La paradoja del consentimiento de cookies: cómo los banners de privacidad se convirtieron en el mayor Catch-22 de la web

El jefe lo dijo sin rodeos: los banners de cookies están rotos, y la única forma de hacerlos desaparecer es darles exactamente lo que quieren. Es un Catch-22 tan perfectamente diseñado que haría llorar a Joseph Heller.

El asunto es el siguiente. La legislación europea de privacidad exige que los sitios web obtengan su permiso antes de rastrearle con cookies. Así que ahora cada sitio web de la UE le recibe con una ventana emergente que solicita su consentimiento. Suena razonable. Salvo que el sistema ha sido tan completamente corrompido por trucos de diseño que el «consentimiento» se ha convertido en una ficción cortés. El botón de aceptar es grande, verde y atractivo. La opción de rechazar, si es que existe, está enterrada tres clics más abajo en un submenú del color del hormigón mojado.

El resultado: el mecanismo creado para proteger su privacidad se ha convertido en la herramienta más eficaz para destruirla.

Los números detrás de la estafa

El grupo de defensa de la privacidad noyb, liderado por el abogado austriaco Max Schrems, lleva años documentando esto. Sus auditorías revelaron que el 81 % de los sitios web no ofrecía un botón de rechazo en la página inicial. El 73 % utilizaba colores y contrastes engañosos para empujar a los usuarios a aceptar. El 90 % no proporcionaba una forma sencilla de retirar el consentimiento una vez otorgado.

La brecha entre lo que la gente quiere y lo que hace es asombrosa. Datos del sector, citados por el propio Schrems, muestran que solo el 3 % de los usuarios quiere realmente aceptar las cookies de rastreo. Sin embargo, más del 90 % acaba haciendo clic en «Aceptar» porque la alternativa es un laberinto de interruptores, submenús y lenguaje deliberadamente confuso.

Cuando los investigadores dan a la gente una elección equitativa, el panorama cambia por completo. Los estudios muestran de forma consistente que entre el 50 y el 70 % de los usuarios rechazan las cookies cuando el botón de rechazo es igual de visible. Escóndalo, y el rechazo cae por debajo del 10 %. El «consentimiento» no refleja una preferencia. Es el producto del diseño de la interfaz.

Los académicos también lo midieron

Un estudio de referencia de 2020, realizado por investigadores del MIT, el UCL y la Universidad de Aarhus, analizó los diseños de las cinco plataformas de gestión del consentimiento más populares en los 10.000 principales sitios web del Reino Unido. Descubrieron que solo el 11,8 % cumplía incluso los requisitos legales mínimos que establecieron con base en el derecho europeo. Eliminar el botón de rechazo de la primera página aumentaba las tasas de consentimiento entre 22 y 23 puntos porcentuales. Añadir controles más detallados las reducía entre 8 y 20 puntos.

En otras palabras, cuanto menos control se da a la gente, más «acepta». Cuanto más honesta es la interfaz, más dice que no. Esto no es consentimiento. Es capitulación.

Otro estudio, publicado en IEEE Security & Privacy en 2020, fue más lejos. Los investigadores analizaron 560 sitios web y encontraron al menos una infracción legal en el 54 % de ellos. El hallazgo más condenatorio: 27 sitios web almacenaban una señal de consentimiento positivo incluso después de que el usuario hubiera optado explícitamente por no aceptar. Usted hizo clic en «No», y el sistema registró «Sí».

Un estudio de 2019 realizado por investigadores de la Universidad del Ruhr en Bochum, presentado en la conferencia CCS, confirmó que el nudging en los banners de cookies tiene un «gran efecto» en las decisiones de los usuarios. «Decisiones de implementación aparentemente pequeñas», escribieron, «pueden tener un impacto sustancial en si las personas interactúan con los avisos de consentimiento y en cómo lo hacen.»

Aún peor: los banners ni siquiera funcionan

Aquí es donde el Catch-22 se vuelve aún más oscuro. Incluso si navega por el laberinto y rechaza realmente las cookies, hay bastantes probabilidades de que el sitio web le rastree de todos modos.

Un análisis a gran escala de 2025, que abarcó más de un millón de sitios web, reveló que el 43 % instalaba cookies de rastreo sin consentimiento válido y el 63 % ejecutaba rastreo por píxel sin él. Solo Google representaba el 47,3 % de las infracciones de rastreo por píxel.

¿Y si acepta las cookies y luego vuelve para revocar su consentimiento? El 57,5 % de los sitios web no elimina las cookies tras la revocación. Su retirada del consentimiento no tiene ningún efecto técnico.

