Normativa de consentimiento del RGPD en 2026: ¿Qué deben actualizar las empresas españolas?

En 2026, la autoridad española de protección de datos sancionó a Yoti Ltd, una empresa británica de identidad digital y verificación de edad, en un caso relacionado con datos biométricos, períodos de conservación y fallos de consentimiento. Los informes sobre el caso Yoti indican que parte de la sanción estuvo vinculada específicamente al uso de casillas premarcadas para obtener un consentimiento inválido.

Eso es lo que hace que el consentimiento sea un riesgo serio.

A menudo parece algo pequeño: una casilla, un banner de cookies, un opt-in de newsletter, un campo dentro de un formulario. Pero si la persona no eligió de forma clara, no entendió la finalidad o no tuvo una forma real de rechazar o retirar su consentimiento, esa pequeña decisión de diseño puede convertirse en una prueba de incumplimiento.

Para las empresas españolas en 2026, el consentimiento del RGPD ya no debe tratarse como un detalle técnico del sitio web. Afecta a la captación de leads, el email marketing, el uso de cookies, la configuración de herramientas de Google, el tratamiento de datos de menores y la capacidad de demostrar responsabilidad proactiva si la AEPD solicita explicaciones.

Esta guía explica qué significa un consentimiento válido del RGPD en España, dónde suelen equivocarse las empresas y qué deben actualizar ahora.Este artículo profundiza específicamente en el problema del consentimiento.

El verdadero problema del consentimiento RGPD en 2026

La mayoría de las empresas españolas no fallan en materia de consentimiento porque ignoren por completo el RGPD.

Fajan porque tratan el consentimiento como un elemento de diseño, no como un control jurídico y operativo.

Se añade un banner. Se inserta una casilla. Se enlaza una política de privacidad. Se conecta una herramienta de marketing. Y la empresa asume que todo queda cubierto.

Pero el consentimiento del RGPD no depende de que exista un formulario. Depende de que la persona haya tenido una elección real, informada, específica y demostrable.

Esa diferencia es decisiva.

Si su banner de cookies empuja al usuario hacia “Aceptar todo”, si el consentimiento de newsletter queda escondido dentro de otro formulario, o si las etiquetas de Google se activan antes de que el visitante elija, el problema no es solo de experiencia de usuario. Es un problema de cumplimiento.

Qué se considera consentimiento válido según el RGPD

Según el RGPD, el consentimiento debe ser libre, específico, informado e inequívoco. La persona debe realizar una acción afirmativa clara que demuestre que acepta el tratamiento de sus datos personales. Esta base se recoge en el artículo 4 del RGPD y se desarrolla en las Directrices 05/2020 del EDPB sobre el consentimiento.

Parece sencillo sobre el papel. En la práctica, es mucho más exigente.

El consentimiento debe ser libre

La persona debe poder decir no sin sufrir una restricción injusta, presión o penalización.

Por ejemplo, si un sitio web obliga a aceptar cookies publicitarias para acceder a contenido ordinario, ese consentimiento puede no ser realmente libre.

El mismo problema aparece cuando las empresas presentan un consentimiento de marketing como si fuera obligatorio.

Un formulario de inscripción a un curso puede necesitar una dirección de correo electrónico para crear la cuenta del alumno. Pero eso no significa automáticamente que la persona haya aceptado recibir campañas promocionales.

El tratamiento necesario es una cosa. El consentimiento opcional es otra.

El consentimiento debe ser específico

Una sola casilla no debería cubrir cinco finalidades distintas.

Este es uno de los errores más frecuentes en formularios de contacto, páginas de descarga y procesos de registro.

Una versión débil sería: “Acepto la política de privacidad y consiento recibir comunicaciones”.

La frase parece normal, pero agrupa demasiadas cosas. ¿Qué comunicaciones? ¿De quién? ¿Con qué finalidad? ¿Se trata de información del servicio o de marketing? ¿Puede la persona rechazar el marketing y enviar igualmente el formulario?

Un enfoque más sólido separa las finalidades con claridad:

• Comunicaciones de cuenta o servicio: necesarias para prestar el servicio.
• Correos de marketing: consentimiento promocional opcional.
• Cookies analíticas: consentimiento opcional para medición del sitio web.
• Cookies publicitarias: consentimiento opcional para seguimiento, remarketing o personalización.

