EDPB Cookie Banner Taskforce: Lecciones de Cumplimiento 2026 para Editores y Marketers
Durante años, los editores que operaban en toda la Unión Europea podían apoyarse en una cómoda ficción: cada autoridad de protección de datos interpretaba el GDPR y la Directiva ePrivacy de forma ligeramente distinta, por lo que un banner de cookies que superara el escrutinio en un país probablemente lo superaba en todos. Esa ficción ha desaparecido. El Grupo de Trabajo sobre Banners de Cookies del Consejo Europeo de Protección de Datos, creado en 2022 para coordinar la respuesta a una oleada de reclamaciones transfronterizas, se ha convertido en el equivalente más cercano a un reglamento unificado de consentimiento de cookies en la UE. Sus informes describen —con detalle concreto, banner a banner— los patrones de diseño que los reguladores han decidido colectivamente que no cumplen la normativa. Cualquier persona que gestione un banner de consentimiento en tráfico europeo debe tratar las posiciones del grupo de trabajo como la línea de base de facto, ya que las autoridades nacionales han empezado a citarlas directamente en sus decisiones de aplicación.
Qué es realmente el Grupo de Trabajo del EDPB sobre Banners de Cookies
El grupo de trabajo es un órgano de coordinación, no un regulador en sí mismo. Se creó al amparo del Artículo 70 del GDPR, que faculta al EDPB para facilitar la cooperación entre las autoridades nacionales de protección de datos en cuestiones de interés común. El detonante fue una campaña de reclamaciones presentada por noyb —el grupo de defensa de la privacidad de Max Schrems— contra cientos de sitios web de toda la UE. Dado que esas reclamaciones afectaban a autoridades de casi todos los estados miembros, el EDPB decidió crear un foro único donde los DPAs pudieran intercambiar información y llegar a un marco analítico compartido. La producción del grupo de trabajo adopta la forma de informes que documentan qué decisiones de diseño se consideran vulneraciones de los requisitos de consentimiento, organizados por categorías.
Esa estructura importa en la práctica. Los informes no son vinculantes del mismo modo que lo es un reglamento o una multa nacional, pero describen la posición de consenso de todos los DPAs europeos. Cuando una autoridad nacional abre una investigación, puede —y cada vez más lo hace— señalar las conclusiones del grupo de trabajo como prueba de que un patrón de banner controvertido ya ha sido considerado no conforme por la comunidad reguladora en su conjunto. Para los editores, el efecto práctico es que cualquier banner que supere los criterios del grupo de trabajo es defendible en toda la UE. Cualquier banner que no los supere está expuesto en todas partes a la vez.
Las Seis Categorías en las que se Centra el Grupo de Trabajo
El grupo de trabajo agrupa sus conclusiones en seis áreas problemáticas que se solapan. Cada una corresponde a un patrón de diseño que apareció repetidamente en las reclamaciones de noyb y que los DPAs han señalado colectivamente como una infracción.
1. Sin botón de rechazo en la primera capa
La conclusión más citada en los informes. Si un visitante ve un "Aceptar todo" en el banner inicial pero no hay un equivalente "Rechazar todo", la elección no es libre. Las opciones de aceptar y rechazar deben presentarse con igual prominencia en la misma capa. Ocultar la opción de rechazo detrás de un enlace "Gestionar preferencias" es el patrón más común en las acciones de aplicación hoy en día.
2. Casillas premarcadas
Preseleccionar el consentimiento para cualquier categoría no esencial —incluso una sola— invalida todo el registro de consentimiento en virtud del Considerando 32 del GDPR. El grupo de trabajo lo trata como una infracción per se. Los CMPs modernos la tienen desactivada por defecto, pero las implementaciones heredadas y los banners desarrollados internamente siguen marcando frecuentemente las categorías de analítica o marketing.
3. Diseño de enlace engañoso
Denominar la ruta de rechazo "Más información" o darle el estilo de un enlace de texto de bajo contraste mientras el botón de aceptación es un bloque de color de alto contraste crea un desequilibrio que el grupo de trabajo considera un patrón de diseño engañoso. La solución es sencilla: igualar el peso tipográfico, el contraste de color y el estilo del botón entre aceptar y rechazar.
4. Clasificar cookies como "esenciales" de forma incorrecta
Algunos operadores han intentado eludir el requisito de consentimiento por completo reetiquetando las cookies de analítica, publicidad o redes sociales como estrictamente necesarias. El grupo de trabajo ha sido explícito: una cookie solo es esencial si el sitio web no puede funcionar sin ella desde la perspectiva del usuario. Las cookies de analítica, pruebas A/B, publicidad y personalización no cumplen ese criterio. Etiquetarlas incorrectamente constituye en sí mismo una infracción independiente del rastreo subyacente.
5. Sin mecanismo de retirada del consentimiento
El consentimiento debe ser tan fácil de retirar como de otorgar. Un banner que acepta el consentimiento con un solo clic pero obliga a los usuarios a recorrer un menú de configuración de varios pasos para revocarlo no supera esta prueba. El grupo de trabajo pide específicamente un control persistente —normalmente un icono flotante o un enlace en el pie de página— que devuelva al visitante a la superficie original de consentimiento.
6. Diseño del banner que oculta la elección
Esta es la categoría más amplia y subjetiva. Incluye superposiciones que bloquean el contenido de la página hasta que se otorga el consentimiento, banners cuyo botón de rechazo está por debajo del pliegue, combinaciones de colores que hacen que la opción de rechazo sea casi invisible y animaciones que desvían la atención de la elección. El hilo conductor es que el diseño presiona al usuario hacia la aceptación en lugar de presentar una elección neutral.
