Capítulos 02 Vigente desde: 2002 (modificada en 2009)

Directiva ePrivacy

Directiva sobre Privacidad y Comunicaciones Electrónicas

Resumen

La Directiva ePrivacy (ePD), comúnmente llamada la "ley de cookies", complementa el RGPD proporcionando reglas específicas para la privacidad en las comunicaciones electrónicas. Cubre la confidencialidad de las comunicaciones, el uso de tecnologías de seguimiento y el marketing directo.[1]

Como directiva, su implementación varía entre los Estados Miembros. El Reglamento ePrivacy propuesto fue oficialmente retirado en febrero de 2025, por lo que la Directiva sigue siendo la ley aplicable.

Relación con el RGPD

  • La ePD es lex specialis: Tiene prioridad sobre el RGPD para comunicaciones electrónicas
  • Se aplican los principios del RGPD: El consentimiento bajo la ePD debe cumplir con los estándares del RGPD
  • Aplicación combinada: Ambos conjuntos de normas son aplicados por las autoridades de protección de datos

Requisitos Clave

Consentimiento de Cookies (Artículo 5(3))[2]

Se requiere consentimiento antes de colocar o acceder a información en el dispositivo del usuario:

Tipo de Cookie¿Se requiere consentimiento?
Estrictamente necesariasNo (exentas)
Preferencia/funcionalidad
Analíticas/estadísticasSí (algunas jurisdicciones permiten exenciones)
Publicidad
Seguimiento de terceros

Requisitos de Consentimiento

El consentimiento válido debe ser:

  • Previo: Obtenido antes de establecer cookies
  • Libremente otorgado: Elección real sin perjuicio por rechazar
  • Específico: Claro sobre los propósitos y tipos de cookies
  • Informado: Los usuarios entienden qué datos se recopilan
  • Unívoco: Se requiere una acción afirmativa clara
  • Retirable: Los usuarios pueden cambiar preferencias fácilmente

Buenas Prácticas para el Banner de Cookies

HacerNo hacer
Proporcionar opciones granularesPreseleccionar casillas de consentimiento
Hacer "Rechazar Todo" igual de visibleOcultar el rechazo tras múltiples clics
Guardar prueba de consentimientoEstablecer cookies antes del consentimiento
Permitir retirada fácilHacer la retirada más difícil que el consentimiento
Lenguaje claro y sencilloJerga técnica

Confidencialidad de las Comunicaciones (Artículo 5)

  • Prohibición de interceptación y vigilancia
  • Se permite almacenamiento técnico necesario para la transmisión
  • Contenido y metadatos protegidos por igual

Marketing Directo (Artículo 13)

TipoRequisito
Marketing por email/SMSSe requiere consentimiento previo (opt-in)
Clientes existentesOpt-in suave para productos similares (con fácil exclusión)
Marketing B2BLas reglas varían según el Estado Miembro

Comunicaciones No Solicitadas

  • La identidad del remitente no debe estar disfrazada
  • Se requiere un mecanismo válido de exclusión (opt-out)
  • Se deben respetar los registros nacionales de "no llamar"

Cambios Propuestos en el Paquete Digital Omnibus (2025)

La Comisión Europea ha propuesto simplificar las reglas de cookies mediante el paquete "Digital Omnibus":[3]

  • Trasladar ciertas disposiciones de la ePD al RGPD
  • Ampliar exenciones para cookies analíticas y de seguridad
  • Permitir señales centralizadas de consentimiento para reducir la "fatiga de consentimiento"

Nota: Estas propuestas aún no han sido adoptadas. Los requisitos actuales de la ePD permanecen vigentes.

Ejemplos de Aplicación

AutoridadEntidadMultaMotivo
CNIL (Francia)Google150M €Violaciones en el consentimiento de cookies
CNIL (Francia)Facebook60M €Dificultad para rechazar cookies
ICO (Reino Unido)VariasAmonestacionesBotones de rechazo ocultos
AEPD (España)Varias10K-100K €Recopilación incorrecta de consentimiento

Lista de Verificación para Desarrolladores

Banner de Consentimiento de Cookies

  • Obtener consentimiento antes de establecer cookies no esenciales
  • Proporcionar controles granulares por categoría
  • Hacer "Rechazar Todo" igualmente accesible
  • Guardar y registrar la fecha y hora del consentimiento
  • Permitir fácil retirada del consentimiento
  • Bloquear scripts de terceros hasta obtener consentimiento

Requisitos Técnicos

  • Auditar todas las cookies y tecnologías de seguimiento
  • Categorizarlas por propósito y necesidad
  • Documentar los propósitos y la retención de cookies
  • Asegurar que los scripts respeten las señales de consentimiento
  • Implementar sincronización de consentimiento para subdominios

Fuentes y Referencias

[1]
Directiva 2002/58/CE sobre privacidad en las comunicaciones electrónicas. EUR-Lex: Directiva ePrivacy
[2]
Artículo 5(3) modificado por la Directiva 2009/136/CE. GDPR.eu: Ley de Cookies
[3]
Propuesta del paquete Digital Omnibus de la Comisión Europea, noviembre de 2025. CE: Digital Omnibus