Cuanto más específica sea la finalidad, más fácil será demostrar qué aceptó realmente el usuario.

El consentimiento debe ser informado

Nadie puede consentir algo que no entiende.

Esto no significa que cada formulario deba incluir una pared de texto jurídico. De hecho, demasiado lenguaje legal puede hacer que la elección sea menos clara.

Un buen mensaje de consentimiento debe explicar quién recoge los datos, qué se acepta, por qué se utilizarán los datos, si intervienen terceros, cómo se puede retirar el consentimiento y dónde se encuentra la información completa.

La mejor redacción es breve, clara y conectada con una política de privacidad comprensible.

El consentimiento debe ser inequívoco

El silencio no es consentimiento. La inactividad no es consentimiento. Una casilla premarcada no es consentimiento. Una exclusión oculta tampoco es consentimiento.

La persona debe elegir activamente. Puede hacerlo marcando una casilla vacía, pulsando un botón claramente etiquetado o seleccionando una preferencia dentro de un panel de consentimiento.

Lo que no puede existir es un diseño que engañe, presione o oculte la opción de rechazo.

El consentimiento no siempre es la mejor base jurídica

Aquí aparece un punto que muchas empresas pasan por alto: el consentimiento no siempre es la opción más segura.

Puede parecer seguro porque el usuario “aceptó”. Sin embargo, si el consentimiento no es adecuado para la situación, depender de él puede generar más riesgo, no menos.

El RGPD prevé varias bases jurídicas para tratar datos personales. El consentimiento es solo una de ellas.

Una empresa española de comercio electrónico normalmente no necesita consentimiento para tratar la dirección de entrega de un cliente. Ese tratamiento puede ser necesario para ejecutar un contrato.

Una empresa puede necesitar conservar facturas por obligaciones fiscales. Eso suele ser una obligación legal, no consentimiento.

Un empleador debe tener especial cuidado al basarse en el consentimiento de empleados, porque puede existir un desequilibrio de poder y la persona trabajadora puede sentir que no tiene una opción real.

Antes de añadir una casilla, haga una pregunta más precisa: ¿necesitamos realmente consentimiento aquí o existe una base jurídica más adecuada?

Cuándo suele tener sentido el consentimiento

El consentimiento suele ser relevante para:

• Suscripciones a newsletters.
• Cookies no esenciales.
• Seguimiento de marketing.
• Campañas de remarketing.
• Perfilado opcional.
• Determinados permisos de aplicaciones.
• Algunos usos de categorías especiales de datos cuando se requiere consentimiento explícito.

Por ejemplo, si una persona descarga una checklist sobre RGPD y usted desea enviarle correos promocionales sobre cursos, no debería añadirla de forma silenciosa a una secuencia de marketing. Debe existir una base clara para ese envío. En muchos casos, eso implica un consentimiento separado.

Por qué el consentimiento por defecto puede volverse en contra

El consentimiento puede retirarse. Esa es precisamente su función.

Si una persona retira el consentimiento, la empresa debe dejar de tratar los datos para esa finalidad, salvo que exista otra base jurídica válida.

Por eso, si su empresa necesita realmente esos datos para prestar el servicio o cumplir una obligación legal, el consentimiento probablemente no sea la base correcta desde el inicio.

Use el consentimiento donde la elección de la persona sea genuinamente opcional. No lo use en todas partes solo porque parece más seguro.

Artículo 7 del RGPD: el consentimiento debe poder demostrarse

El artículo 7 del RGPD es una de las disposiciones más importantes para las empresas que dependen del consentimiento. Exige que el responsable del tratamiento pueda demostrar que la persona interesada consintió. También establece que retirar el consentimiento debe ser tan sencillo como otorgarlo. Consulte el artículo 7 del RGPD.

En términos prácticos: no basta con tener consentimiento. Debe existir prueba del consentimiento.

Qué debe mostrar un buen registro de consentimiento

Si la AEPD, un cliente o un auditor interno pregunta cómo se obtuvo el consentimiento, la empresa debe poder responder con datos concretos.

