La AEPD no avisa antes de sancionar. Puede actuar de oficio, puede actuar por denuncia de un usuario, puede actuar porque alguien de tu competencia presentó una reclamación. Y cuando actúa, lo primero que revisa es cómo está configurada la medición digital de tu sitio.
Esto no es un tema de abogados. Es un tema de negocio. Y la mayoría de los CEOs y Founders que tienen inversión activa en Google Ads no saben que su configuración actual puede ser ilegal.
Qué tiene que ver tu medición con el RGPD
Cuando alguien entra a tu sitio web, Google recibe datos de esa persona: su comportamiento, su dispositivo, su ubicación aproximada, su historial de navegación. Esos datos son personales bajo el RGPD. Y para transferirlos a Google, necesitás la base legal correcta.
La base legal habitual es el consentimiento. El usuario acepta las cookies y vos podés medir. Pero el consentimiento tiene que ser válido. No basta con tener un banner. El banner tiene que cumplir condiciones muy específicas:
- Rechazar las cookies tiene que ser tan fácil como aceptarlas. Mismo nivel visual, mismo número de clics.
- Las cookies publicitarias no pueden activarse antes de que el usuario acepte. Ni un milisegundo antes.
- El consentimiento tiene que estar correctamente conectado con las herramientas de medición que usás.
- La política de privacidad tiene que describir con claridad qué datos recogés y con qué finalidad.
Si alguna de estas condiciones falla, el consentimiento no es válido. Y si el consentimiento no es válido, la transferencia de datos a Google es ilegal.
Casos reales: cuánto cuesta un error de configuración
No son multas teóricas. Son expedientes cerrados con empresas reales.
Iberia fue sancionada con 30.000 euros por no ofrecer a los usuarios opciones de rechazo a las cookies en su web y por obligar a aceptarlas para poder navegar. IKEA España recibió 10.000 euros por instalar cookies sin consentimiento previo, incluso después de que el usuario las hubiera rechazado.
Aena recibió una sanción de más de 10 millones de euros por implementar sistemas biométricos en aeropuertos sin la Evaluación de Impacto en Protección de Datos que exige el RGPD. El problema no fue el sistema en sí: fue no haber verificado que la configuración cumplía la ley antes de activarlo.
El RGPD establece sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. En 2026 la AEPD ha intensificado las inspecciones con campañas temáticas dirigidas específicamente a las prácticas de cookies. Las sanciones típicas por banner no conforme oscilan entre 30.000 y 200.000 euros.
El patrón es siempre el mismo: empresas que pensaban que lo tenían todo controlado hasta que recibieron el expediente. Cookies sin consentimiento explícito, herramientas de medición activadas antes del clic del usuario, banner configurado por alguien que nunca verificó que funcionara correctamente.
No es solo para las grandes: pymes y autónomos también reciben expedientes
Las sanciones millonarias a Aena o Iberia llenan los titulares. Pero la mayor parte del trabajo sancionador de la AEPD se desarrolla en un terreno mucho más cercano: pequeñas empresas, autónomos, negocios con pocos empleados.
Una empresa de alojamientos turísticos recibió 5.000 euros de sanción por pedir a un cliente que enviara un selfie con su DNI sin base legal que lo justificara. Una empresa pequeña que usó WhatsApp para gestionar datos de clientes recibió 500 euros, y la AEPD dejó claro que el tamaño de la empresa no exime del cumplimiento. Una asociación fue sancionada con 8.000 euros por cargar cookies no necesarias sin ofrecer mecanismo de rechazo.
El uso de cookies de seguimiento sin consentimiento explícito es hoy una de las causas más frecuentes de denuncia ante la AEPD. Las multas por este motivo en 2025-2026 llegan a 300.000 euros incluso para pequeñas empresas. La sanción media en procedimientos por marketing digital es de 12.000 euros.
La AEPD no distingue por tamaño cuando revisa el cumplimiento. Distingue por gravedad del incumplimiento. Y una configuración de medición digital que transfiere datos a Google sin consentimiento válido es una infracción del mismo tipo independientemente de si la empresa factura 100.000 o 10 millones de euros al año.
Por qué tu agencia no te lo está diciendo
No es que te estén mintiendo. Es que no es su trabajo.
Tu agencia de publicidad gestiona campañas. Optimiza inversión. Reporta resultados. Para hacer eso, necesita que las herramientas de medición estén instaladas y funcionando. Pero si esas herramientas están mal configuradas desde el punto de vista legal, la agencia no lo ve. Y aunque lo viera, resolver ese problema está fuera del alcance de lo que contratastes.
El resultado es que hay miles de empresas en España con Google Ads activo, agencia contratada, campañas corriendo y una configuración de medición que no cumple el RGPD. No por mala fe. Por falta de revisión.
Qué tiene que estar bien configurado para cumplir
Lista de verificación básica
- El banner de cookies permite rechazar con la misma facilidad y prominencia que aceptar
- Ninguna cookie publicitaria se activa antes de que el usuario dé su consentimiento
- El Consent Mode v2 está correctamente conectado entre el banner y Google
- Las etiquetas de Google Ads y Google Analytics respetan el estado del consentimiento
- La política de privacidad describe qué datos se transfieren a Google y con qué finalidad
- Hay un registro de consentimientos que puede presentarse ante la AEPD si lo solicita
Cada uno de estos puntos requiere una verificación técnica. No basta con leerlos. Hay que abrir las herramientas, revisar el código, comprobar el comportamiento real del sitio antes y después del clic en el banner.
Eso es exactamente lo que hace una auditoría de medición.
El error más frecuente que veo en las cuentas
En la mayoría de los sitios que reviso, el problema no es que no tengan banner de cookies. El problema es que el banner no está conectado con las herramientas de medición.
El usuario hace clic en "Rechazar". El banner desaparece. Y Google Analytics sigue registrando la visita. Google Ads sigue contando la sesión. Porque nadie configuró la conexión técnica entre el consentimiento del usuario y el comportamiento de las etiquetas.
Eso es Consent Mode v2 mal implementado. Y desde el punto de vista de la AEPD, es una transferencia de datos personales sin base legal válida.
En 2026 la AEPD lanzó campañas de inspección temáticas específicamente sobre cookies. La Agencia puede actuar de oficio, sin necesidad de denuncia previa. Si usás herramientas de medición publicitaria como Google Ads o Google Analytics, tu configuración es exactamente lo que están revisando.
Qué hacer si no sabés si tu configuración cumple
El primer paso es dejar de asumir que cumple porque tenés un banner.
El banner es necesario. No es suficiente. El cumplimiento real requiere verificar que el consentimiento está técnicamente conectado con todas las herramientas que usás para medir y publicitar.
Si no tenés certeza de que esa conexión existe y funciona correctamente, el riesgo es real. No es hipotético. Las sanciones de 2025 lo confirman.
Una auditoría de medición revisa exactamente eso: si lo que dice tu banner se corresponde con lo que realmente hace tu sitio. Si hay discrepancia, te lo decimos. Si no la hay, también.