La autoridad francesa de protección de datos, la CNIL, encontró un ejemplo elocuente en el caso Condé Nast. Los usuarios del sitio web de Vanity Fair que se tomaron la molestia de rechazar las cookies se llevaron una desagradable sorpresa: el sitio enviaba de todos modos «señales de consentimiento falsas» a 375 empresas de rastreo. CDiscount, otro infractor, enviaba señales falsas a 431 rastreadores por usuario. Usted dijo no. El sitio web dijo sí en su nombre.

El coste de este teatro

Esta representación del consentimiento no es solo frustrante. Es costosa. Un cálculo del investigador jurídico francés Dr. Thiébaut Devergranne estimó que los europeos dedican colectivamente 575 millones de horas al año a interactuar con banners de cookies. Con un salario promedio de 25 euros por hora, eso representa una pérdida de productividad de 14.375 millones de euros, aproximadamente el 0,1 % del PIB de la UE. El equivalente a 287.500 empleados a tiempo completo pasando toda su vida laboral haciendo clic en ventanas emergentes.

¿Y para qué? La fatiga del consentimientoFenómeno en el que la exposición repetida a solicitudes de consentimiento lleva a los usuarios a aprobarlas automáticamente sin leerlas, socavando el propósito del consentimiento informado. que esto genera lleva a los usuarios a aceptar todo de forma irreflexiva, que es exactamente lo contrario del consentimiento informadoUn requisito ético y legal en la investigación que los participantes deben estar completamente informados sobre la naturaleza, los riesgos, los beneficios y los procedimientos de un estudio, y deben aceptar voluntariamente participar sin coerción ni tergiversación. Un principio clave en la ética de la investigación.. El sistema se autodestruye.

Los reguladores lo intentan. Más o menos.

La aplicación de las normas ha aumentado. En septiembre de 2025, la CNIL multó a Google con 325 millones de euros y a Shein con 150 millones de euros por infracciones relacionadas con cookies, las mayores sanciones de este tipo hasta la fecha. La CNIL declaró explícitamente que las alternativas deben «presentarse de manera equilibrada, sin alentar a [los usuarios] a elegir una opción sobre otra».

Tras el envío por parte de noyb de proyectos de reclamaciones a más de 500 empresas en mayo de 2021, el 42 % de todas las infracciones fueron subsanadas en 30 días. Pero el 82 % de las empresas no cumplió plenamente, lo que llevó a noyb a presentar 422 reclamaciones formales al RGPD en agosto de 2021. El mayor punto de resistencia: hacer que la retirada del consentimiento sea tan fácil como otorgarlo. Solo el 18 % de los sitios añadió un mecanismo de retirada adecuado.

Un estudio comparativo de 2025 realizado en 254.148 sitios web de 31 países, presentado en CHI ’25, reveló que solo el 15 % de los banners de cookies cumple mínimamente con la normativa. Los investigadores lo dijeron sin rodeos: «Hay pocas pruebas de que las orientaciones y las multas de los reguladores hayan tenido impacto en las tasas de cumplimiento.»

La solución que podría llegar

El reglamento «Digital Omnibus» propuesto por la UE, presentado a finales de 2025, adopta un nuevo enfoque. Exigiría un botón de rechazo con un solo clic, impondría un período de enfriamiento de seis meses antes de que los sitios web puedan volver a solicitar a los usuarios que rechazaron, y obligaría a los navegadores a ofrecer señales de consentimiento legibles por máquina, para que los usuarios pudieran establecer sus preferencias una vez y que estas se aplicasen en todas partes.

Sobre el papel, esto aborda el problema central. En la práctica, el requisito de señal del navegador no entraría en vigor hasta 48 meses después de que el reglamento entre en vigor. Y contiene exenciones para los proveedores de servicios de medios, que es una forma elegante de decir que los sitios más dependientes de los anuncios basados en rastreo tienen carta blanca.

Mientras tanto, la práctica del «pagar o consentir», en la que los sitios cobran a los usuarios que se niegan al rastreo, ya fue puesta a prueba y declarada ilegal. Un tribunal austriaco declaró la práctica ilegal cuando fue utilizada por el periódico DerStandard, confirmando que el consentimiento obtenido bajo presión económica no es libremente otorgado.

El Catch-22, expuesto con claridad

La ley dice que debe consentir ser rastreado. El sitio web dice que la única forma de usarlo cómodamente es consentir. Si rechaza, obtiene una experiencia degradada, una pantalla de molestia en cada visita o, en algunos casos, un muro de pago. Si acepta, ha entregado exactamente los datos que la ley debía proteger. Si logra rechazar y el sitio le rastrea de todos modos, no existe ningún mecanismo realista para descubrirlo o impugnarlo.

Como lo expresó Max Schrems: «A menudo hacen deliberadamente que los diseños de la configuración de privacidad sean una pesadilla, pero al mismo tiempo culpan al RGPD por ello.»

