Regulators are tightening expectations around cookie consent, exposing how tracking persists through supercookies and loopholes. With third-party cookies lingering, enforcement focuses on real user choice, not banners. New UK rules ease low-risk uses while AI reshapes consent operations. The future demands adaptive, accountable, risk-based data practices across global digital ecosystems.
En 2025, el ecosistema digital se enfrenta a un profundo cambio en el uso y la regulación de las cookies de seguimiento. Los banners de consentimiento, antes simples casillas de verificación de cumplimiento, ahora están bajo un intenso escrutinio, ya que los reguladores exigen privacidad en la práctica, no solo en el papel. Mientras tanto, la evolución de las tecnologías de almacenamiento y acceso —desde las cookies particionadas hasta las herramientas de consentimiento basadas en IA— está redefiniendo tanto la estrategia como la experiencia del usuario. Exploremos cómo convergen estas fuerzas.
Las cookies HTTP (de sesión y persistentes) siguen siendo la base del seguimiento web y la gestión de las sesiones de usuario. Las cookies de sesión expiran al cerrar el navegador, mientras que las persistentes pueden rastrear a los usuarios en distintas sesiones y sitios web. Las cookies de origen cumplen funciones como la retención de inicios de sesión, mientras que las cookies de terceros, establecidas por dominios externos, pueden suponer importantes riesgos para el seguimiento y la privacidad.
A pesar de los planes para eliminar gradualmente las cookies de terceros, Google pospuso su deshabilitación en 2024 y, a mediados de 2025, siguen habilitadas en Chrome de forma predeterminada, aunque con atributos más estrictos que ofrecen mecanismos de protección de la privacidad para la publicidad dirigida. Sin embargo, aún generan inquietudes en materia de antimonopolio y privacidad.
Además de las cookies tradicionales, los rastreadores implementan herramientas evasivas como las "supercookies", que se regeneran en múltiples vectores de almacenamiento (IndexedDB, Flash, Canvas, almacenamiento local) para persistir a pesar de su eliminación.
Un estudio de junio de 2025 reveló que casi el 50 % de los sitios web utilizan "cookies intratables", que continúan rastreando a los usuarios incluso después de que se deniegue el consentimiento. Los banners de las plataformas de gestión del consentimiento (CMP) se correlacionan con una mayor prevalencia de dicho rastreo. Estos hallazgos ilustran cómo las soluciones tecnológicas alternativas cuestionan la esencia del consentimiento informado.
Los reguladores están cambiando las reglas del juego: ya no basta con mostrar un banner; es necesario respetar realmente las decisiones de los usuarios.
Sin un nuevo Reglamento de Privacidad Electrónica a la vista, la aplicación de las normas existentes se ha intensificado. Los reguladores de la UE ahora se centran en la esencia del consentimiento, haciendo hincapié en que este debe ser otorgado libremente, específico, informado e inequívoco. Incluso los operadores más pequeños se enfrentan a un riesgo real de multas.
La Oficina del Comisionado de Información (ICO) del Reino Unido está revisando los 1000 sitios web más visitados del Reino Unido para verificar su cumplimiento con las cookies. Las primeras revisiones detectaron que 134 de los 200 sitios web infringían la normativa, lo que refuerza la idea de que los modelos de "consentimiento o pago" son inaceptables y que los banners deben reflejar genuinamente la voluntad del usuario.
En junio de 2025, el Reino Unido promulgó la DUAA, que redefinió la regulación de las tecnologías de almacenamiento y acceso, como las cookies. Según el Reglamento actualizado del PECR, algunas cookies de bajo riesgo, como las utilizadas para análisis, mejora del servicio o seguridad, pueden instalarse sin consentimiento explícito, siempre que existan mecanismos de transparencia y de exclusión voluntaria.
La DUAA amplía las exenciones por interés legítimo, simplificando el cumplimiento normativo para fines esenciales como la detección de fraudes o la mejora del rendimiento.
La propuesta de la ICO de flexibilizar los requisitos de consentimiento para las cookies de bajo riesgo indica un alejamiento de las normas generales. Al reducir la "fatiga del consentimiento", la propuesta busca lograr un mejor equilibrio entre el control del usuario y el uso práctico de los datos, aunque su alcance está en consulta hasta finales de agosto de 2025.
La inteligencia artificial se está abriendo camino en la gestión del consentimiento. Las plataformas de gestión del consentimiento (CMP) impulsadas por IA ofrecen escaneo automatizado, categorización de cookies, banners de consentimiento geolocalizados y actualizaciones de cumplimiento en tiempo real. Estas herramientas inteligentes prometen mantenimiento a escala, pero plantean sus propias consideraciones éticas, especialmente en torno a la transparencia y el sesgo algorítmico.
El camino a seguir probablemente implique un cumplimiento dinámico, con sistemas de IA que adapten los banners y la orientación política en función de los cambios regulatorios en tiempo real y el comportamiento del usuario. La integración con tecnologías como blockchain para registrar el consentimiento de forma inmutable puede ofrecer mayor transparencia y auditabilidad.
A medida que avanzamos, el consentimiento de cookies pasará de ser una tarea de cumplimiento a una interfaz con matices que equilibra la privacidad, la usabilidad y la innovación. Los reguladores esperan acciones, no solo palabras.
La DUAA del Reino Unido ejemplifica este cambio: combina exenciones pragmáticas con requisitos de transparencia.
©2025 CookieHub ehf.
