Por qué los banners de consentimiento de cookies son malos: un fracaso de diseño y de ética

Los banners de consentimiento de cookies son malos porque no son consentimiento en absoluto: son un impuesto de fricción inventado para que el rastreo no consentido parezca legal. La solución honesta no es un banner más bonito ni una plataforma de gestión de consentimiento más lista. Es recoger tan pocos datos que no haya nada para lo que pedir permiso. Construimos sitios sin ningún banner de cookies, y son más rápidos, más privados y más defendibles jurídicamente que los que se ahogan en ventanas modales superpuestas.

Por qué los banners de consentimiento de cookies son malos: la versión corta

Un banner de consentimiento de cookies es la ventana intersticial que te pide "Aceptar todo", "Rechazar" o "Gestionar preferencias" antes de que puedas leer una página. Existe porque el sitio quiere instalar cookies de rastreo — Google Analytics, píxeles publicitarios, grabación de sesión — que no son estrictamente necesarias, y el RGPD y la Directiva ePrivacy exigen consentimiento previo, libre e informado para ellas.

Esta es la parte que nadie dice en voz alta: el banner no está ahí para protegerte. Está ahí para extraer un "sí" para que el rastreo, que siempre fue el objetivo, pueda proceder con un rastro documental. Si los datos no se estuvieran recogiendo, no habría nada que consentir, y el banner no existiría. El banner es una confesión, exhibida con orgullo como si fuera una función de privacidad.

• Son dark patterns por defecto. "Aceptar todo" es un clic verde; "Rechazar" está enterrado a dos pantallas de distancia, tras "Gestionar".
• Son teatro jurídico. Un clic coaccionado no es consentimiento libre, y los reguladores lo saben.
• Arruinan la experiencia de uso. Bloquean el contenido, desplazan el layout, hunden el rendimiento y rompen la accesibilidad.
• Son evitables. Recoge solo lo estrictamente necesario y la base legal para un banner desaparece.

El dark pattern es el producto

Abre casi cualquier banner de consentimiento y cronometra cuánto tardas en rechazar. Luego cronometra cuánto tardas en aceptar. La asimetría es todo el juego.

El guion habitual es deprimentemente consistente. "Aceptar todo" es un botón de alto contraste, ya enfocado, a menudo lo único estilizado como una verdadera llamada a la acción. "Rechazar todo", si es que existe, aparece como texto plano, un enlace desvaído, o escondido tras un desvío de "Gestionar opciones" donde te reciben 1.400 interruptores de "interés legítimo" activados por defecto y un desplegable de "Proveedores (847)". Esto no es un accidente de diseño. Es el diseño.

Son dark patterns de manual: decisiones de interfaz que empujan a los usuarios hacia decisiones contrarias a sus propios intereses. Las propias directrices de la UE — las pautas de diseño engañoso del CEPD de 2022 y la aplicación de la CNIL en Francia — han señalado explícitamente los botones de rechazo más difíciles de alcanzar que los de aceptación. El consentimiento obtenido así es, por la propia definición de los reguladores, inválido. Así que el banner fracasa en sus propios términos: es a la vez una monstruosidad y jurídicamente desprotegido.

Si tu mecanismo de "consentimiento" está diseñado para que decir no sea más difícil que decir sí, no has recogido consentimiento. Has recogido cansancio.

Y es precisamente en el cansancio en lo que apuesta la industria. Tras el cuadringentésimo banner de la semana, la gente hace clic en el botón verde para que la página desaparezca. Ese clic reflejo se blanquea después en una base legal. El genio y la podredumbre del sistema es que convierte la irritación en cumplimiento.

Los banners de consentimiento son un desastre de UX y de rendimiento

Deja la ética a un lado por un momento y juzga el banner puramente como elemento de interfaz. Sigue fracasando.

Bloquea el contenido que el usuario vino a buscar. La primera interacción en tu sitio es un obstáculo que pusiste tú ahí. Ninguna otra industria toleraría a un portero que exige una firma antes de poder mirar el menú.

