La multa a Shein: un recordatorio de las obligaciones sobre cookies que no se limitan a un banner

El pasado 1 de septiembre de 2025, la autoridad francesa de protección de datos (CNIL) impuso a la filial irlandesa de Shein una multa histórica de 150 millones de euros por incumplir gravemente la normativa sobre cookies. Esta sanción, junto con la de 325 millones de euros a Google por infracciones similares, no solo representa una de las mayores multas jamás impuestas por este tipo de infracciones, sino que envía un mensaje claro: el cumplimiento de la normativa de protección de datos es una obligación sustantiva, no meramente formal.

Los hechos: cuando el banner de cookies es solo una fachada

La investigación de la CNIL, iniciada tras una inspección en agosto de 2023 del sitio web “shein.com”, reveló un patrón sistemático de incumplimientos que ilustra perfectamente cómo no debe gestionarse el consentimiento para cookies:

1. Instalación automática sin consentimiento

La autoridad francesa detectó que múltiples cookies publicitarias se instalaban automáticamente en los dispositivos de los usuarios desde el momento en que accedían al sitio web, incluso antes de que tuvieran oportunidad de interactuar con el banner informativo. Esta práctica viola frontalmente el principio fundamental de que las cookies no esenciales requieren consentimiento previo.

2. Banners informativos incompletos e ineficaces

Shein utilizaba dos interfaces diferentes para la gestión de cookies, ambas deficientes:

• El primer banner incluía botones de “configuración de cookies”, “rechazar todo” y “aceptar”, pero no informaba sobre el propósito publicitario de las cookies.
• Una segunda ventana emergente solo contenía un botón para aceptar cookies, sin proporcionar información alguna sobre su finalidad.

3. Falta de transparencia en segundo nivel

El mecanismo de “configuración de cookies” no proporcionaba información sobre la identidad de terceros que podrían instalar cookies, impidiendo al usuario tomar una decisión verdaderamente informada.

4. Mecanismos de rechazo inoperantes

El aspecto más grave: cuando los usuarios hacían clic en “rechazar todo” o intentaban retirar su consentimiento previamente otorgado, el sistema seguía instalando nuevas cookies y mantenía activas las existentes. Esta práctica constituye una burla directa a la voluntad del usuario y al marco normativo.

El contexto español: la AEPD también vigila

España no se queda atrás en la supervisión del cumplimiento de la normativa de cookies. La Agencia Española de Protección de Datos (AEPD) ha venido reforzando su posición desde la actualización de su Guía sobre el uso de cookies en julio de 2023, que incorpora las últimas directrices del Comité Europeo de Protección de Datos sobre patrones engañosos y establece criterios aún más estrictos.

Principales exigencias de la AEPD

La normativa española, actualizada en julio de 2023 y alineada con las directrices del Comité Europeo de Protección de Datos sobre patrones engañosos, establece un período transitorio de seis meses que finalizó el 11 de enero de 2025. Desde entonces, los requisitos son aún más estrictos y van mucho más allá de la mera instalación de un banner:

Prohibición absoluta del “seguir navegando”: La AEPD establece de forma categórica que “seguir navegando no es una forma válida de prestar el consentimiento”, considerando que tales acciones pueden confundirse con otras actividades del usuario.

Restricciones estrictas a los muros de cookies: Los “muros de cookies” están prohibidos salvo que se ofrezca “una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”, siendo especialmente importante cuando la denegación impediría el ejercicio de un derecho legalmente reconocido.

Patrones engañosos expresamente prohibidos: La guía de 2023 incorpora específicamente las directrices europeas sobre patrones engañosos (“dark patterns”), prohibiendo explícitamente diseños que manipulen o confundan a los usuarios. No puede darse al usuario la impresión de que tiene que aceptar obligatoriamente las cookies para navegar por el sitio web.

• Un botón “aceptar cookies” fácilmente visible
• Un botón “rechazar cookies” similar al anterior
• Un botón que lleve a un panel de configuración granular

Información detallada obligatoria: Los banners deben incluir información específica sobre:

• Definición y función genérica de las cookies
• Tipos de cookies y su finalidad específica
• Identificación de quién utiliza las cookies (editor y/o terceros)
• Información sobre transferencias a terceros países cuando aplique
• Período de conservación de los datos

Renovación periódica del consentimiento: La AEPD considera buena práctica que “la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses”.

Sanciones reales en España

La aplicación de la normativa no es teórica. Desde la entrada en vigor de la guía actualizada de 2023 con su período transitorio finalizado en enero de 2025, la AEPD ha intensificado las inspecciones. Algunos casos destacados de años recientes incluyen:

• Iberia: 30.000 euros por usar muros de cookies sin alternativas viables (Sanción confirmada por la AN)
• SEAT: 16.000 euros (reducidos a 12.000 por acuerdo) por no permitir que los usuarios eliminaran cookies previamente aceptadas
• Colegio Montessori: 5.000 euros (reducidos a 3.000) por no avisar del uso de cookies ni permitir su configuración
• Freshly Cosmetics: 5.000 euros por falta de transparencia en el proceso de retirada del consentimiento

Estas sanciones demuestran que tanto el editor como las entidades que utilizan cookies de terceros tienen responsabilidades específicas en garantizar que los usuarios estén claramente informados y que se obtenga el consentimiento preceptivo.