El RGPD no creó los banners de cookies. Lo hizo la Directiva ePrivacy de 2002. El RGPD debía resolver el problema exigiendo un consentimiento genuino, informado y libremente otorgado. En cambio, surgió una industria del cumplimiento normativo que vale miles de millones y se dedica a fabricar la apariencia del consentimiento sin la sustancia. Las plataformas de gestión del consentimiento ahora controlan el 67 % de todas las interfaces de consentimiento, y tres empresas ostentan el 37 % de ese mercado.

La ironía es completa: un reglamento diseñado para dar a los usuarios control sobre sus datos ha dado lugar a una industria dedicada a garantizar que nunca lo ejerzan realmente.

El jefe ha señalado este tema, y con razón: los banners de consentimiento de cookies son una clase magistral de fracaso regulatorio en la intersección del derecho, el diseño UX y la infraestructura adtech. Aquí está el cuadro técnico completo.

El marco legal

Los requisitos de consentimiento para cookies no provienen del RGPD (2018), sino de la Directiva ePrivacy 2002/58/CE, artículo 5Cláusula de defensa colectiva de la OTAN en el Tratado del Atlántico Norte. Establece que un ataque armado contra un Estado miembro se considera un ataque contra todos, desencadenando una respuesta militar colectiva.(3), que exige consentimiento informadoUn requisito ético y legal en la investigación que los participantes deben estar completamente informados sobre la naturaleza, los riesgos, los beneficios y los procedimientos de un estudio, y deben aceptar voluntariamente participar sin coerción ni tergiversación. Un principio clave en la ética de la investigación. antes de almacenar o acceder a datos en el dispositivo de un usuario. El RGPD añadió estándares de consentimiento más estrictos: el consentimiento debe ser libre, específico, informado e inequívoco. El silencio, las casillas premarcadas y la inactividad no son válidos.

El reemplazante previsto, el Reglamento ePrivacy, fue retirado formalmente por la Comisión Europea en febrero de 2025 tras años de bloqueo. Las reglas sobre cookies se están incorporando ahora al RGPD a través del nuevo artículo 88a de la propuesta «Digital Omnibus».

La capa de las plataformas de gestión del consentimiento (CMP)

La mayoría de los banners de cookies no los construyen los propios sitios web. Los proporcionan plataformas de gestión del consentimiento de terceros que operan bajo el Transparency and Consent Framework (TCF) de IAB Europe. Un estudio de 2025 sobre 254.148 sitios web en 31 países reveló que el 67 % de las interfaces de consentimiento provienen de CMP, con tres organizaciones (Usercentrics, CookieYes, OneTrust) que controlan el 37 % del mercado.

Esto importa porque las CMP son intermediarios con una influencia desproporcionada en el cumplimiento normativo. El mismo estudio reveló que el 18 % de la varianza en las tasas de cumplimiento se explica por qué CMP utiliza un sitio, no por las propias decisiones del sitio. Los investigadores concluyeron: «Atrapados en el discurso de que mejores interfaces son la respuesta, corremos el riesgo de perder de vista que el desempoderamiento no es un fallo de diseño, sino una característica inherente.»

Taxonomía de dark patternsDecisiones de diseño de interfaz deliberadamente engañosas que manipulan a los usuarios para que realicen acciones no deseadas, como cargos ocultos, botones confusos o suscripciones difíciles de cancelar.

La literatura académica ha catalogado patrones de diseño específicos utilizados para fabricar el consentimiento:

• Botones asimétricos: «Aceptar» es un botón grande y de color; «Rechazar» es un enlace de texto o está ausente. El 73 % de los sitios en la auditoría de noyb utilizaba colores y contrastes engañosos.
• Opción de rechazo ausente: El 81 % no tenía botón de rechazo en la primera página. Los usuarios deben navegar por submenús para encontrarlo.
• Casillas premarcadas: 236 sitios web en un estudio orientaban a los usuarios premarcando las opciones de consentimiento.
• Consentimiento pese al rechazo: 27 sitios web almacenaban consentimiento positivo incluso tras un rechazo explícito.
• Consentimiento implícito: 141 sitios web registraban el consentimiento antes de que el usuario hubiera tomado ninguna decisión.
• Fricción en la retirada: Solo el 18 % de los sitios ofrecía un mecanismo fácil de retirada del consentimiento.

Impacto cuantificado en el comportamiento del usuario

El estudio de Nouwens et al. (2020) en CHI proporciona las mediciones más claras. De 680 ventanas emergentes de consentimiento analizadas de los 10.000 principales sitios web del Reino Unido, solo el 11,8 % cumplía los requisitos legales mínimos. En un experimento de campo con 40 participantes:

• Eliminar el botón de rechazo de la primera página aumentó el consentimiento entre 22 y 23 puntos porcentuales.
• Añadir controles más detallados redujo el consentimiento entre 8 y 20 puntos porcentuales.
• El formato banner frente a barrera (superposición bloqueante) no tuvo efecto medible.