Un registro útil debería mostrar:

• Quién otorgó el consentimiento.
• Cuándo se otorgó.
• Dónde se recogió.
• Qué texto vio la persona.
• Qué finalidad cubría el consentimiento.
• Qué versión de la política de privacidad o de cookies estaba vigente.
• Si la persona modificó o retiró después su consentimiento.

Esto importa para plataformas de gestión de consentimiento, sistemas CRM, herramientas de email marketing, landing pages, recursos descargables, etiquetas analíticas y herramientas publicitarias.

Una empresa que no puede demostrar el consentimiento depende de la memoria. Y la memoria no es un sistema de cumplimiento.

El consentimiento no debe quedar enterrado en los términos

El consentimiento debe estar separado de las condiciones generales.

Esta fórmula es débil: “Al crear una cuenta, acepta nuestros términos, política de privacidad, política de cookies y comunicaciones promocionales”.

Mezcla varias cuestiones diferentes. Una estructura más clara sería:

• Obligatorio: creación de cuenta y tratamiento necesario para prestar el servicio.
• Opcional: correos de marketing.
• Opcional: cookies analíticas.
• Opcional: cookies publicitarias y de personalización.

Esto ofrece una elección real y genera un registro más limpio para la empresa.

Retirar el consentimiento debe ser sencillo

Si una persona puede otorgar consentimiento con un clic, no debería tener que enviar un correo formal, buscar en ajustes ocultos o esperar una respuesta manual para retirarlo.

Esto aplica a:

• Enlaces de baja en correos de marketing.
• Ajustes de preferencias de cookies.
• Controles de privacidad de cuenta.
• Centros de preferencias de marketing.
• Permisos de aplicaciones.

La prueba es sencilla: ¿es tan fácil salir como entrar? Si no lo es, el proceso debe corregirse.

Consentimiento de cookies en España: el estándar de la AEPD que deben seguir las empresas

El consentimiento de cookies es uno de los riesgos más visibles para las empresas españolas. Aparece antes de que exista una relación de confianza.

Un visitante entra en su sitio web, ve el banner y entiende de inmediato si la empresa le ofrece una elección real o si intenta empujarlo hacia la aceptación.

La AEPD actualizó sus criterios de cookies para alinearlos con las directrices del Comité Europeo de Protección de Datos sobre patrones de diseño engañosos. La actualización de la Guía de Cookies de la AEPD indica que aceptar y rechazar cookies debe presentarse en un lugar y formato destacados, al mismo nivel, sin hacer que rechazar sea más difícil que aceptar. El plazo de adaptación indicado fue el 11 de enero de 2024; por tanto, en 2026 debería formar parte de la configuración básica de cumplimiento.

El problema de “Aceptar todo”

Un banner arriesgado se presenta así:

• Aceptar todo
• Configurar cookies

La opción de rechazar no está realmente visible. El usuario debe trabajar más para rechazar que para aceptar.

Un banner más sólido se presenta así:

• Aceptar todo
• Rechazar todo
• Configurar cookies

La Guía sobre el uso de cookies de la AEPD también deja claro que, cuando se ofrecen ajustes de configuración, debe existir una opción de “rechazar todas las cookies” cuando proceda, y que las casillas premarcadas a favor de aceptar cookies no son aceptables.

El mensaje para las empresas españolas es claro: no diseñe el banner para ganar consentimiento. Diséñelo para respetar la elección.

Las cookies no esenciales deben esperar

Las cookies estrictamente necesarias son diferentes porque el sitio web las necesita para funcionar.

Pero las cookies analíticas, publicitarias, de personalización, redes sociales, mapas de calor y remarketing generalmente requieren consentimiento antes de instalarse o accederse.

Por eso, un banner no basta si las etiquetas de seguimiento ya se activan en segundo plano. Este es un problema común: el sitio parece conforme porque aparece un banner, pero la tecnología ya ha empezado a recoger datos.

Eso no es un consentimiento significativo.

Las categorías de cookies deben ser claras

Un buen centro de preferencias de cookies debe ayudar al usuario a entender qué está eligiendo.

