Pulsas en un titular y un banner ocupa toda la pantalla. Hay un botón grande y de color que dice ACEPTAR. En otro sitio, más pequeño, en un color más claro, está RECHAZAR. O no está, porque RECHAZAR aparece detrás de un enlace que dice “Gestionar preferencias”, que abre una lista de trescientos socios publicitarios con casillas que tienes que desmarcar una a una.
Eso es un dark pattern (patrón oscuro). Es el diseño de un banner pensado para empujarte a aceptar el rastreo haciendo que rechazar sea lento, confuso o invisible. La idea de este post es describir cómo funciona, qué están diciendo los reguladores europeos, y cómo se ve un banner cuando el sitio realmente quiere darte a elegir.
El patrón más común
Abre diez webs de periódicos españoles y verás casi siempre la misma forma de banner.
El botón de aceptar es grande, de color, en el centro del cuadro. La opción de rechazar es un enlace gris fino, a veces etiquetado como “Continuar sin aceptar” o “Gestionar preferencias”. La jerarquía visual le dice a tu ojo dónde pulsar antes de que hayas leído nada. Es intencional.
A veces no hay botón de rechazar en la primera pantalla. Tienes que pulsar “Gestionar preferencias”, bajar por un muro de texto, encontrar una pestaña llamada “Interés legítimo” con todas las categorías premarcadas, desmarcarlas una a una, y luego bajar al final y pulsar “Guardar”. Tres o cuatro clics para decir no, uno para decir sí.
Esto es lo que el Comité Europeo de Protección de Datos (EDPB, European Data Protection Board) llama consentimiento asimétrico. La AEPD (Agencia Española de Protección de Datos) ha sido clara en su guía: rechazar tiene que ser tan fácil como aceptar, un principio que desglosamos en nuestra guía de mejores prácticas para banners de cookies AEPD. Un botón al lado del otro, mismo tamaño, misma prominencia. La mayoría de los grandes medios no lo está haciendo.
Paga o acepta
Un patrón más reciente es “Paga o acepta”. El banner te da dos opciones: aceptar las cookies de rastreo gratis, o pagar una suscripción mensual (a menudo unos 5 euros) por una versión sin anuncios y sin rastreo.
El argumento del medio es que la publicidad personalizada paga el periodismo, y quien no quiera anuncios que pague la alternativa. Sobre el papel suena razonable. En la práctica los reguladores están empujando en contra. El EDPB publicó una opinión en 2024 diciendo que, para grandes plataformas online, un “paga o acepta” con sólo esas dos opciones generalmente no es consentimiento válido bajo el RGPD. El consentimiento tiene que ser libre, y una elección forzada entre pagar dinero o entregar tus datos no llega a ese listón.
Algunas autoridades nacionales, incluida la AEPD, han empezado a pronunciarse sobre casos concretos. La dirección es que “paga o acepta” tiene que incluir una tercera opción real: una versión gratis con anuncios no personalizados, por ejemplo. Un muro binario de “paga o te rastreamos” está en terreno cada vez más fino.
Qué es realmente el TCF
Verás las siglas TCF mencionadas en los banners. TCF significa Transparency and Consent Framework (Marco de Transparencia y Consentimiento). Es un estándar técnico construido por IAB Europe, la asociación del sector de la publicidad digital.
Lo que hace, en palabras claras, es esto. Cuando pulsas un botón en un banner, tu elección tiene que viajar a cientos de redes publicitarias que pueden cargar en la página. El TCF define una cadena de texto (llamada Consent String) que codifica tus elecciones en un formato estándar, para que cada socio publicitario la lea igual. Sin un formato común, habría que integrar cada red por separado. El TCF es el idioma compartido.
Que sea un estándar no hace que cada implementación sea legal. En 2022, la Autoridad Belga de Protección de Datos dictaminó que la versión del TCF en uso en ese momento violaba el RGPD, y IAB Europe lleva desde entonces ajustando el marco. El estándar existe. Si un banner concreto que lo usa cumple la ley depende de cómo se configure: igualdad de botones, opciones granulares, estados por defecto, el uso del “interés legítimo” como base para el rastreo, y otras decisiones.
