Mayores Multas RGPD por Cookies en 2026

7.100 Millones de EUR y Subiendo

Desde que el RGPD entró en vigor en mayo de 2018, los reguladores europeos han impuesto más de 7.100 millones de EUR en multas totales. Y 2025 fue un punto de inflexión: las infracciones relacionadas con cookies se convirtieron en la categoría de aplicación de más rápido crecimiento, con autoridades de toda la UE dejando claro que los banners de cookies no conformes ya no son un descuido menor. Son un riesgo financiero.

Si gestionas un sitio web que recibe visitantes europeos, este artículo es tu llamada de atención. Estas son las mayores multas relacionadas con cookies del último año y lo que necesitas hacer para no ser el siguiente.

Las Mayores Multas por Cookies de 2025

Google - 325 Millones EUR (Francia, Septiembre 2025)

La autoridad francesa de protección de datos CNIL multó a Google con 325 millones de EUR por mostrar anuncios promocionales dentro de Gmail sin el consentimiento del usuario. La resolución también determinó que los diseños de consentimiento de Google estaban específicamente diseñados para dirigir a los usuarios hacia la aceptación de publicidad personalizada. Esta multa reforzó que el consentimiento debe ser otorgado libremente, no inducido mediante patrones oscuros.

SHEIN - 150 Millones EUR (Francia, Septiembre 2025)

El gigante de la moda rápida SHEIN recibió una multa de 150 millones de EUR por una de las infracciones más básicas: cargar cookies publicitarias antes de que los usuarios pudieran siquiera ver el banner de cookies. Además, la CNIL descubrió que el botón "Rechazar todo" simplemente no funcionaba, y el banner de cookies no mencionaba el propósito publicitario del rastreo. Este caso es un hito porque demuestra que los reguladores comprueban lo que realmente sucede en el navegador, no solo lo que dice el banner.

TikTok - 530 Millones EUR (Francia, 2025)

Aunque se centró principalmente en el tratamiento de datos de menores, la multa de 530 millones de EUR a TikTok incluía infracciones en los mecanismos de consentimiento. Las cuentas estaban configuradas como públicas por defecto, y el enfoque de TikTok para obtener consentimiento no cumplía los estándares del RGPD.

Orange - 50 Millones EUR (Francia, Noviembre 2024)

El gigante de telecomunicaciones Orange fue multado por insertar mensajes publicitarios en las bandejas de entrada de los usuarios sin consentimiento, afectando a 7,8 millones de personas. De forma crucial, la CNIL descubrió que las cookies seguían siendo leídas y transmitidas incluso después de que los usuarios retiraran su consentimiento. Orange recibió la orden de corregirlo en 3 meses o enfrentar penalizaciones de 100.000 EUR diarios.

Condé Nast - 750.000 EUR (Francia, Noviembre 2025)

La editora de Vanity Fair Francia fue multada por colocar cookies en los dispositivos de los visitantes sin ningún tipo de consentimiento. Una infracción directa que demuestra que incluso empresas de medios reconocidas son detectadas.

Coolblue - 40.000 EUR (Países Bajos, Diciembre 2024)

El minorista holandés Coolblue fue multado por usar casillas de consentimiento premarcadas, asumiendo el consentimiento por defecto. La autoridad holandesa ya les había advertido previamente, convirtiendo este caso en un ejemplo de ignorar a los reguladores.

Los Patrones que Te Generan Multas

Analizando estos casos, emerge un patrón claro. Los reguladores están apuntando a:

• Rastreo previo al consentimiento: Cargar cookies o rastreadores antes de que el usuario tenga la oportunidad de aceptar o rechazar. Este fue el núcleo del caso SHEIN.
• Consentimiento asimétrico: Hacer que "Aceptar" sea un solo clic mientras se entierra "Rechazar" detrás de múltiples pantallas. Facebook, Google y TikTok han sido multados por esto.
• Patrones oscuros: Usar contraste de colores, tamaño de botones o redacción para empujar a los usuarios hacia la aceptación. La autoridad de privacidad sueca (IMY) amonestó formalmente a ATG, Aller Media y Warner Music por esto en abril de 2025.
• Ignorar la retirada del consentimiento: Continuar leyendo cookies después de que un usuario revoca su consentimiento, como en el caso de Orange.
• Botones de rechazo no funcionales: Tener una opción de "Rechazar" que realmente no bloquea las cookies, como se demostró en la multa a SHEIN.