Las categorías útiles incluyen:

• Cookies estrictamente necesarias: requeridas para las funciones esenciales del sitio.
• Cookies analíticas: utilizadas para comprender el rendimiento y el comportamiento de visitantes.
• Cookies publicitarias: utilizadas para segmentación publicitaria, remarketing y medición de campañas.
• Cookies de personalización: utilizadas para recordar preferencias o adaptar contenido.
• Cookies de redes sociales o terceros: utilizadas cuando herramientas integradas o plataformas externas recogen datos.

No complique tanto el panel que el usuario abandone. Pero tampoco lo haga tan vago que la elección pierda significado.

Los usuarios deben poder cambiar de opinión

El consentimiento de cookies no es permanente.

Su sitio web debería incluir una forma visible de volver a abrir la configuración de cookies. Puede estar en el pie de página, el centro de privacidad, la política de cookies o un icono persistente de privacidad.

El punto no es decorativo. Es control. Si los usuarios pueden aceptar cookies fácilmente, también deben poder rechazarlas o modificar su elección con facilidad.

Google Consent Mode v2: la actualización técnica que muchas empresas pasan por alto

Para las empresas españolas que utilizan herramientas de Google, el consentimiento no es solo un asunto jurídico. También es un asunto de configuración técnica.

Google Consent Mode ayuda a que las etiquetas de Google ajusten su comportamiento según las elecciones de consentimiento del usuario. La documentación de Google sobre Consent Mode identifica señales como `ad_user_data`, que controla el consentimiento para enviar a Google datos de usuario relacionados con publicidad, y `ad_personalization`, que controla el consentimiento para publicidad personalizada.

Esto importa si su empresa utiliza:

• Google Analytics 4.
• Google Ads.
• Google Tag Manager.
• Remarketing.
• Seguimiento de conversiones.
• Conversiones mejoradas.
• Publicidad personalizada.
• Analítica de comercio electrónico.

Consent Mode no es un atajo de cumplimiento

Consent Mode no corrige un mal banner de cookies. No sustituye una política de privacidad. No demuestra por sí solo que el consentimiento sea válido.

Solo funciona correctamente cuando la plataforma de gestión de consentimiento, las categorías de cookies, las etiquetas de Google y las elecciones del usuario están conectadas de forma adecuada.

Por eso, la pregunta práctica no es: “¿Tenemos Consent Mode?”.

La pregunta correcta es: ¿nuestra configuración respeta realmente la elección del usuario antes de enviar o utilizar datos?

Qué deben comprobar las empresas españolas

El equipo web o de marketing debería revisar:

• Si la CMP se integra correctamente con Google Tag Manager.
• Si las etiquetas no esenciales esperan al consentimiento.
• Si el consentimiento analítico y publicitario está separado.
• Si `ad_user_data` y `ad_personalization` están configurados correctamente.
• Si las elecciones de consentimiento se almacenan de forma auditable.
• Si los usuarios pueden modificar el consentimiento posteriormente.

Esto es especialmente importante para empresas que realizan campañas de pago en España o en el Espacio Económico Europeo. Si las señales de consentimiento son incorrectas, los datos de marketing pueden parecer limpios mientras la posición de cumplimiento no lo es.

Consentimiento para email marketing: dónde muchas empresas crean riesgo oculto

El consentimiento para email marketing suele fallar en silencio.

No en el momento de enviar la campaña, sino antes: cuando el contacto entró en la lista.

Una persona rellena un formulario, descarga una guía, se registra en un webinar, crea una cuenta o solicita una consulta. Después empieza a recibir correos promocionales.

La pregunta es: ¿aceptó claramente ese marketing o la empresa lo asumió?

No agrupe el consentimiento de marketing con acciones de servicio

Una persona que se inscribe en un curso debe recibir correos relacionados con el curso. Eso no significa automáticamente que haya aceptado recibir campañas promocionales.

Una persona que envía un formulario de contacto puede esperar una respuesta. Eso no significa automáticamente que haya aceptado newsletters.

Una persona que descarga un recurso puede esperar el recurso. Eso no significa automáticamente que haya aceptado marketing a largo plazo.

Un formulario más limpio separa las acciones:

• Enviar consulta: necesario para responder al mensaje.
• Opt-in de marketing: consentimiento opcional para newsletters, ofertas y recursos relacionados.

Ejemplo de redacción: “Acepto recibir actualizaciones por correo electrónico sobre formación en cumplimiento, cambios regulatorios y recursos empresariales relacionados. Puedo darme de baja en cualquier momento”.

