Spider AF /
Recursos /
Artículos /
Cumplimiento AEPD y protección de datos en campañas de publicidad digital: guía para empresas españolas
Fraude de clics
Actualizado:
July 6, 2026

Cumplimiento AEPD y protección de datos en campañas de publicidad digital: guía para empresas españolas

En este artículo

Resumen rápido · Versión de 30 segundos

Para cualquier empresa española que gestione campañas de publicidad digital, el cumplimiento con la Agencia Española de Protección de Datos (AEPD) ya no es un asunto exclusivo del departamento legal. Las cookies de publicidad, la personalización de anuncios y la medición de campañas dependen directamente de un consentimiento que, si no está bien gestionado, puede derivar en sanciones significativas y en el bloqueo de datos esenciales para optimizar la inversión publicitaria.

El marco normativo en pocas palabras

El cumplimiento en materia de publicidad digital en España combina tres normas que operan en paralelo:

  • El RGPD, que exige una base jurídica válida para el tratamiento de datos (artículo 6), información clara al usuario (artículo 13) y el derecho a oponerse al tratamiento (artículo 21).
  • La LSSI-CE, cuyo artículo 21 prohíbe el envío de comunicaciones electrónicas comerciales no solicitadas, salvo que exista consentimiento previo o una relación contractual sobre productos o servicios similares.
  • La Guía sobre el uso de las cookies de la AEPD, actualizada para incorporar los criterios del Comité Europeo de Protección de Datos (CEPD) sobre patrones engañosos (dark patterns) en la gestión del consentimiento.

Qué exige la AEPD en la práctica para banners de cookies

La actualización de la guía de la AEPD estableció un criterio central: las opciones de aceptar y rechazar cookies deben presentarse con el mismo nivel de visibilidad, tamaño y accesibilidad. Un banner donde "Aceptar" aparece como un botón destacado y "Rechazar" queda escondido en un enlace de texto pequeño incumple directamente esta norma.

Otros puntos que la AEPD revisa de forma activa:

  • Las cookies de publicidad, personalización y analítica que puedan identificar al usuario requieren consentimiento explícito previo a su instalación; solo las cookies técnicas o estrictamente necesarias quedan exentas.
  • El consentimiento no debe tener una validez superior a 24 meses; pasado ese plazo, debe volver a solicitarse.
  • No se puede condicionar el acceso al sitio exclusivamente a la aceptación de cookies (cookie walls), aunque la guía sí permite ofrecer una alternativa de pago sin publicidad comportamental, siempre que exista también una alternativa gratuita real.
  • Las cookies de publicidad y de personalización deben bloquearse por defecto hasta que el usuario otorgue su consentimiento explícito.

Casos recientes que marcan el criterio de la agencia

La AEPD ha sancionado a empresas de distintos tamaños por prácticas de consentimiento no conformes. Entre los ejemplos documentados en los últimos ejercicios se incluyen sanciones a marcas de retail por premarcar cookies como aceptadas sin que el usuario tomara esa decisión, a medios digitales por no mantener visible el panel de configuración de cookies durante la navegación, y a empresas del sector aéreo por no ofrecer un mecanismo de rechazo igual de accesible que el de aceptación. Las multas por gestión inadecuada de cookies oscilan típicamente entre 3.000 y 300.000 euros, con la posibilidad de sanciones considerablemente mayores en los casos más graves.

Consent Mode v2: la pieza técnica que muchas empresas todavía no ajustan bien

Con la llegada de Consent Mode v2 de Google, las empresas españolas que usan Google Ads y Google Analytics enfrentan un requisito técnico adicional: las etiquetas de medición y publicidad deben configurarse para respetar la decisión de consentimiento del usuario en tiempo real, no solo a nivel de banner sino a nivel de disparo de las propias etiquetas. Un error frecuente es cargar los scripts de Google Ads o Analytics antes de que el usuario tome una decisión, en lugar de condicionar su activación al estado de consentimiento.

Cuando el usuario rechaza el tratamiento con fines publicitarios, Consent Mode v2 permite que Google siga recibiendo señales agregadas y modeladas, sin identificar al usuario individual, lo que ayuda a mantener cierta calidad de medición sin vulnerar la normativa. Configurarlo correctamente requiere coordinación entre el equipo legal, el de marketing y el técnico, algo que muchas empresas todavía gestionan de forma fragmentada.