Destruye tus Core Web Vitals. Las plataformas de gestión de consentimiento — OneTrust, Cookiebot, Quantcast y compañía — llegan como JavaScript de terceros que bloquea el renderizado. Añaden rutinariamente entre 100 y 300 KB de script, inyectan una superposición a pantalla completa que llega tarde, y provocan Cumulative Layout Shift cuando el banner aparece después del primer paint. Hemos visto scripts de CMP arrastrar por sí solos una puntuación de rendimiento de Lighthouse desde los 90 hasta los 60. Instalas algo cuyo trabajo entero es ralentizar tu sitio y cosechar datos, y luego pagas una suscripción por el privilegio.

Es un campo de minas de accesibilidad. Focus traps que no son verdaderos focus traps, enlaces de "Rechazar" que los lectores de pantalla anuncian tras cuarenta casillas de proveedores, ratios de contraste que incumplen las WCAG en el mismísimo botón hacia el que te empujan — las interfaces de consentimiento son de las menos accesibles de la web moderna, irónicamente construidas en nombre de una ley de protección del usuario.

Entrena la indefensión aprendida. Cada banner enseña a los usuarios que el movimiento seguro y rápido es hacer clic en "Aceptar" sin leer. Hemos pasado una década condicionando a una población entera a consentir la vigilancia por reflejo. Eso es lo contrario de informado.

El teatro jurídico que nadie quiere admitir

La verdad incómoda es que la mayoría de los banners de cookies ni siquiera logran el cumplimiento que existen para escenificar. Bajo el RGPD y la Directiva ePrivacy, el consentimiento debe ser libre, específico, informado e inequívoco, con el rechazo tan fácil como la aceptación y sin casillas premarcadas. Somete el banner medio a esa prueba y falla la mayoría de los criterios. El resultado es un sitio con todas las desventajas del rastreo, toda la fricción de un banner, y ninguna de la seguridad jurídica que se suponía que compraba.

Es teatro en el sentido preciso: una representación de cumplimiento montada para un público, con la acción real — la recogida de datos — sucediendo de todos modos. El banner es el telón, no la obra.

La alternativa: recoger menos, para no necesitar banner

La premisa entera está equivocada. La pregunta nunca es "¿cómo obtenemos buen consentimiento para el rastreo?". La mejor pregunta es "¿por qué estamos rastreando esto siquiera?"

La Directiva ePrivacy y todos los reguladores de la UE coinciden en un punto liberador: no necesitas consentimiento para cookies y almacenamiento estrictamente necesarios para entregar el servicio que el usuario pidió. Una sesión de inicio de sesión, un carrito de la compra, un token CSRF, una preferencia de idioma fijada cuando el usuario elige un idioma — están exentos. La obligación de consentimiento solo se aplica a los extras no esenciales: analíticas que construyen perfiles de comportamiento, píxeles publicitarios, identificadores entre sitios, grabación de sesión.

Así que elimínalos, y la base legal para un banner se evapora. Este es el camino que tomamos en cada proyecto.

Lo que hacemos en su lugar

• Sin analíticas de terceros. Operamos un punto de analítica propio, sin cookies y conforme al RGPD, que escribimos nosotros mismos — un pequeño track.php que registra señales agregadas (visita de página, referente, clase de dispositivo aproximada) sin cookies, sin identificadores entre sitios, sin fingerprinting y sin datos personales. No hay nada que consentir porque nada identifica a nadie.
• Sin ad tech, sin píxeles, sin SDKs de vigilancia. No incrustamos píxeles de Facebook ni etiquetas de Google, así que no hay un tercero con quien negociar el consentimiento.
• Solo almacenamiento estrictamente necesario. Nuestros sitios guardan una elección de idioma y una sesión cuando es genuinamente necesario. Ambos caen de lleno dentro de la exención. La selección de /pt/ o /es/ por parte del usuario es una preferencia funcional, no vigilancia — y deliberadamente no redirigimos automáticamente ni creamos perfiles en base a ella.
• Renderizado en el servidor, sin build step. HTML plano renderizado en el servidor sobre PHP 8.3 detrás de Cloudflare significa que tampoco hay un bundle pesado de cliente contrabandeando rastreadores.

