Hablar de cookies en una página web ya no es solo hablar de tecnología: también implica privacidad, experiencia de usuario, analítica, personalización y cumplimiento legal. Aunque muchas personas han visto cientos de banners de cookies, no siempre tienen claro qué son exactamente, qué almacenan, por qué aparecen y cuándo son realmente necesarias.
En esta guía vamos a ver qué son las cookies, qué tipos existen, para qué se usan, cuándo requieren consentimiento, qué obligaciones legales tiene una web y qué diferencias hay entre cookies y localStorage. Además, veremos errores frecuentes y buenas prácticas para cualquier proyecto web, tienda online, blog corporativo o página de servicios.
¿Qué son las cookies?
Las cookies son pequeños archivos o identificadores que una web guarda en el navegador o dispositivo del usuario cuando este visita una página. Su finalidad puede ser muy variada: recordar una sesión, mantener un carrito de compra, guardar preferencias, medir visitas o mostrar publicidad personalizada, entre muchas otras.
Cuando un usuario entra por primera vez en una web, el navegador puede recibir una o varias cookies. En visitas posteriores, esas cookies permiten que el sitio “recuerde” cierta información. Por ejemplo, pueden servir para saber si el usuario ha iniciado sesión, qué idioma prefiere, qué productos dejó en el carrito o si ya aceptó o rechazó determinadas categorías de cookies.
Es importante entender que no todas las cookies son iguales. Algunas son puramente técnicas y necesarias para que la web funcione. Otras, en cambio, se usan para fines estadísticos, publicitarios o de personalización avanzada y, por ello, pueden requerir información clara y consentimiento previo.
¿Para qué sirven las cookies?
Las cookies cumplen muchas funciones dentro de un proyecto digital. Entre las más habituales están las siguientes:
1. Mantener el funcionamiento técnico de la web
Hay cookies que permiten acciones básicas como mantener la sesión iniciada, recordar el contenido de un carrito, proteger formularios o gestionar el equilibrio de carga del servidor. Sin este tipo de cookies, muchas webs no funcionarían correctamente.
2. Recordar preferencias del usuario
También pueden utilizarse para guardar decisiones del visitante, por ejemplo el idioma, la región, la moneda, el modo oscuro o ciertos ajustes de accesibilidad. Esto mejora la experiencia y evita que el usuario tenga que configurar todo de nuevo en cada visita.
3. Medir tráfico y comportamiento
Muchas herramientas de analítica usan cookies para medir visitas, rutas de navegación, tiempo en página, conversiones o rendimiento de campañas. Esta información ayuda a tomar decisiones de negocio, mejorar contenidos y optimizar la usabilidad.
4. Personalizar contenido y publicidad
En entornos publicitarios, las cookies pueden servir para crear perfiles, segmentar audiencias, mostrar anuncios más relevantes o medir la eficacia publicitaria. Aquí es donde suele entrar la parte más sensible desde el punto de vista legal y de privacidad.
5. Integrar servicios de terceros
Un sitio web puede incorporar contenidos o funciones externas como vídeos embebidos, mapas, botones sociales, chat online o reproductores multimedia. Estos servicios a menudo pueden instalar sus propias cookies.
Tipos de cookies
Las cookies pueden clasificarse de varias maneras. Entender esta clasificación ayuda mucho a redactar correctamente una política de cookies y a configurar bien un banner de consentimiento.
Según quién las gestione
Cookies propias: son las que se envían al equipo del usuario desde un dominio gestionado por el propio titular de la web.
Cookies de terceros: son las que se envían desde un dominio que no gestiona directamente el editor, sino otra entidad. Por ejemplo, una herramienta externa de analítica, publicidad, vídeo o mapas.
Según el tiempo que permanecen activas
Cookies de sesión: duran mientras el usuario navega y suelen borrarse al cerrar el navegador.
Cookies persistentes: permanecen almacenadas durante un tiempo determinado, que puede variar desde minutos hasta meses o incluso más, según su configuración y finalidad.
Según su finalidad
Cookies técnicas o necesarias: son las imprescindibles para el funcionamiento básico de la web o para prestar un servicio expresamente solicitado por el usuario.
Cookies de preferencias o personalización: recuerdan configuraciones como idioma, diseño, moneda o región.
Cookies de análisis o medición: recogen información sobre el comportamiento de navegación para elaborar estadísticas y mejorar el sitio.
