italia
APD: Garante per la protezione dei dati personali (GPDP)
- Directive 2016 European Parliament en la página sobre el derecho de la Unión Europea
- Personal Data Protection Code Containing provisions to adapt the national legislation to Regulation (EU) 2016/679
🍪 Polonia
DPA: Urząd Ochrony Danych Osobowych (UODO)
- GDPR Considerando 32
- Directrices Mayo 2020 sobre el consentimiento - CEPD
- Telecommunications Act of 16 July 2004 (cf. Artículos 173 y 174 de la página 86: si se requiere el consentimiento de un suscriptor o un usuario, las disposiciones de la la protección de datos personales se deben aplicar para obtener dicho consentimiento. Por lo tanto, el consentimiento para cookies debe cumplir los mismos requisitos que el consentimiento para el tratamiento de datos personales.)
🍪 Croacia
APD : Agencija za zaštitu osobnih podataka (AZOP)
*¿Es válido recoger el consentimiento mediante el scroll o la navegación?
- La exención de comunicación
Se aplica a cookies cuya única finalidad es transmitir las comunicaciones a través de una red, para identificar los puntos extremos en la comunicación, por ejemplos. Puede aplicarse también a cookies que sirvan para permitir que los datos se transmitan en un orden determinado. También se aplica a cookies que sirven para detectar errores de transmisión o pérdida de datos.
- La exención de cookies estrictamente necesaria
Una cookie exenta bajo esta condición debe cumplir dos condiciones de forma simultánea:
- se aplica a los servicios de la sociedad de la información (information society services o ISS). Por ejemplo, un servicio prestado por internet, como un sitio web o una aplicación.
- El servicio debe ser solicitado explícitamente por parte del usuario y el uso de la cookie debe restringirse a lo estrictamente necesario para prestar el servicio.
🍪 Unión Europea
APD: CEPD (Comité Europeo de Protección de Datos)