Noticias de Privacidad

¿Son ilegales los banners de cookies?

La publicidad basada en el rastreo de Google y Amazon está en el punto de mira de la UE. En una decisión histórica, el Tribunal de Apelación de Bruselas invalida los banners de consentimiento de cookies construidos sobre el Marco de Transparencia y Consentimiento de IAB Europe.

Are cookie banners illegal? Google's and Amazon's tracking-based advertising are under fire in the EU.

El 14 de mayo de 2025, el Tribunal de Apelación de Bruselas confirmó la decisión de la Autoridad Belga de Protección de Datos (DPA) de 2 de febrero de 2022. La sentencia dice que el Marco de Transparencia y Consentimiento (TCF) de IAB Europe -básicamente el sistema que hay detrás de los banners de cookies para la licitación de anuncios en tiempo real- infringe el RGPD y, por tanto, es ilegal en toda la Unión Europea. Pero, ¿qué significa esta sentencia para ti y los molestos banners de cookies que saltan delante de tu cara todo el tiempo? Profundicemos en ello.

Módulo central de targeting y banner de cookies ilegal

La norma técnica utilizada por las empresas de publicidad para recabar el consentimiento GDPR en línea es ilegal. Las consecuencias podrían ser enormes: para los medios de comunicación, pero también para gigantes del sector como Google, Amazon, Microsoft y X, entre otros.

Decisión de la APD belga

La autoridad belga de protección de datos APD ha dictaminado -y el Tribunal de Apelación de Bruselas lo ha confirmado ahora- que un mecanismo central de banners de cookies infringe el Reglamento General de Protección de Datos (RGPD) europeo. La decisión se tomó en un procedimiento denominado de ventanilla única. Esto significa que se aplica a toda la UE. El procedimiento tiene su origen en una denuncia del Consejo Irlandés para las Libertades Civiles y otras organizaciones europeas de derechos civiles, y podría suponer un duro golpe para la industria publicitaria europea.

Más información sobre la decisión aquí.

Duro golpe para la industria de datos

Sobre la base de esta sentencia, los banners de cookies basados en TCF son ahora ilegales en toda Europa porque violan el GDPR en múltiples niveles:

  • Recogida de consentimiento no válida (artículos 5(1)(a), 6 GDPR)
  • Falta de transparencia (artículos 12-14 del GDPR)
  • Seguridad insuficiente de los datos personales (artículo 5, apartado 1, letra f), y artículos 25 y 32 del GDPR).

Los anunciantes que justifican el rastreo de cookies como “interés legítimo” también infringen el GDPR. El Tribunal rechazó explícitamente el uso del “interés legítimo” como base jurídica para la licitación en tiempo real (RTB) y formas similares de seguimiento en línea debido a sus graves riesgos para la privacidad. Por tanto, los banners de cookies que ofrecen la posibilidad de activar el interés legítimo para el seguimiento de anuncios son ilegales.

El Dr. Johnny Ryan, Director de Fuerza del Consejo Irlandés para las Libertades Civiles, ha declarado:

“La decisión de hoy del tribunal demuestra que el sistema de consentimiento utilizado por Google, Amazon, X, Microsoft, engaña a cientos de millones de europeos. La industria tecnológica ha tratado de ocultar su enorme violación de datos tras falsas ventanas emergentes de consentimiento. Las empresas tecnológicas convirtieron el GDPR en una molestia diaria en lugar de un escudo para las personas.”

¿Cómo funciona el consentimiento de cookies y la publicidad dirigida?

Consentimiento de cookies

La publicidad dirigida en Internet funciona así (explicación simplificada): Cada visita a un sitio web que utiliza el seguimiento de cookies para la publicidad dirigida desencadena una subasta entre los proveedores de anuncios. En cuestión de milisegundos se decide qué anuncios verá el usuario en función de su perfil y otros factores (= puja en tiempo real).

Puja en tiempo real

Para que esta puja en tiempo real (RTB) funcione, las empresas anunciantes quieren saber muchas cosas sobre la persona que navega actualmente por su sitio web: Edad, sexo, intereses, sitios web visitados, lugar de residencia, poder adquisitivo y otros datos. Estos datos se utilizan para mostrar el anuncio más adecuado, aquel en el que es más probable que el usuario haga clic.

Lea aquí por qué en Tuta pedimos la prohibición total de los anuncios dirigidos y por qué creemos que el modelo de negocio basado en la publicidad debe morir.

Activa la privacidad con un solo clic.

¿Seguimiento sin consentimiento?

Sin embargo, según el GDPR, este tipo de seguimiento sólo está permitido si el usuario da su consentimiento. El Marco de Transparencia y Consentimiento (TCF) de la asociación publicitaria IAB Europe supuestamente pide este consentimiento: Si los usuarios hacen clic en “aceptar cookies” o no se oponen a que el uso de sus datos sea en interés legítimo del proveedor, el TCF genera la llamada cadena TC. Este identificador constituye la base para la creación de perfiles individuales. A continuación, los perfiles se utilizan para cotejarlos con los anuncios que se mostrarán. Al hacerlo, la cadena TC se envía a cientos y cientos de socios del sistema OpenRTB.

Toda la industria publicitaria (cuando se habla de anuncios dirigidos) se basa en la cadena TC, lo que la convierte en la norma más importante del ecosistema publicitario en línea.

¿Cómo influye la decisión en la industria publicitaria?

En una sentencia histórica, la APD belga decidió en 2022 -confirmada ahora por el Tribunal de Bruselas- que compartir la cadena TC con cientos de socios infringe el Reglamento General de Protección de Datos. Según la autoridad de control, el sistema utilizado por los anunciantes para recabar el consentimiento para la publicidad dirigida en Internet no cumple los principios de legalidad y equidad.