Es específico, comprensible y mucho más fácil de defender.

Conserve prueba del opt-in

Para cada contacto de marketing, su empresa debería poder identificar:

• Cuándo se suscribió la persona.
• Qué formulario o página utilizó.
• Qué texto vio.
• Qué campaña o fuente recogió el consentimiento.
• Si se utilizó doble opt-in.
• Si posteriormente se dio de baja.

No tiene que ser complicado. Tiene que ser fiable. Si alguien afirma que nunca aceptó recibir marketing, su empresa necesita algo más que “debió rellenar un formulario”.

Facilite la baja

Todo correo de marketing debe incluir una opción clara de baja. No oculta. No confusa. No dependiente de una solicitud manual de soporte.

Si salir de la lista es más difícil que entrar, el recorrido de consentimiento está roto. Y los recorridos rotos generan quejas.

Formularios de leads, descargas y opt-ins del sitio web: correcciones prácticas

Los problemas de consentimiento suelen comenzar en formularios ordinarios. No necesariamente porque la empresa quiera engañar, sino porque los formularios se copian, se reutilizan y se conectan a herramientas de automatización sin revisión suficiente.

Formularios de contacto

Un formulario de contacto debe recoger solo lo necesario. Normalmente, nombre, dirección de correo electrónico y mensaje.

Si solicita teléfono, tamaño de empresa, cargo, sector, presupuesto o ubicación, asegúrese de que existe una razón clara.

Más campos significan más datos. Más datos significan más responsabilidad.

Añada un aviso de privacidad breve junto al formulario y enlace la política de privacidad completa.

Formularios de newsletter

Un formulario de newsletter debe decir qué recibirá la persona. Evite frases vacías como: “Acepto comunicaciones”.

Mejor: “Acepto recibir actualizaciones por correo electrónico sobre RGPD, formación en cumplimiento, cambios regulatorios y recursos relacionados. Puedo darme de baja en cualquier momento”.

Esta redacción ayuda a que el consentimiento sea informado y también facilita demostrarlo.

Recursos descargables de captación

Los recursos descargables requieren especial cuidado. Una checklist, plantilla o guía puede requerir una dirección de correo para entregar el recurso. Pero utilizar ese correo para marketing futuro debe explicarse por separado.

Una estructura clara es:

• Dirección de correo electrónico: utilizada para enviar el recurso solicitado.
• Casilla opcional: utilizada para recoger consentimiento de marketing.

Así se evita convertir una descarga puntual en un permiso ilimitado.

Consentimiento de menores en España: la regla de la LOPDGDD

España añade una capa nacional importante mediante la LOPDGDD. Según la Ley Orgánica 3/2018 en el BOE, el tratamiento basado en el consentimiento de un menor es lícito cuando el menor tiene al menos 14 años. Para menores de 14 años, el consentimiento debe otorgarlo el titular de la patria potestad o tutela.

Esto importa para empresas que puedan recoger datos personales de usuarios jóvenes.

Quién debe prestar atención

La regla de edad puede afectar a:

• Plataformas de formación online.
• Aplicaciones y juegos.
• Sitios de comercio electrónico.
• Plataformas de membresía.
• Servicios dirigidos a jóvenes.
• Empresas EdTech.
• Webinars o campañas dirigidas a estudiantes.
• Plataformas donde menores puedan crear cuentas.

Aunque los menores no sean su audiencia principal, pregúntese si pueden acceder razonablemente a su servicio.

Las comprobaciones de edad deben ser proporcionales

No resuelva un problema de privacidad creando otro. Una verificación de edad debe ser proporcional al riesgo.

Un formulario de newsletter de bajo riesgo no requiere los mismos controles que una plataforma que trata datos sensibles de menores.

El principio es equilibrio: verifique lo suficiente para gestionar el riesgo, pero no recoja más datos de los necesarios.

Consentimiento y herramientas de IA: un riesgo de 2026 que las empresas españolas no deben ignorar

La IA ha hecho que el consentimiento sea más complejo.

Muchas empresas ya utilizan chatbots, herramientas de puntuación automatizada, transcripción de reuniones con IA, perfilado de clientes, selección de candidatos, analítica predictiva o asistentes de IA generativa.

