¿Qué es una auditoría RGPD de cookies? (Y cómo aprobarla en 2026)

El RGPD tiene ocho años, y el fallo de cumplimiento más común en sitios pyme sigue siendo el banner de cookies. Cada autoridad europea tiene su guía; la mayoría ha multado al menos una vez. La barra no es alta — es específica.

Una auditoría RGPD de cookies es la verificación que indica si su sitio resistiría una inspección de la AEPD, la CNIL, el Garante o cualquier equivalente. Este artículo cubre lo que hace la auditoría, las reglas que aplica y los fallos más frecuentes en sitios pyme.

La base legal, en lenguaje claro

Dos normas. La Directiva ePrivacy (artículo 5(3)) y, en España, el artículo 22.2 de la LSSI-CE: requieren consentimiento antes de que cualquier información no estrictamente necesaria se almacene o lea en el dispositivo. El RGPD (artículo 4(11), artículo 7) define el consentimiento válido: libre, específico, informado, inequívoco y revocable con la misma facilidad.

Qué comprueba la auditoría

1. Captura de red en la primera carga

La auditoría visita su sitio como un usuario fresco y registra cada cookie, cada escritura en localStorage y cada solicitud de red disparada antes de la interacción con el banner. Todo lo no esencial aquí es una infracción.

2. Inventario vs. política publicada

Se listan todos los cookies y se comparan con su política de cookies. La política debe declarar cada uno — finalidad, duración, primera/tercera parte. Los reguladores leen estas páginas.

3. Diseño del banner

• Botones Aceptar y Rechazar de igual peso en la primera capa. Esconder Rechazar tras un enlace de configuración no es consentimiento libre.
• Sin casillas pre-marcadas.
• Categorías granulares. Un solo botón "aceptar todo" no basta.
• Retirada tan fácil como consentimiento — enlace "Cookies" persistente en pie.
• Sin dark patterns. Sin temporizadores, sin "continuar implica aceptar", sin "interés legítimo" para publicidad.

4. Prueba del consentimiento

El RGPD exige que pueda demostrar el consentimiento de cada visitante. Una CMP moderna lo hace; los banners caseros casi nunca.

5. Comportamiento de scripts de terceros

La auditoría se reejecuta tras Aceptar, Rechazar y consentimientos parciales para verificar que los scripts respetan la elección. Fallo común: un script que carga igualmente tras Rechazar, normalmente por un tag manager mal configurado.

Fallos más frecuentes en sitios pyme

Meta Pixel disparado en page load. El snippet de Meta cae en <head> y se ejecuta inmediatamente. En la UE es infracción en cada visita.

Google Analytics sin gate de consentimiento. Consent Mode v2 no está configurado en la mayoría de pymes.

Hotjar/Clarity/Hubspot graban antes del consentimiento. Los grabadores de sesión capturan entradas — sin consentimiento, infracción ePrivacy clara.

"Al continuar acepta". Rechazado por todos los reguladores UE. Reemplazar hoy.

Cómo aprobar la auditoría

1. Instalar una CMP real que registre consentimiento (Cookiebot, Iubenda, Usercentrics, OneTrust).
2. Mover toda analítica, publicidad y recording detrás del consent gate.
3. Banner con botones equilibrados, sin pre-marcado, con toggles granulares.
4. Enlace "Cookies" persistente en el pie.
5. Regenerar la política de cookies para que refleje la realidad.
6. Reejecutar la auditoría en los caminos Aceptar y Rechazar.

El cumplimiento de cookies se rompe en silencio. Marketing añade un tag, un dev integra un chat, un tercero actualiza su script. El patrón que funciona para pymes: escaneo base, correcciones, escaneos semanales que diffan el inventario.

Es exactamente lo que hace Veracly — escaneo base gratis, monitoreo continuo con alerta de diff. Lanzar escaneo.