Cookies de publicidad comportamental: almacenan información sobre hábitos de navegación para crear perfiles y mostrar anuncios personalizados.
Cookies de publicidad básica: gestionan espacios publicitarios sin llegar necesariamente a perfilar al usuario con base en su comportamiento.
¿Qué cookies son obligatorias y cuáles no?
Aquí conviene aclarar una confusión muy habitual: las cookies no son “obligatorias” por sí mismas; lo que puede ser obligatorio es informar sobre ellas o recabar consentimiento antes de instalarlas, según el tipo de cookie y su finalidad.
Cookies exentas de consentimiento
Normalmente quedan fuera de la obligación de consentimiento previo aquellas cookies que sean estrictamente necesarias para que la web funcione o para prestar un servicio solicitado expresamente por el usuario. Algunos ejemplos habituales son:
- Cookies de inicio de sesión.
- Cookies para recordar productos del carrito.
- Cookies de seguridad del usuario.
- Cookies técnicas de equilibrio de carga.
- Cookies para guardar la elección sobre el propio banner de cookies.
Aun así, aunque una cookie esté exenta de consentimiento, debe informarse de su existencia de forma clara dentro de la política correspondiente.
Cookies que sí requieren consentimiento
Por regla general, requieren consentimiento previo las cookies que no sean estrictamente necesarias, especialmente las de:
- Analítica o medición, salvo determinados supuestos muy concretos y limitados.
- Publicidad.
- Publicidad comportamental.
- Personalización no esencial.
- Seguimiento mediante terceros.
Esto significa que no deberían cargarse antes de que el usuario las acepte, salvo que entren en alguna excepción real y bien justificada.
¿Es obligatorio poner banner de cookies?
En muchos casos, sí. Si una web utiliza cookies que requieren consentimiento, lo normal es que necesite un banner o panel de configuración para informar y permitir al usuario aceptar, rechazar o configurar las distintas categorías.
Ese banner no debería limitarse a un mensaje genérico. Debe ofrecer una información comprensible y una opción real de decisión. Esto implica que el usuario pueda rechazar cookies no necesarias con la misma claridad con la que puede aceptarlas.
Qué debería incluir un banner correcto
- Información clara sobre el uso de cookies.
- Identificación de finalidades principales.
- Posibilidad de aceptar, rechazar y configurar.
- Acceso visible a la política de cookies.
- Bloqueo previo de cookies no necesarias hasta obtener consentimiento.
Además, el consentimiento debe ser libre, específico, informado e inequívoco. No valen fórmulas ambiguas, casillas premarcadas o diseños confusos destinados a empujar al usuario a aceptar.
¿Qué dice la normativa sobre cookies?
En Europa, el uso de cookies y tecnologías similares se apoya principalmente en la normativa de privacidad en las comunicaciones electrónicas y, cuando hay tratamiento de datos personales, también en la normativa de protección de datos.
En la práctica, para una web española esto implica prestar atención a dos planos:
- La regulación específica sobre almacenamiento y acceso a información en el dispositivo del usuario.
- La normativa de protección de datos, cuando las cookies tratan datos personales o permiten identificar o perfilar usuarios.
Por eso no basta con “poner un aviso”. Hay que analizar qué cookies existen, para qué sirven, quién las instala, durante cuánto tiempo y qué base jurídica aplica.
Qué debe incluir una política de cookies
Una política de cookies bien redactada debería indicar, como mínimo:
- Qué son las cookies.
- Qué tipos usa la web.
- Finalidad de cada categoría.
- Quién es el responsable o si intervienen terceros.
- Duración o plazo de conservación.
- Cómo aceptar, rechazar o revocar el consentimiento.
- Cómo eliminar cookies desde el navegador.
Tipos de cookies más comunes en una web real
Cookies técnicas
Son las más básicas. Permiten que el sitio cargue correctamente, mantenga sesiones, gestione formularios o recuerde configuraciones mínimas sin las que el servicio no funcionaría bien.
Cookies de personalización
Ayudan a adaptar la experiencia al usuario: idioma, tamaño de letra, moneda, zona geográfica o visualización de determinados elementos.
Cookies analíticas
Se utilizan para saber cuántas visitas tiene una página, qué contenidos funcionan mejor, cuánto tiempo pasan los usuarios en cada sección o desde qué dispositivos acceden. Son muy valiosas para mejorar una web, pero no por ello dejan de tener implicaciones legales.
