
Para cualquier empresa española que gestione campañas de publicidad digital, el cumplimiento con la Agencia Española de Protección de Datos (AEPD) ya no es un asunto exclusivo del departamento legal. Las cookies de publicidad, la personalización de anuncios y la medición de campañas dependen directamente de un consentimiento que, si no está bien gestionado, puede derivar en sanciones significativas y en el bloqueo de datos esenciales para optimizar la inversión publicitaria.
El cumplimiento en materia de publicidad digital en España combina tres normas que operan en paralelo:
La actualización de la guía de la AEPD estableció un criterio central: las opciones de aceptar y rechazar cookies deben presentarse con el mismo nivel de visibilidad, tamaño y accesibilidad. Un banner donde "Aceptar" aparece como un botón destacado y "Rechazar" queda escondido en un enlace de texto pequeño incumple directamente esta norma.
Otros puntos que la AEPD revisa de forma activa:
La AEPD ha sancionado a empresas de distintos tamaños por prácticas de consentimiento no conformes. Entre los ejemplos documentados en los últimos ejercicios se incluyen sanciones a marcas de retail por premarcar cookies como aceptadas sin que el usuario tomara esa decisión, a medios digitales por no mantener visible el panel de configuración de cookies durante la navegación, y a empresas del sector aéreo por no ofrecer un mecanismo de rechazo igual de accesible que el de aceptación. Las multas por gestión inadecuada de cookies oscilan típicamente entre 3.000 y 300.000 euros, con la posibilidad de sanciones considerablemente mayores en los casos más graves.
Con la llegada de Consent Mode v2 de Google, las empresas españolas que usan Google Ads y Google Analytics enfrentan un requisito técnico adicional: las etiquetas de medición y publicidad deben configurarse para respetar la decisión de consentimiento del usuario en tiempo real, no solo a nivel de banner sino a nivel de disparo de las propias etiquetas. Un error frecuente es cargar los scripts de Google Ads o Analytics antes de que el usuario tome una decisión, en lugar de condicionar su activación al estado de consentimiento.
Cuando el usuario rechaza el tratamiento con fines publicitarios, Consent Mode v2 permite que Google siga recibiendo señales agregadas y modeladas, sin identificar al usuario individual, lo que ayuda a mantener cierta calidad de medición sin vulnerar la normativa. Configurarlo correctamente requiere coordinación entre el equipo legal, el de marketing y el técnico, algo que muchas empresas todavía gestionan de forma fragmentada.
El cumplimiento normativo y la protección contra fraude publicitario no son temas separados. Una gestión deficiente del consentimiento reduce la calidad de las señales disponibles para optimizar campañas, lo que empuja a algunos anunciantes a compensar esa pérdida de datos ampliando la segmentación o relajando los controles de calidad de tráfico, justo el tipo de configuración que el tráfico inválido aprovecha mejor.
Además, cualquier plataforma de detección de fraude publicitario que analice el comportamiento del tráfico entrante debe operar dentro de los mismos principios de minimización de datos y transparencia que exige el RGPD. Trabajar con proveedores que documentan claramente qué datos procesan y con qué base jurídica, como Spider AF, evita añadir un riesgo de cumplimiento adicional mientras se resuelve un problema de calidad de tráfico.
Cumplir con la AEPD no tiene por qué significar renunciar a la capacidad de medir y optimizar campañas. Las empresas que mejor gestionan este equilibrio son las que tratan el consentimiento como parte del diseño de la campaña desde el principio, no como un obstáculo legal que se resuelve al final. Esa misma disciplina, aplicada también a la calidad del tráfico publicitario, suele ser la diferencia entre una inversión digital que genera datos confiables y una que solo genera cifras difíciles de justificar ante dirección.
¿Cuánto puede ser la multa de la AEPD por un banner de cookies no conforme?Las sanciones por gestión inadecuada de cookies oscilan típicamente entre 3.000 y 300.000 euros, dependiendo de la gravedad y la duración del incumplimiento, con la posibilidad de cifras mayores en los casos más graves.
¿Qué es Consent Mode v2 y por qué lo exige la normativa?Es la actualización de Google que condiciona el disparo de las etiquetas de publicidad y analítica al consentimiento real del usuario, permitiendo recibir señales agregadas y modeladas cuando el usuario rechaza el tratamiento con fines publicitarios, sin identificarlo individualmente.
¿Cada cuánto debo renovar el consentimiento de cookies de un usuario?La AEPD recomienda que la validez del consentimiento no supere los 24 meses; pasado ese plazo, debe volver a solicitarse.