Si esas herramientas tratan datos personales, el RGPD sigue aplicándose.

La IA también necesita una base jurídica

El consentimiento puede ser relevante en algunos usos de IA, pero no siempre será suficiente.

Un chatbot de atención al cliente que recoge preferencias opcionales plantea un tipo de riesgo. Una herramienta de selección de personal que afecta a candidatos plantea otro. Una herramienta de transcripción de reuniones que capta nombres, voces y opiniones comerciales plantea un riesgo distinto.

La pregunta no es solo: “¿obtuvimos consentimiento?”.

La pregunta correcta es: ¿qué datos personales procesa la herramienta de IA, por qué, bajo qué base jurídica y con qué controles?

El consentimiento no elimina otras obligaciones del RGPD

Incluso cuando se utiliza consentimiento, la empresa puede necesitar:

• Avisos de transparencia.
• Minimización de datos.
• Límites de conservación.
• Revisión de proveedores.
• Controles de seguridad.
• Evaluaciones de impacto cuando el riesgo sea alto.
• Supervisión humana cuando las decisiones afecten de forma significativa a las personas.

El consentimiento responde a una pregunta. No responde a todas. Por eso, los tratamientos relacionados con IA deben revisarse dentro del programa general de cumplimiento del RGPD, no como una simple decisión de marketing o software.

Errores comunes de consentimiento RGPD que las empresas españolas deben evitar

Los errores de consentimiento suelen ser fáciles de detectar cuando se sabe qué buscar. El problema es que muchas empresas nunca los revisan.

Error 1: utilizar casillas premarcadas

Una casilla premarcada no demuestra una elección activa. La persona no aceptó; simplemente no desmarcó. Ese consentimiento es débil.

Error 2: ocultar el botón de rechazo

Si “Aceptar todo” es visible e inmediato, pero “Rechazar” está escondido dentro de ajustes, el diseño presiona al usuario. La AEPD ha indicado que aceptar y rechazar cookies debe presentarse al mismo nivel y sin hacer que el rechazo sea más difícil.

Error 3: activar herramientas de seguimiento antes del consentimiento

Un banner no resuelve el problema si herramientas de publicidad, analítica o remarketing se activan antes de que el usuario elija. Audite el comportamiento real de las etiquetas, no solo el diseño del banner.

Error 4: usar una sola casilla para todo

Correos de marketing, cookies analíticas, ofertas de terceros, perfilado y publicidad no son la misma finalidad. No las trate como si lo fueran.

Error 5: no conservar registros de consentimiento

Si no puede mostrar cuándo, dónde y cómo se recogió el consentimiento, su posición es débil. La responsabilidad proactiva del RGPD se basa en evidencias.

Error 6: dificultar la retirada

El consentimiento debe ser fácil de retirar mediante enlaces de baja, ajustes de cookies accesibles y controles de privacidad claros.

Error 7: tratar el consentimiento como una configuración única

Los sistemas de consentimiento envejecen rápido. Nuevos plugins, formularios, campañas, herramientas CRM, soluciones de IA y cambios de sitio web pueden modificar los datos recogidos. Revise el consentimiento de forma periódica.

Checklist de consentimiento RGPD para empresas españolas en 2026

Utilice esta lista como punto de partida para actualizar sus prácticas de consentimiento:

• Revise todos los puntos de consentimiento del sitio web: banners, formularios, pop-ups, procesos de compra, recursos descargables, bloques de newsletter y páginas de registro.
• Compruebe el diseño del banner de cookies: los usuarios deben poder aceptar, rechazar y configurar cookies sin presión.
• Detenga las cookies no esenciales antes del consentimiento: revise analítica, publicidad, remarketing, mapas de calor y etiquetas de redes sociales.
• Separe el consentimiento por finalidad: no utilice una sola casilla para actividades de tratamiento no relacionadas.
• Actualice los opt-ins de marketing: el consentimiento promocional debe ser opcional, específico y fácil de retirar.
• Guarde registros de consentimiento: fecha, fuente, texto mostrado, finalidad, versión de la política aplicable y estado de retirada.
• Revise Google Consent Mode v2: compruebe GA4, Google Ads, Google Tag Manager, configuración de CMP y señales de consentimiento.
• Facilite la retirada: utilice enlaces de baja, enlaces de preferencias de cookies y controles claros de privacidad.
• Compruebe el consentimiento de menores: si usuarios jóvenes pueden interactuar con su servicio, revise la regla española de los 14 años.
• Actualice las políticas de privacidad y cookies: deben reflejar las herramientas que realmente utiliza.
• Forme al personal: marketing, ventas, atención al cliente, RR. HH. y operaciones deben entender cuándo importa el consentimiento.
• Revise herramientas de terceros: plataformas de email, CRM, CMP, analítica, publicidad e IA.
• Documente sus decisiones: si elige el consentimiento como base jurídica, registre por qué.