Cookies publicitarias
Gestionan la entrega de anuncios dentro de una web o plataforma. No siempre implican perfilado avanzado, pero sí participan en la gestión comercial del inventario publicitario.
Cookies de publicidad comportamental
Son las más delicadas en términos de privacidad. Permiten rastrear hábitos de navegación y construir perfiles para mostrar publicidad segmentada según el comportamiento del usuario.
Diferencias entre cookies y localStorage
Una duda muy habitual en desarrollo web es la diferencia entre cookies y localStorage. Ambos mecanismos permiten guardar datos en el navegador, pero no funcionan igual ni tienen el mismo impacto técnico o legal.
1. Tamaño o capacidad
Las cookies tienen una capacidad mucho más limitada. localStorage suele permitir guardar bastante más información que una cookie individual, por lo que se usa a menudo para preferencias o datos ligeros del lado cliente.
2. Envío al servidor
La diferencia técnica más importante es que las cookies pueden enviarse automáticamente al servidor en cada petición HTTP al dominio correspondiente, mientras que localStorage no se envía automáticamente. localStorage permanece en el navegador y solo se usa si el propio JavaScript lo lee.
3. Persistencia
localStorage permanece guardado hasta que se elimine manualmente o se limpie el navegador. En cambio, una cookie puede ser de sesión o persistente, según cómo se configure.
4. Acceso desde JavaScript
localStorage se gestiona normalmente mediante JavaScript con métodos como setItem() y getItem(). Las cookies pueden leerse desde JavaScript en algunos casos, aunque ciertas cookies pueden protegerse con atributos específicos para impedir ese acceso directo.
5. Seguridad
Las cookies pueden configurarse con atributos como HttpOnly, Secure o SameSite, que ayudan a reforzar su seguridad. localStorage no dispone de un equivalente directo a HttpOnly, por lo que no debería utilizarse para almacenar información sensible como tokens sin un análisis serio de riesgos.
6. Implicación legal
Aunque muchas personas asocian las obligaciones legales solo a las cookies, la realidad es que la normativa puede alcanzar también a tecnologías similares cuando almacenan o acceden a información en el dispositivo del usuario. Es decir, no siempre basta con decir “yo no uso cookies, uso localStorage”.
Entonces, ¿localStorage evita el aviso de cookies?
No necesariamente. Sustituir cookies por localStorage, sessionStorage u otros mecanismos similares no garantiza quedar fuera de las obligaciones de información y consentimiento. Lo relevante no es solo el nombre de la tecnología, sino si almacena o accede a información del dispositivo del usuario y con qué finalidad.
Si una web utiliza almacenamiento local para funciones estrictamente técnicas, el análisis será distinto que si lo emplea para seguimiento, perfilado, medición o publicidad personalizada.
Ejemplos prácticos para entenderlo mejor
Ejemplo 1: tienda online
Una tienda necesita recordar los productos del carrito mientras el usuario navega. En este caso puede haber cookies técnicas exentas de consentimiento porque son necesarias para prestar el servicio solicitado.
Ejemplo 2: blog con Google Analytics o herramienta similar
Si el sitio instala cookies analíticas no exentas, lo correcto es bloquearlas hasta que el usuario acepte esa categoría y explicar su uso en la política de cookies.
Ejemplo 3: web con vídeos embebidos de terceros
Si incrustas vídeos, mapas o contenidos externos, esos servicios pueden instalar cookies propias o de terceros. Conviene analizar muy bien qué carga cada integración y si debes bloquearla hasta obtener consentimiento.
Ejemplo 4: panel privado de usuario
Una plataforma con acceso restringido puede necesitar cookies técnicas para autenticar usuarios y mantener la sesión. En ese caso su uso puede estar justificado como estrictamente necesario.
Errores frecuentes en la gestión de cookies
- Cargar cookies analíticas o publicitarias antes del consentimiento.
- No ofrecer botón de rechazo visible.
- Usar textos genéricos o poco claros.
- No revisar cookies instaladas por plugins, temas o scripts de terceros.
- Confundir cookies técnicas con cookies de conveniencia o marketing.
- Olvidar actualizar la política de cookies cuando cambian herramientas o integraciones.
- Creer que localStorage o tecnologías similares quedan automáticamente fuera de regulación.