Qué Significa Esto para la Aplicación de la Normativa
El grupo de trabajo no impone multas. Lo hacen los DPAs nacionales. Pero dado que todas las autoridades europeas han suscrito el análisis del grupo de trabajo, el riesgo de cumplimiento en estos patrones concretos es ahora uniforme en toda la UE. La CNIL francesa ha emitido el mayor número de multas relacionadas con cookies hasta la fecha, pero el Garante italiano, la AEPD española, las autoridades alemanas a nivel estatal y el DPC irlandés han abierto investigaciones citando razonamientos alineados con el grupo de trabajo. Incluso el ICO del UK, que está fuera del perímetro regulatorio de la UE, ha publicado orientaciones que reflejan fielmente las categorías del grupo de trabajo.
Lo que esta convergencia significa en la práctica es que los editores ya no pueden tratar el cumplimiento como un ejercicio país por país. Una auditoría de banners debe medirse frente a las categorías del grupo de trabajo como una lista de verificación unificada. Si el banner falla en alguna de las seis, el riesgo no es un solo DPA sino toda la red de supervisión europea.
Una Lista de Verificación de Auditoría Práctica
La forma más rápida de poner en conformidad un banner existente es cotejarlo con las categorías anteriores y responder a cada elemento con un sí o un no documentado. Las preguntas son deliberadamente concretas.
- Equilibrio en la primera capa. ¿Ofrece el banner inicial un botón explícito de "Rechazar todo" o "Continuar sin aceptar" en la misma superficie que "Aceptar todo", con un estilo comparable?
- Estado predeterminado. ¿Están todos los interruptores de categorías no esenciales desactivados por defecto en la vista de preferencias?
- Claridad del enlace. ¿Está la ruta de rechazo etiquetada con un verbo que describe la acción (por ejemplo, "Rechazar todo", "Rechazar los no esenciales"), y no con una frase ambigua como "Más opciones" o "Configuración"?
- Clasificación de cookies. ¿Ha verificado que cada cookie catalogada como "estrictamente necesaria" es genuinamente requerida para el funcionamiento del sitio, y no para analítica, publicidad o funciones de conveniencia?
- Acceso a la retirada. ¿Hay un elemento de interfaz persistente en cada página que vuelva a abrir el banner de consentimiento, con no más clics de los que requirió la aceptación original?
- Sin patrones oscuros. ¿Evita el banner opciones de color, tamaño o animación que creen un desequilibrio visual significativo entre aceptar y rechazar?
Un banner que responde seis síes claros a esa lista de verificación es defendible frente a la aplicación actual alineada con el grupo de trabajo. Un banner que responde aunque sea un no debe tratarse como un proyecto de remediación y no como una tarea de mantenimiento.
Hacia Dónde se Dirige el Grupo de Trabajo
Los informes publicados cubren los patrones que desencadenaron la primera oleada de reclamaciones. El trabajo en curso del grupo de trabajo —visible a través de las actualizaciones periódicas publicadas por el EDPB— se está adentrando ahora en territorios más difíciles y menos definidos. Es probable que tres áreas definan la próxima ronda de orientaciones.
Modelos de pago o consentimiento
La decisión de varios grandes editores europeos de ofrecer a los visitantes una elección binaria entre pagar una suscripción y consentir el rastreo ha atraído un escrutinio explícito. El EDPB emitió una opinión en 2024 cuestionando si tal elección puede considerarse libre cuando la alternativa es un muro de pago. Se espera que el grupo de trabajo publique criterios coordinados sobre cuándo el modelo de pago o consentimiento es permisible y cuándo cruza la línea hacia la coerción.
Fatiga del consentimiento y granularidad
Las superficies de consentimiento altamente granulares por proveedor, como las generadas por el IAB TCF, han sido criticadas por producir fatiga del consentimiento y por no ser en última instancia "informadas" en el sentido del GDPR. Es probable que las futuras orientaciones del grupo de trabajo impulsen controles de nivel de categoría en lugar de nivel de proveedor en la primera capa, con divulgación a nivel de proveedor disponible pero no requerida para un consentimiento inicial válido.
Superficies móviles y de TV conectada
La mayor parte del trabajo inicial del grupo de trabajo se centró en los banners web. Los flujos de consentimiento en aplicaciones móviles y las interfaces de TV conectada tienen diferentes restricciones de diseño y aún no han sido objeto de conclusiones detalladas. Los editores que operan en esas plataformas deben esperar orientaciones coordinadas en los próximos 12 a 18 meses, y no deben asumir que un patrón de banner web conforme se traduce automáticamente.
Reuniéndolo Todo
El grupo de trabajo ha logrado algo que el GDPR por sí solo no podía: ha producido una interpretación única y operativa de cómo debe verse el consentimiento en la práctica en toda la Unión Europea. Para los editores, la lección es que la era de buscar jurisdicciones más permisivas o confiar en la laxitud de la aplicación nacional ha terminado. La respuesta correcta es tratar las categorías del grupo de trabajo como un estándar interno vinculante, auditar los banners existentes contra ellas y configurar la infraestructura de gestión del consentimiento para que las categorías se apliquen a nivel de plataforma en lugar de dejarse a la implementación página por página. Un CMP moderno que se ajuste claramente a las seis categorías —botones equilibrados en la primera capa, interruptores desactivados por defecto, etiquetas de rechazo en lenguaje claro, clasificación precisa de cookies, acceso persistente a la retirada del consentimiento y diseño neutral— convierte una postura de cumplimiento expuesta en una defendible en todos los mercados europeos simultáneamente.