Cuándo deben actualizar sus prácticas de consentimiento las empresas españolas

Ahora.

No porque el RGPD haya creado de repente una norma nueva de consentimiento en 2026, sino porque la forma en que las empresas recogen y utilizan datos ha cambiado.

Cada vez más empresas dependen de Google Ads, GA4, automatización CRM, landing pages, herramientas de IA, píxeles de remarketing, recursos descargables y plataformas SaaS de terceros.

Cada una puede crear un problema de consentimiento si la configuración no se revisa.

Empiece por las áreas de mayor riesgo

• Banners de cookies.
• Opt-ins de marketing.
• Google Consent Mode v2.
• Listas de email marketing.
• Registros de consentimiento.
• Mecanismos de retirada.
• Exactitud de políticas de privacidad y cookies.

Después revise las brechas internas

• Landing pages antiguas.
• Recursos descargables archivados.
• Importaciones de CRM.
• Listas de contacto del equipo comercial.
• Uso interno de herramientas de IA.
• Encargados y proveedores externos.
• Formación del personal.

El objetivo no es alcanzar la perfección de un día para otro. El objetivo es eliminar las debilidades evidentes antes de que se conviertan en reclamaciones.

Reflexión final: el consentimiento no es solo una casilla

El consentimiento parece sencillo hasta que alguien lo cuestiona.

Entonces la pregunta cambia. Ya no es: “¿teníamos una casilla?”.

La pregunta pasa a ser: ¿la elección era clara? ¿Era opcional? ¿Era específica? ¿Quedó registrada? ¿La persona podía retirarla fácilmente? ¿Nuestras herramientas respetaron la decisión?

Ese es el estándar hacia el que deben avanzar las empresas españolas en 2026.

Un buen sistema de consentimiento no presiona a los usuarios. Les da control, registra su elección y ayuda a la empresa a demostrar responsabilidad proactiva.

Eso no es solo mejor cumplimiento. Es mayor confianza.

Construya el cumplimiento del RGPD con mayor seguridad

El consentimiento es solo una parte del cumplimiento del RGPD.

Las empresas españolas también deben comprender las bases jurídicas, los derechos de las personas interesadas, la respuesta ante brechas, los contratos con encargados del tratamiento, las evaluaciones de impacto, la documentación, los riesgos vinculados a la IA y los requisitos de la LOPDGDD.

Para una formación estructurada y centrada en el contexto español, explore el curso EU GDPR Compliance and Data Protection for Businesses de Spanish Compliance Institute.

Construya una base sólida de cumplimiento del RGPD con orientación práctica, plantillas y un camino más claro desde la comprensión hasta la implementación.

Referencias

• Informe sobre la sanción a Yoti y fallos de consentimiento: caso Yoti
• Artículo 4 del RGPD, definición de consentimiento: artículo 4 del RGPD
• Artículo 7 del RGPD, condiciones del consentimiento y retirada: artículo 7 del RGPD
• Directrices del Comité Europeo de Protección de Datos sobre consentimiento: Directrices 05/2020 del EDPB sobre el consentimiento
• Actualización de la Guía de Cookies de la AEPD sobre aceptar/rechazar y patrones engañosos: actualización de la Guía de Cookies de la AEPD
• Guía sobre el uso de cookies de la AEPD: Guía sobre el uso de cookies de la AEPD
• Documentación de Google sobre Consent Mode: documentación de Google sobre Consent Mode
• Ley Orgánica 3/2018, LOPDGDD, texto consolidado: Ley Orgánica 3/2018 en el BOE