ConmaCMP
CookiesScannerCumplimiento

Tipos de cookies y cómo auditarlas: la base de un consentimiento que cumple

PorEquipo Conma18 de junio de 20263 min de lectura

Antes de configurar cualquier banner, hay un paso que casi todo el mundo se salta: saber qué cookies usa realmente tu sitio. Sin ese inventario, tu consentimiento es papel mojado, porque no puedes pedir permiso por algo que no has identificado. Empecemos por entender qué hay que clasificar y cómo encontrarlo.

Primera distinción: de quién y por cuánto tiempo

  • Propias (first-party): las pone tu propio dominio. Suelen ser funcionales (sesión, idioma, carrito).
  • De terceros (third-party): las ponen dominios externos (Google, Meta…). Son las más sensibles y las que los navegadores están eliminando.
  • De sesión: se borran al cerrar el navegador.
  • Persistentes: permanecen días, meses o años según su fecha de expiración.

La duración importa legalmente: una cookie de marketing que persiste dos años es un tratamiento mucho más invasivo que una de sesión, y así debe reflejarse en tu política de cookies.

Las cuatro categorías que pide la ley

Las autoridades (y el estándar del sector) agrupan las cookies por finalidad. Solo la primera categoría puede cargarse sin consentimiento:

CategoríaPara qué sirveEjemplo típico¿Necesita consentimiento?
Estrictamente necesariasLogin, carrito, seguridadPHPSESSIDNo
PreferenciasIdioma, región, temalang, theme
Analítica / estadísticaMedir tráfico (GA4)_ga, _gid
Marketing / publicidadRemarketing, píxeles_fbp, _gcl_au

En Colombia, la Resolución 32126 de 2022 de la SIC reconoce estas cuatro categorías y aclara que ninguna está exenta salvo las estrictamente necesarias. En la UE, el criterio es equivalente.

Por qué clasificar bien lo cambia todo

El banner debe ofrecer control por categoría: el usuario acepta analítica pero rechaza marketing, por ejemplo. Y aquí está el riesgo más habitual: clasificar mal una cookie de marketing como "necesaria" para cargarla sin permiso. Esa única decisión convierte un banner que cumple en uno meramente decorativo —y es exactamente lo que una autoridad busca en una inspección—.

La clasificación correcta es, por tanto, la base sobre la que se sostiene todo lo demás: el bloqueo previo, la granularidad y la prueba del consentimiento.

Cómo auditar tu sitio, paso a paso

  1. Escanea todas las páginas, no solo la home: el checkout, los formularios y las landing de campañas suelen cargar píxeles que no están en el resto del sitio.
  2. Identifica cada cookie: su nombre, dominio que la pone, finalidad y vida útil. Puedes empezar a mano en las DevTools del navegador (pestaña Application → Cookies), pero no escala.
  3. Clasifícala en una de las cuatro categorías.
  4. Documenta también los scripts, no solo las cookies: muchos rastreadores modernos (píxeles server-side, fingerprinting) no dejan una cookie clásica.
  5. Vuelve a escanear periódicamente: cada nueva herramienta de marketing añade rastreadores que tu banner debe contemplar. Un inventario hecho una sola vez se queda obsoleto en semanas.

Por qué falla el método manual: una hoja de cálculo de cookies refleja el sitio del día que la hiciste. En cuanto marketing añade un píxel nuevo o cambia una herramienta, tu declaración deja de ser veraz —y la responsabilidad es tuya—.

Errores de clasificación que cuestan multas

Hay tres confusiones que se repiten en casi todas las auditorías:

  • Tratar Google Analytics como "necesaria". La analítica mejora tu negocio, pero no es imprescindible para que el sitio funcione: requiere consentimiento.
  • Olvidar las cookies que ponen los embeds. Un vídeo de YouTube, un mapa o un chat incrustado instalan sus propias cookies de terceros que también debes declarar y bloquear hasta el consentimiento.
  • No distinguir cliente y servidor. Un píxel puede no dejar cookie en el navegador y aun así enviar datos desde el servidor; sigue necesitando base legal.

Clasificar bien no es un detalle burocrático: es lo que una autoridad revisa primero, y el punto donde más sitios fallan.

El inventario como cimiento

Hacer y mantener este inventario a mano es inviable. El scanner de Conma rastrea tu sitio de forma automática, detecta cada cookie y script —propios y de terceros, cliente y servidor—, los clasifica en las cuatro categorías y mantiene tu declaración siempre al día. Sobre ese inventario, el banner bloquea cada rastreador hasta que el usuario decide por categoría. Es el cimiento sobre el que se construye un consentimiento que de verdad cumple.

Compartir
← Volver al blog

Sigue leyendo

Consent Mode v2

Beneficios y usos de Google Consent Mode v2

Más allá del cumplimiento: cómo Consent Mode v2 protege tus ingresos publicitarios, recupera datos y mejora la experiencia del usuario. Beneficios y casos de uso.

23 de junio de 20263 min de lectura
Negocio

El costo de no cumplir: multas, conversiones perdidas y el ROI de una CMP

No cumplir cuesta dos veces: en sanciones y en datos de marketing perdidos. Cómo calcular el retorno de invertir en una plataforma de consentimiento.

20 de junio de 20263 min de lectura
Ventas