Las tretas comunes qué no funcionan

1. El “dark pattern” del botón verde/gris

Muchas empresas utilizan colores llamativos para el botón “Aceptar” mientras que el “Rechazar” aparece en gris o menos visible. Esta práctica constituye un patrón engañoso que las autoridades consideran manipulación del consentimiento.

2. El muro de cookies disfrazado

Algunas páginas web permiten formalmente rechazar cookies, pero luego limitan significativamente la funcionalidad o muestran mensajes insistentes. Esto equivale a un muro de cookies encubierto.

3. La cookie de “consentimiento” permanente

Instalar una cookie para recordar que el usuario ha rechazado otras cookies puede parecer lógico, pero la AEPD especifica que estas cookies técnicas deben limitarse estrictamente a su propósito y no pueden emplearse para otros fines como personalización publicitaria.

4. La información “técnicamente correcta” pero incomprensible

La guía de la AEPD establece claramente que no serían válidas frases como “usamos cookies para personalizar su contenido y crear una mejor experiencia para usted” o “para mejorar su navegación” cuando se refieren a cookies publicitarias comportamentales. También deben evitarse términos como “puede”, “podría”, “algún”, “a menudo”, y “posible”.

El enfoque correcto: cumplimiento sustantivo

Principios fundamentales

Consentimiento Genuinamente Libre: El usuario debe poder rechazar cookies publicitarias sin que ello afecte sustancialmente su experiencia de navegación básica.

Información Clara y Accesible: Los usuarios deben entender realmente qué están aceptando, para qué se utilizarán sus datos y quién tendrá acceso a ellos.

Control Granular: Permitir la selección específica de tipos de cookies (analíticas, publicitarias, funcionales) en lugar de una decisión única de todo o nada.

Respeto Real de las Decisiones: Los mecanismos técnicos deben garantizar que las decisiones del usuario se implementen efectivamente.

Implementación técnica adecuada

Un sistema de gestión de cookies conforme debe:

1. Bloquear cookies no esenciales hasta obtener consentimiento específico, cumpliendo con el principio de que las cookies solo pueden utilizarse cuando el usuario disponga de la información preceptiva y haya prestado consentimiento
2. Implementar un sistema de gestión de preferencias que funcione realmente, permitiendo configuración granular al menos por finalidad
3. Mantener registros del consentimiento durante un máximo de 24 meses según las buenas prácticas recomendadas por la AEPD
4. Facilitar la revocación del consentimiento de manera tan sencilla como se otorgó
5. Renovar el consentimiento a intervalos apropiados, considerando los 24 meses como período máximo recomendado

Implicaciones para las empresas españolas

Riesgo económico real

Con multas que pueden alcanzar el 4% de la facturación anual global o 20 millones de euros (la cantidad que sea mayor), el incumplimiento de la normativa de cookies ya no puede considerarse un riesgo menor.

Responsabilidad corporativa

Las empresas deben asumir que el cumplimiento de la normativa de protección de datos forma parte de su responsabilidad social corporativa y de su reputación de marca.

Ventaja competitiva

Las empresas que implementan sistemas de cookies transparentes y respetuosos pueden convertir el cumplimiento normativo en una ventaja competitiva, generando mayor confianza entre sus usuarios.

Conclusiones: más allá del cumplimiento formal

La multa a Shein por 150 millones de euros nos recuerda que la protección de datos no es un ejercicio burocrático, sino una obligación sustantiva que requiere:

Compromiso Genuino: No basta con implementar un banner de cookies; es necesario respetar realmente las decisiones de los usuarios.

Inversión en Tecnología: Los sistemas técnicos deben estar diseñados para cumplir la normativa, no para circumventarla.

Supervisión Continua: Las autoridades están intensificando las inspecciones y las multas seguirán aumentando.

Cultura de Privacidad: La protección de datos debe integrarse en la cultura corporativa, no tratarse como una molestia regulatoria.

La era de los “cookie walls” y las prácticas engañosas está llegando a su fin. Las empresas que quieran operar exitosamente en el mercado digital deben abrazar un enfoque genuinamente respetuoso con la privacidad de los usuarios. No se trata solo de evitar multas; se trata de construir relaciones de confianza duraderas con los usuarios en una economía digital cada vez más transparente.

La protección de datos ha dejado de ser una cuestión técnica para convertirse en un imperativo ético y empresarial. Las empresas que lo entiendan tendrán una ventaja significativa en el mercado digital del futuro.

En LAW21, nuestro departamento especializado en Derechos Fundamentales Digitales acompaña a las empresas en la implementación de estrategias de cumplimiento que van más allá del mero formalismo. Entendemos que la protección de datos efectiva requiere un enfoque integral que combine conocimiento jurídico, visión tecnológica y sensibilidad hacia los derechos de los usuarios. Si su organización necesita asesoramiento para desarrollar un marco de cumplimiento robusto y genuinamente respetuoso con la privacidad, estaremos encantados de analizar su situación particular.