En su resolución, la APD belga ha impuesto una multa de 250.000 euros a la asociación publicitaria IAB Europe, que desarrolla y gestiona el mecanismo TCF. Además, IAB deberá eliminar los datos personales ya recogidos, que valen una mina de oro para la industria publicitaria. ¿Cuánto? Puede calcularse mirando una sentencia similar impuesta a Google en 2024, que obligó al gigante tecnológico a eliminar datos de usuarios recopilados ilegalmente en modo incógnito por valor de 5.000 millones de dólares. Sin embargo, aún más significativas son las condiciones que la APD belga impone a la industria publicitaria para seguir utilizando el Marco de Transparencia y Consentimiento.

Miles de operadores de sitios web, casi todos los medios de comunicación en línea y también grandes empresas publicitarias como Google, Microsoft, Amazon, X y otras utilizan el mecanismo para transmitir el supuesto consentimiento de los usuarios al tratamiento de sus datos personales con fines publicitarios.

Hielke Hijmans, Presidente de la Sala de lo Contencioso de la APD belga , afirma:

“Se invita a la gente a dar su consentimiento, mientras que la mayoría no sabe que sus perfiles se venden un gran número de veces al día para exponerlos a anuncios personalizados. Aunque se refiere al TCF, y no a todo el sistema de ofertas en tiempo real, nuestra decisión de hoy tendrá una gran repercusión en la protección de los datos personales de los internautas. Debe restablecerse el orden en el sistema TCF para que los usuarios puedan recuperar el control sobre sus datos”.

Aunque la decisión no afecte directamente a todo el sistema de publicidad en Internet, tendrá un impacto importante en la protección de los datos personales de los internautas, afirma Hijmans.

¿Por qué es importante la decisión?

Las autoridades belgas de protección de datos sostienen que no sólo los perfiles publicitarios son datos personales, sino que la cadena TC -que se utiliza para la publicidad dirigida- debe considerarse también dato personal. Esta cadena puede combinarse con la dirección IP y, por tanto, hacer identificable a cualquier usuario.

La sentencia judicial lo deja absolutamente claro:

La cadena TC es un dato personal. Como confirmó el TJUE en este mismo asunto, esto se aplica tanto si IAB Europe tiene acceso a ella como si no”.

En consecuencia, IAB Europe viola el GDPR con el protocolo TCF utilizado para generar TC strings. Además, el consentimiento dado por los usuarios al rastreo de datos (cookies) es ineficaz, ya que no existe un interés legítimo suficiente del propietario del sitio web para solicitar dicho consentimiento en primer lugar.

Las autoridades argumentan que el interés legítimo de los usuarios pesa más que el interés legítimo de las empresas anunciantes debido al alto riesgo asociado a la publicidad de pujas en tiempo real basada en el rastreo.

Además, la información facilitada a los usuarios al dar su consentimiento era demasiado general e imprecisa para que entendieran la naturaleza y el alcance del tratamiento de sus datos, especialmente dada la complejidad de la publicidad basada en el seguimiento.

¿Son ilegales los banners con cookies?

Así que la principal pregunta que surge de este debate sobre los detalles legales del seguimiento es: ¿Son ilegales los banners de cookies? De forma similar a la pregunta de si Google Analytics es ilegal en la UE, la respuesta es un Sí y un No.

Aunque muchas de las implementaciones actuales de banners de cookies en la UE son ahora ilegales -por ejemplo, porque justifican el seguimiento de anuncios como interés legítimo o porque son demasiado vagas en cuanto a qué datos se están recopilando y por qué-, el uso de banners de cookies en general no es ilegal en la UE.

Pero, ¿qué significa esto para el futuro de las cookies?

Los banners de cookies se han convertido en una verdadera molestia en Internet, a veces tan molestos como los propios anuncios, que se pueden bloquear con bloqueadores de anuncios, incluso en Gmail. Lo que más molesta de los banners de cookies es que suele ser muy fácil “Aceptar todo”, mientras que a menudo no se da la opción de “Rechazar todo”. Sin embargo, este procedimiento de los editores -mostrar únicamente un botón de “Aceptar todo”- también está siendo objeto de críticas en Alemania, por lo que es de esperar que pronto se disponga de un botón de “Rechazar todo” en todas partes.

En cualquier caso, tras la actual sentencia de Bruselas, los editores deben adaptar el uso de los banners de cookies. Los editores deben

  • Utilizar un consentimiento genuino para las cookies de seguimiento (sin casillas marcadas previamente).
  • Proporcionar información clara y concisa sobre qué datos se recopilan y por qué.
  • No basarse en el “interés legítimo” para el seguimiento de anuncios.

¿Primera consecuencia? El nuevo botón “Rechazar todo” de Google

Una primera señal de que las autoridades europeas están aplicando los derechos de los clientes de forma más estricta es que Google por fin está añadiendo un botón “Rechazar todo” a sus banners de cookies.

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. ¿Es ilegal en Europa el antiguo banner de cookies de Google? Google ya ha añadido el botón “Rechazar todo”.

Buenas noticias para los amantes de la privacidad

Para los internautas que valoran la protección de datos, la decisión de la DPA belga y del Tribunal de Apelación de Bruselas de declarar ilegales los banners de cookies en su forma actual es una muy buena noticia.

En primer lugar, porque las empresas de tecnología publicitaria tendrán que eliminar los datos de los usuarios que hayan recopilado a través del mecanismo TCF.

En segundo lugar, y lo que es más importante, la decisión de las autoridades belgas de protección de datos podría dar al traste con todo el sistema de anuncios personalizados.

Esto podría poner fin definitivamente a la publicidad personalizada.

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.