Qué relación tiene esto con el fraude publicitario

El cumplimiento normativo y la protección contra fraude publicitario no son temas separados. Una gestión deficiente del consentimiento reduce la calidad de las señales disponibles para optimizar campañas, lo que empuja a algunos anunciantes a compensar esa pérdida de datos ampliando la segmentación o relajando los controles de calidad de tráfico, justo el tipo de configuración que el tráfico inválido aprovecha mejor.

Además, cualquier plataforma de detección de fraude publicitario que analice el comportamiento del tráfico entrante debe operar dentro de los mismos principios de minimización de datos y transparencia que exige el RGPD. Trabajar con proveedores que documentan claramente qué datos procesan y con qué base jurídica, como Spider AF, evita añadir un riesgo de cumplimiento adicional mientras se resuelve un problema de calidad de tráfico.

Checklist práctico para equipos de marketing en España

  • Verificar que el banner de cookies presente "Aceptar" y "Rechazar" con el mismo nivel visual y de accesibilidad.
  • Confirmar que las etiquetas de publicidad y analítica permanezcan bloqueadas hasta que el usuario decida.
  • Revisar que Consent Mode v2 esté correctamente implementado y que las conversiones modeladas se estén registrando cuando corresponde.
  • Auditar la vigencia del consentimiento almacenado y renovar la solicitud pasados los 24 meses.
  • Documentar la base jurídica de cada tipo de comunicación comercial (email, SMS, WhatsApp), dado que la LSSI-CE exige requisitos distintos según el canal.
  • Revisar los contratos con proveedores de tecnología publicitaria y de detección de fraude para confirmar que cumplen con el RGPD como encargados del tratamiento.

El equilibrio que buscan las empresas españolas

Cumplir con la AEPD no tiene por qué significar renunciar a la capacidad de medir y optimizar campañas. Las empresas que mejor gestionan este equilibrio son las que tratan el consentimiento como parte del diseño de la campaña desde el principio, no como un obstáculo legal que se resuelve al final. Esa misma disciplina, aplicada también a la calidad del tráfico publicitario, suele ser la diferencia entre una inversión digital que genera datos confiables y una que solo genera cifras difíciles de justificar ante dirección.

Preguntas frecuentes

¿Cuánto puede ser la multa de la AEPD por un banner de cookies no conforme?Las sanciones por gestión inadecuada de cookies oscilan típicamente entre 3.000 y 300.000 euros, dependiendo de la gravedad y la duración del incumplimiento, con la posibilidad de cifras mayores en los casos más graves.

¿Qué es Consent Mode v2 y por qué lo exige la normativa?Es la actualización de Google que condiciona el disparo de las etiquetas de publicidad y analítica al consentimiento real del usuario, permitiendo recibir señales agregadas y modeladas cuando el usuario rechaza el tratamiento con fines publicitarios, sin identificarlo individualmente.

¿Cada cuánto debo renovar el consentimiento de cookies de un usuario?La AEPD recomienda que la validez del consentimiento no supere los 24 meses; pasado ese plazo, debe volver a solicitarse.

Detén el fraude publicitario ahora

¿Tu presupuesto está siendo robado por bots?

Spider AF detecta y bloquea el tráfico inválido en tiempo real, antes de que desperdicie tu inversión.

Informe gratuito de fraude en 24 horas
No se requiere tarjeta de crédito
Funciona con Google Ads, Meta y más
Iniciar prueba gratuita
2026 Edición anual
White Paper sobre Fraude Publicitario
Periodo del estudio: 1 ene. 2025 - 31 dic. 2025
GRATIS

Crecimiento de MFA, riesgos de fraude impulsados por IA y cómo los principales anunciantes protegen sus presupuestos. PDF gratuito.

$84B
Perdidos globalmente
2026
Última edición
Gratis
PDF por email
Descargar ahora

Deja de perder presupuesto por culpa de bots. Empieza a proteger tus anuncios hoy.

Spider AF bloquea click farms, tráfico de bots y clics inválidos en tiempo real, para que cada yen de tu presupuesto publicitario rinda más.

Detecta fraude en Google, Meta y más
Bloqueo en tiempo real, no solo reportes
Configuración en menos de 10 minutos
Usado por más de 2,000 anunciantes en todo el mundo