La recompensa no es solo ética. Un sitio que instala solo cookies estrictamente necesarias no tiene rastreo no esencial que consentir — por eso lo primero que ve un visitante es el contenido, no una ventana modal exigiendo una firma. Las páginas pintan al instante porque no hay un CMP bloqueando el renderizado. No hay registro de consentimiento que mantener, ni lista de proveedores que auditar, ni DPA que perseguir, ni suscripción a una plataforma de consentimiento. El sistema más simple de mantener en conformidad es el que tiene lo menos posible sobre lo que estar en conformidad.

Un banner de cookies es una deuda que se contrae para financiar un rastreo que probablemente no necesitabas. Amortiza la deuda no pidiéndola prestada.

"Pero necesitamos los datos"

Casi siempre, necesitas mucho menos de lo que recoges. Sé honesto sobre la pregunta real. Si es "¿cuánta gente leyó este artículo y de dónde vino?", las analíticas agregadas y sin cookies la responden a la perfección — sin necesidad de consentimiento. Si es "reconstruir un perfil de comportamiento completo de cada visitante individual a lo largo de sesiones y sitios", entonces sí, necesitas consentimiento, y deberías reflexionar sobre por qué quieres eso y si tus usuarios estarían de acuerdo si se lo preguntaras con franqueza, sin un dark pattern.

La mayoría de los equipos descubre que el 95% de los dashboards que creían necesitar nunca se miraron, y que el 5% que importaba puede servirse con agregados que respetan la privacidad. El instinto de recogerlo todo es un reflejo, no un requisito.

Resumen en FAQ

¿Son obligatorios por ley los banners de consentimiento de cookies?

No inherentemente. Un banner solo es obligatorio si instalas cookies o almacenamiento no esenciales (analíticas, anuncios, rastreo). Las cookies estrictamente necesarias — sesiones, carritos, seguridad, preferencia de idioma — están exentas bajo la Directiva ePrivacy. Recoge solo esas y no se necesita banner.

¿Por qué se consideran mala UX los banners de consentimiento?

Bloquean el contenido antes de que el usuario pueda leerlo, cargan JavaScript de terceros que bloquea el renderizado y perjudica los Core Web Vitals y causa desplazamiento de layout, suelen ser inaccesibles, y usan dark patterns que hacen que rechazar sea más difícil que aceptar.

¿Cuál es la alternativa a un banner de cookies?

Recoger menos. Usa analíticas propias sin cookies y sin datos personales, abandona los SDKs de anuncios y rastreo de terceros, y guarda solo datos estrictamente necesarios. Sin nada que consentir, no necesitas banner — y el sitio queda más rápido y más privado como resultado.

¿Es ilegal que "Aceptar todo" sea más fácil que "Rechazar"?

Bajo las directrices de la UE (CEPD, CNIL), el consentimiento debe ser tan fácil de rechazar como de dar, sin casillas premarcadas. Hacer el rechazo más difícil socava la validez del consentimiento, por lo que el banner a menudo fracasa en entregar el cumplimiento para el que fue construido.

En conclusión

El banner de cookies es la web pidiendo disculpas por una decisión que tomó en tu nombre. Es mal diseño porque bloquea y ralentiza la página; mala ética porque fabrica consentimiento mediante coacción; y mala ingeniería porque resuelve un problema que podrías sencillamente no haber creado. Construye sitios que no rastreen a las personas y el banner — con todos sus dark patterns, su coste de rendimiento y su teatro jurídico — se queda sin nada que hacer. Esa es la versión de privacidad que de verdad respeta a la persona del otro lado de la pantalla.