ConmaCMP
LegalGDPRLATAM

GDPR, Ley 1581 y LGPD: el marco legal del consentimiento en LATAM y España

PorEquipo Conma12 de junio de 20263 min de lectura

Pedir consentimiento para las cookies dejó de ser una buena práctica para convertirse en una obligación legal con sanciones reales. Pero la norma que te aplica depende de dónde estén tus usuarios, no de dónde esté tu empresa. Esta es la foto del marco jurídico en los mercados donde opera la mayoría de nuestros clientes, con el detalle suficiente para saber qué tienes que cambiar.

Aviso: este artículo es informativo y no constituye asesoría legal. Para tu caso concreto, consulta con un abogado especializado en protección de datos.

El primer malentendido habitual es pensar que las cookies "no son datos personales". En la práctica, un identificador de cookie que permite reconocer a un dispositivo a lo largo del tiempo lo es: se considera dato personal porque puede vincularse a una persona, directa o indirectamente. Por eso las cookies de analítica y marketing entran de lleno en el ámbito de estas normas, y por eso no basta con un aviso pasivo de "usamos cookies".

España y la Unión Europea: GDPR + ePrivacy

En el Espacio Económico Europeo conviven dos normas que se complementan:

  • El GDPR (Reglamento General de Protección de Datos) regula el tratamiento de datos personales y exige una base legal para cada uso. Para marketing y analítica, esa base es el consentimiento.
  • La Directiva ePrivacy (y su trasposición nacional, como la LSSI en España) regula específicamente el acceso y almacenamiento de información en el dispositivo del usuario —es decir, las cookies y tecnologías similares.

La combinación exige que el consentimiento sea libre, específico, informado e inequívoco, mediante una acción afirmativa clara. En la práctica esto descarta varias prácticas muy comunes:

  • Nada de cookies de analítica o marketing antes de que el usuario acepte.
  • Prohibidas las casillas premarcadas y los botones de "rechazar" escondidos.
  • "Seguir navegando equivale a aceptar" no es consentimiento válido.
  • Rechazar debe ser tan fácil como aceptar (mismo nivel, mismos clics).

Ejemplo de incumplimiento típico: un banner con un botón "Aceptar" dorado y bien visible, y un "Rechazar" en gris diminuto al pie. Las autoridades europeas consideran que ese desequilibrio invalida el consentimiento.

Colombia: Ley 1581 de 2012

Colombia se rige por la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013, bajo la vigilancia de la Superintendencia de Industria y Comercio (SIC). La autorización del titular debe ser previa, expresa e informada, y el responsable debe poder demostrar que la obtuvo.

La pieza clave para cookies es la Resolución 32126 de 2022 de la SIC, que:

  • Clasifica las cookies en cuatro categorías (necesarias, de preferencias, de analítica y de publicidad).
  • Establece que ninguna está exenta de requerir autorización salvo las estrictamente necesarias, porque la Ley 1581 se basa en el principio de autorización del titular.
  • Aplica a cualquier empresa que recolecte datos de personas residentes o domiciliadas en Colombia mediante cookies, sin importar dónde esté el servidor ni la nacionalidad de la empresa.

Además, el titular conserva sus derechos de conocer, actualizar, rectificar y suprimir sus datos, y de revocar la autorización en cualquier momento.

Brasil y el resto de la región

Brasil cuenta con la LGPD (Lei Geral de Proteção de Dados), supervisada por la ANPD y muy alineada con el GDPR, incluida la figura del encargado y las bases legales de tratamiento. México (LFPDPPP, con el INAI), Argentina, Chile, Perú y Ecuador tienen marcos propios en distintos grados de madurez, varios en proceso de reforma para acercarse al estándar europeo.

JurisdicciónNorma principalAutoridadConsentimiento
España / UEGDPR + ePrivacyAEPD / DPAsPrevio, explícito, granular
ColombiaLey 1581 / 2012SICPrevio, expreso, informado
BrasilLGPDANPDPrevio, específico
MéxicoLFPDPPPINAIPrevio (aviso de privacidad)

Si tu sitio recibe tráfico de varios de estos países —lo normal en LATAM— el estándar práctico es alinearte con el más exigente (el europeo) y cumplir el resto por arrastre.

Las sanciones no son teóricas

El GDPR permite multas de hasta el 4% de la facturación anual global o 20 millones de euros, lo que sea mayor. Y se aplican: la autoridad sueca impuso 15 millones de euros a cadenas de farmacias por usar el píxel de Meta sin base legal, y la autoridad austriaca declaró que el píxel de Meta transfería datos a EE. UU. en infracción del GDPR. En LATAM, la SIC ha sancionado tratamientos de datos sin autorización válida. A la multa se suma el daño reputacional y, cada vez más, las demandas colectivas.

Qué necesitas para cumplir

Más allá del país, un consentimiento que resiste una auditoría comparte cuatro rasgos:

  1. Bloqueo previo: ningún rastreador se ejecuta antes del "aceptar".
  2. Granularidad: el usuario decide por finalidad (analítica, marketing…).
  3. Revocabilidad: retirar el consentimiento debe ser tan fácil como darlo.
  4. Prueba: registro de qué aceptó cada usuario, cuándo y sobre qué versión del texto, conservado por si una autoridad lo pide.

Conma cubre los cuatro: bloquea hasta el consentimiento, ofrece control granular, permite revocar y emite un certificado firmado de cada decisión con validez probatoria. Si además usas Google, complétalo con nuestra guía de Google Consent Mode v2.

Compartir
← Volver al blog

Sigue leyendo

Consent Mode v2

Qué significan G100, G111 y los códigos GCS de Google Consent Mode

Decodifica el parámetro gcs (G100, G101, G110, G111) y el gcd de Consent Mode v2, y entiende qué datos viaja a Google cuando el usuario rechaza las cookies.

24 de junio de 20263 min de lectura
Consent Mode v2

Beneficios y usos de Google Consent Mode v2

Más allá del cumplimiento: cómo Consent Mode v2 protege tus ingresos publicitarios, recupera datos y mejora la experiencia del usuario. Beneficios y casos de uso.

23 de junio de 20263 min de lectura
Ventas