Las Nuevas Reglas que Llegan en 2026

En noviembre de 2025, la UE publicó la Propuesta Digital Omnibus, que cambiará fundamentalmente cómo funciona el consentimiento de cookies:

Rechazo con un solo clic: Los usuarios deben poder rechazar cookies con un solo clic. Se acabó esconder la opción de rechazo detrás de pantallas de "Gestionar preferencias".

Período de espera de seis meses: Si un usuario rechaza el consentimiento, el sitio web no puede volver a preguntarle por el mismo propósito durante al menos seis meses. La era de preguntar en cada visita está llegando a su fin.

Señales de consentimiento legibles por máquinas: La propuesta codificará señales de consentimiento automatizadas (como Global Privacy Control), permitiendo que los navegadores comuniquen las preferencias de consentimiento en nombre de los usuarios.

Las reglas de cookies pasan al RGPD: El Artículo 88a integrará las reglas de rastreo por cookies directamente en el RGPD, reemplazando el mosaico de implementaciones nacionales de ePrivacy. Esto significa un estándar único y aplicable en los 27 estados miembros.

Estas normas se espera que entren en vigor a mediados o finales de 2026.

Ya No Es Solo para las Grandes Tecnológicas

Una de las tendencias más importantes de 2025-2026 es que la aplicación se ha expandido mucho más allá de Google y Meta. La autoridad holandesa envió advertencias formales a 50 organizaciones, incluyendo minoristas online, empresas de medios y aseguradoras, dándoles tres meses para corregir sus prácticas de cookies o enfrentar una investigación.

En el Reino Unido, la ICO revisó los 1.000 principales sitios web y encontró que 564 necesitaban corregir sus prácticas de cookies. Para diciembre de 2025, el 95% de esos sitios cumplían la normativa.

Mientras tanto, el grupo noyb presentó más de 560 denuncias RGPD dirigidas a sitios web en 33 países. Su análisis reveló que el 81% de esos sitios no ofrecía una opción de "Rechazar" en la primera capa del banner de cookies, y el 73% usaba contrastes de color engañosos para empujar a los usuarios hacia la aceptación.

Solo España ha impuesto más de 1.021 multas RGPD. La autoridad italiana está apuntando cada vez más a las pymes. Ningún sitio web es demasiado pequeño para pasar desapercibido.

Qué Significa Esto para Tu Sitio Web

Según el Artículo 83 del RGPD, las infracciones de cookies y consentimiento pueden resultar en multas de hasta 20 millones de EUR o el 4% de la facturación anual global, lo que sea mayor. Pero más allá de las multas, está el daño reputacional, los costes legales y la pérdida de confianza de tus visitantes.

La buena noticia es que la mayoría de las infracciones de cookies son sencillas de corregir una vez que sabes que existen. El problema es que la mayoría de los propietarios de sitios web no tienen idea de que su banner no cumple la normativa. Sus desarrolladores lo configuraron una vez y nunca comprobaron lo que realmente sucede en el navegador.

Eso es exactamente lo que hacen los reguladores: abren tu sitio, observan qué se carga antes del consentimiento y verifican si el botón de rechazo realmente funciona.

Comprueba Tu Sitio Web Ahora

No necesitas esperar a que un regulador te encuentre. Escanea tu sitio web gratis y descubre exactamente lo que encontraría una auditoría de cumplimiento: cookies previas al consentimiento, rastreadores cargando antes del consentimiento y problemas con el banner. Tarda 30 segundos y te da una imagen clara de tu riesgo.

Las multas anteriores demuestran que la aplicación es real, creciente y se está expandiendo a empresas de todos los tamaños. La pregunta no es si los reguladores revisarán tu sitio web. Es cuándo.