El estudio de Utz et al. (2019) en CCS probó a más de 80.000 usuarios únicos y confirmó que el nudging tiene un «gran efecto» en las decisiones de consentimiento, y que «decisiones de implementación aparentemente pequeñas pueden tener un impacto sustancial en si las personas interactúan con los avisos de consentimiento y en cómo lo hacen».

Datos agregados de 26 estudios muestran que cuando aceptar y rechazar son igual de visibles, las tasas de rechazo se sitúan entre el 50 % y el 70 %. Cuando rechazar requiere varios clics, hasta el 90 % de los usuarios acepta. Solo el 3 % de los usuarios quiere realmente aceptar el rastreo, según admisiones del sector citadas por noyb.

Fallos técnicos tras el consentimiento

Los problemas van mucho más allá del propio banner. Un análisis de 2025 de más de un millón de sitios web reveló:

• El 43,1 % instalaba cookies de rastreo sin consentimiento válido.
• El 63,3 % ejecutaba rastreo por píxel sin consentimiento válido.
• Google representaba el 47,3 % de las infracciones de rastreo por píxel; Meta, el 8,8 %.
• El 57,5 % de los sitios web no eliminaba las cookies tras la revocación del consentimiento.
• Tres de cada cuatro sitios web no notificaban a los rastreadores de terceros cuando se revocaba el consentimiento.

El caso Condé Nast ilustra el mecanismo: el sitio de Vanity Fair enviaba señales TCF de «consentimiento falso» a 375 empresas de rastreo incluso después del rechazo explícito del usuario. CDiscount enviaba señales falsas a 431 rastreadores por usuario.

Aplicación de la normativa y multas

La acción regulatoria se ha intensificado, pero no ha movido la aguja en las tasas de cumplimiento:

• Septiembre de 2025: La CNIL multó a Google con 325 millones de euros y a Shein con 150 millones de euros por infracciones de cookies.
• Noviembre de 2025: Condé Nast multado con 750.000 euros por la CNIL por señales de consentimiento falsas.
• 2021-2025: noyb presentó más de 422 reclamaciones formales al RGPD; el 82 % de las empresas no cumplió plenamente tras el aviso.
• Estudio CHI 2025: «Hay pocas pruebas de que las orientaciones y las multas de los reguladores hayan tenido impacto en las tasas de cumplimiento.»

La propuesta «Digital Omnibus»

El reglamento «Digital Omnibus» de la UE (propuesto en noviembre de 2025) intenta una solución estructural a través del nuevo artículo 88a del RGPD:

• Artículo 88a(4): Los usuarios deben poder rechazar el consentimiento mediante un botón de un solo clic o equivalente.
• Período de enfriamiento de seis meses: Los responsables del tratamiento no pueden volver a solicitar a los usuarios que rechazaron el mismo propósito durante seis meses.
• Artículo 88b: Los navegadores deben ofrecer señales de consentimiento legibles por máquina. Los usuarios establecen sus preferencias una vez; los sitios web deben respetarlas.
• Calendario: El artículo 88a se aplica 18 meses después de la entrada en vigor. Las obligaciones de señal del navegador se aplican después de 48 meses.
• Exenciones: Los proveedores de servicios de medios están excluidos de los requisitos automáticos de señal del navegador según el artículo 88b(3).

El enfoque de señal del navegador es el elemento más prometedor: podría eliminar por completo la interacción con banners sitio por sitio. Pero el plazo de implementación de cuatro años y la exención para los medios debilitan considerablemente la propuesta. Un análisis de Osborne Clarke concluyó que la propuesta «deja la fatiga de los banners en gran medida intacta».

El problema estructural

El problema fundamental es una desalineación de incentivos. Los ingresos publicitarios en línea dependen del rastreo. El consentimiento es la única base legal para las cookies de rastreo bajo las normas ePrivacy. Esto significa que todo el modelo de ingresos del adtech depende de que los usuarios hagan clic en «Aceptar». Las empresas que diseñan las interfaces de consentimiento son las mismas cuyo ingreso depende del resultado.

El coste en productividad es de 575 millones de horas al año en Europa, equivalente a 14.375 millones de euros o 287.500 empleados a tiempo completo. Este teatro del consentimiento no protege la privacidad. Crea fatiga que socava el propio concepto de consentimiento informado, al tiempo que proporciona cobertura legal para un rastreo que a menudo ocurre independientemente de la elección del usuario.

El Catch-22, expresado técnicamente: el mecanismo legal para proteger la privacidad del usuario requiere que los usuarios interactúen con una interfaz diseñada por las entidades de las que necesitan protección, usando un estándar controlado por la industria que se beneficia de sus datos, aplicado por reguladores cuyas multas no han cambiado las tasas de cumplimiento de forma medible, con una solución propuesta que está a cuatro años de distancia y ya plagada de exenciones.