Buenas prácticas para una web profesional
Haz una auditoría real de cookies y scripts
No basta con copiar una política genérica. Lo correcto es revisar qué herramientas usa realmente la web: analítica, vídeos, mapas, píxeles publicitarios, plugins sociales, chat, plataformas externas y recursos embebidos.
Clasifica bien cada cookie
Identifica su nombre, proveedor, finalidad, duración y categoría. Esa clasificación te servirá tanto para el banner como para la política informativa.
Bloquea por defecto lo no necesario
Las categorías no exentas deberían permanecer desactivadas hasta que el usuario las acepte de forma válida.
Permite rechazar con facilidad
El usuario debe poder rechazar cookies no necesarias de forma sencilla, sin recorridos confusos ni interfaces diseñadas para condicionar la elección.
Facilita la revocación del consentimiento
No basta con obtener consentimiento una vez. El usuario debe poder cambiar de idea y revisar su configuración posteriormente.
Redacta una política entendible
Una política clara, bien escrita y sin exceso de tecnicismos transmite seriedad, reduce dudas y mejora la transparencia del proyecto.
¿Qué pasa si una web no cumple?
Una mala gestión de cookies puede generar riesgos legales, reputacionales y de confianza. Más allá de posibles sanciones, una implementación deficiente transmite poca profesionalidad y puede provocar rechazo por parte del usuario, especialmente si se percibe opacidad en la recogida de datos.
Además, hoy en día no basta con pensar solo en “cumplir por obligación”. Una gestión responsable de cookies forma parte de una estrategia digital más sólida: mejor experiencia de usuario, mayor transparencia y más control sobre qué datos se recogen realmente.
Qué soluciones usar para gestionar cookies según tu plataforma
No todas las webs gestionan las cookies de la misma forma. No es lo mismo trabajar con WordPress, una tienda en PrestaShop, un ecommerce en Magento / Adobe Commerce o un desarrollo a medida. La buena noticia es que hoy existen plugins, módulos y plataformas de gestión del consentimiento que facilitan mucho el trabajo técnico y legal.
Aun así, conviene recordar algo importante: instalar un plugin no garantiza por sí solo el cumplimiento normativo. La herramienta ayuda a mostrar el banner, bloquear scripts, registrar consentimientos o generar textos base, pero siempre hay que revisar qué cookies usa realmente la web, qué scripts de terceros se cargan y cómo se configura cada categoría.
Plugins de cookies para WordPress
En WordPress hay varias opciones muy conocidas y prácticas para implementar banner, bloqueo previo de scripts y panel de configuración de consentimiento.
Complianz
Es uno de los plugins más conocidos para WordPress en materia de consentimiento y privacidad. Incluye banner de cookies y un sistema de configuración orientado a normativas como GDPR/ePrivacy, además de funciones relacionadas con el escaneo de cookies y la generación de documentación base.
Ver plugin Complianz en WordPress.org
CookieYes
Es otra opción muy popular para WordPress. Ofrece banner de consentimiento, bloqueo de scripts no esenciales hasta la aceptación y generación de página de política de cookies. Suele ser una alternativa cómoda para proyectos corporativos, blogs y tiendas pequeñas o medianas.
Ver plugin CookieYes en WordPress.org
Cookiebot by Usercentrics
Está más orientado a quien quiere una solución tipo CMP integrada con WordPress. Su propuesta incluye detección de cookies y trackers, bloqueo de cookies no esenciales hasta que el usuario decide, registro del consentimiento y soporte para Google Consent Mode v2.
Ver plugin Cookiebot para WordPress
Módulos de cookies para PrestaShop
En PrestaShop lo más habitual es trabajar con módulos especializados desde su marketplace o con CMP externas integradas mediante script.
Advanced Cookie Banner GDPR + Google Consent Mode V2
Es un módulo del marketplace de PrestaShop orientado a mostrar un banner de consentimiento compatible con normativa europea y con integración de Google Consent Mode v2. Puede ser una opción interesante para tiendas que necesitan una configuración más enfocada a ecommerce y marketing.
Ver módulo Advanced Cookie Banner para PrestaShop
Cookiebot para PrestaShop
Cookiebot también dispone de integración en el ecosistema PrestaShop. Es útil cuando se busca una plataforma de gestión del consentimiento con escaneo de cookies, categorización, bloqueo previo y gestión más avanzada del consentimiento.
Ver Cookiebot en PrestaShop Addons
En tiendas PrestaShop conviene revisar con especial cuidado módulos de analítica, remarketing, chat, píxeles publicitarios, vídeos incrustados y herramientas externas, porque muchas de ellas añaden cookies de terceros y pueden requerir bloqueo antes del consentimiento.
Extensiones de cookies para Magento / Adobe Commerce
En Magento o Adobe Commerce, la gestión de cookies y privacidad suele abordarse mediante extensiones específicas o mediante CMP externas integradas en frontend.
Amasty GDPR Pro
Es una solución amplia de privacidad para Magento 2. Incluye funcionalidades relacionadas con gestión de consentimientos y, según su ficha, incorpora opciones para recoger el consentimiento de cookies mediante popup y configurar grupos de cookies, además de otras herramientas ligadas a GDPR.
Ver Amasty GDPR Pro en Adobe Commerce Marketplace
SwissUp GDPR
Esta extensión incluye banner de cookies configurable y opciones vinculadas al cumplimiento GDPR, además de otras utilidades relacionadas con privacidad del usuario.
Ver SwissUp GDPR en Adobe Commerce Marketplace
CookiePro / OneTrust
En el ecosistema Magento también aparece CookiePro, la solución de consentimiento impulsada por OneTrust, enfocada a cumplimiento global y a despliegues más corporativos o exigentes.
Ver CookiePro / OneTrust en Adobe Commerce Marketplace
En Magento suele ser recomendable dedicar tiempo a la arquitectura de la solución, especialmente cuando intervienen Google Tag Manager, integraciones de marketing, módulos de terceros, contenido embebido y personalizaciones del checkout.
Qué hacer si tu web es un desarrollo a medida
Cuando el proyecto está desarrollado a medida, normalmente hay dos caminos:
- Integrar una CMP externa ya preparada.
- Desarrollar un sistema propio de consentimiento, categorías, bloqueo de scripts y registro de preferencias.
Para la mayoría de proyectos, la opción más práctica suele ser integrar una plataforma de gestión del consentimiento (CMP), ya que simplifica el escaneo, la configuración del banner, la revocación del consentimiento y, en muchos casos, el bloqueo automático o semiautomático de scripts.
Cookiebot CMP
Permite escanear la web, detectar cookies y tecnologías de seguimiento, mostrar banners configurables y gestionar el consentimiento desde una solución ya preparada para integrarse mediante script.
Ver Cookiebot CMP
Osano Cookie Consent
Ofrece una solución de consentimiento con implementación por JavaScript y opciones de personalización del banner, además de una versión más simple de su conocido sistema de aviso de cookies.
Ver Osano Cookie Consent
OneTrust Cookie Consent
Es una opción muy extendida en entornos corporativos y proyectos con necesidades más avanzadas. Incluye detección de cookies y trackers, banners configurables y despliegue en múltiples dominios o propiedades web.
Ver OneTrust Cookie Consent
¿Plugin, módulo o implementación a medida?
La mejor opción depende del tipo de proyecto:
- WordPress corporativo o blog: normalmente basta con un plugin bien configurado como Complianz, CookieYes o Cookiebot.
- PrestaShop o Magento con marketing activo: conviene valorar soluciones más robustas, sobre todo si usas analítica, remarketing, píxeles y Consent Mode.
- Proyecto a medida o entorno multiweb: suele compensar una CMP externa como Cookiebot, Osano o OneTrust.
- Webs complejas: puede ser necesario combinar una CMP con una revisión técnica específica del frontend, los scripts y las integraciones de terceros.
En cualquier caso, la recomendación es clara: elige una solución que permita bloquear cookies no necesarias antes del consentimiento, configurar categorías, modificar preferencias después de la aceptación y mantener una política de cookies bien documentada.
Las cookies son parte de la arquitectura legal y técnica de una web
Las cookies siguen siendo una pieza central del ecosistema web. Sirven para funciones muy útiles, desde mantener sesiones hasta medir resultados o personalizar contenidos. Pero precisamente por ese poder, su uso debe hacerse con criterio técnico, transparencia y respeto a la privacidad.
Entender la diferencia entre cookies técnicas, analíticas, publicitarias y mecanismos como localStorage es fundamental para cualquier negocio o profesional que gestione una página web.
No todas las cookies requieren consentimiento, no todo almacenamiento local queda fuera de regulación y no basta con copiar un texto estándar. Lo recomendable es analizar cada proyecto, revisar sus scripts y construir una política de cookies adaptada a la realidad de la web.