El asunto del “interés legítimo”
Si entras al panel de preferencias de un banner TCF, normalmente ves dos pestañas: Consentimiento e Interés Legítimo. La pestaña de Consentimiento respeta tu elección. La de Interés Legítimo a menudo tiene cada categoría premarcada, incluso después de que rechaces todo en la pestaña de Consentimiento.
El razonamiento del medio es que cierto procesamiento, como medir el tamaño de la audiencia, puede apoyarse en el interés legítimo como base legal del RGPD en lugar del consentimiento. El problema viene cuando el perfilado de comportamiento y la personalización de anuncios se cuelan en ese cajón. Medir audiencia es una cosa. Construir un perfil tuyo a través de cientos de sitios para publicidad dirigida no es para lo que se diseñó el interés legítimo, y los reguladores lo están diciendo.
Si rechazas todo en Consentimiento y la página sigue cargando scripts de rastreo porque Interés Legítimo viene activado por defecto, tu rechazo no ha hecho lo que pensabas. Esa es la parte que aparece citada en las resoluciones.
Cómo se ve un banner limpio
Si llevas una web de contenidos y quieres un banner que no te meta en líos, la forma es sencilla.
- Botones ACEPTAR y RECHAZAR del mismo tamaño, mismo peso de color, lado a lado, en la primera pantalla.
- Ninguna categoría premarcada en ningún sitio. Todas las casillas empiezan apagadas.
- Opciones granulares (analítica, personalización, publicidad, etc.) en la misma pantalla que el aceptar y rechazar principales, no enterradas dos clics más adentro.
- Lenguaje claro. “Usamos cookies para medir el tráfico y servir anuncios” funciona mejor que dos párrafos de jerga legal.
- Un rechazo que rechace de verdad, también bajo cualquier pestaña de “interés legítimo”.
No es un listón alto. Es lo que el RGPD pide desde el principio. La razón por la que la mayoría de los periódicos no lo hace es que, dada una elección justa, la mayoría de los usuarios rechaza. Toda la industria del dark pattern existe porque la elección injusta produce mejores cifras.
Si llevas una web de contenidos, no seas uno de estos
La tentación, si tienes ingresos por publicidad, es mirar lo que hacen los grandes medios y copiarlo. Hay dos razones para no hacerlo.
La primera es legal. Cuanto más pequeño eres, menos ganas tiene el regulador de pelearse contigo, pero las multas se imponen, y suelen ser mayores que lo que el dark pattern te ha hecho ganar. La AEPD ha publicado su guía. El texto es corto y se lee bien. Cumplirlo sale más barato que no hacerlo.
La segunda es de producto. Un periódico tiene lectores cautivos: el artículo que buscan está sólo allí. Un blog, una landing de SaaS o una página de documentación no. Si una visita se topa con un banner agresivo y rebota, ya no vuelve. Hemos visto rebotes subir bastante en sitios B2B que intentan copiar los banners de los periódicos, también en auditorías que hacemos con SEO Expert. El coste en conversión supera cualquier cosa que el rastreo extra pudiera aportar.
Un banner limpio, o ningún banner (si usas analítica sin cookies), es una mejor decisión de negocio para la mayoría de sitios que no son del sector de la publicidad.
La vía sin cookies
Si tu única razón para mostrar banner es cargar Google Analytics, hay una respuesta más simple: pásate a una analítica que no use cookies. Herramientas como Plausible y Fathom, o el análisis de logs en servidor, te dan páginas vistas, referencias y patrones de tráfico sin colocar ningún identificador en el navegador del usuario. Bajo la mayoría de las interpretaciones del RGPD, no requieren banner.
Pierdes algunas funcionalidades (rastreo del mismo usuario entre dispositivos, embudos muy detallados) y ganas otras (los bloqueadores de anuncios no esconden los datos, la página carga más rápido, no hay banner). Para una web de contenidos o una página de marketing de SaaS, el cambio suele compensar.
Hacia dónde va esto
Hay dos cosas convergiendo. Los reguladores europeos están apretando las reglas sobre dark patterns y sobre “paga o acepta” con resoluciones concretas, no sólo guías. Los navegadores están empezando a soportar el Global Privacy Control, una cabecera que dice “no me rastrees”, y los sitios cada vez están más obligados a respetarla automáticamente.
La combinación significa que en pocos años, un periódico que cargue rastreo contra un usuario que ha rechazado, o que use un banner muy asimétrico, estará en violación clara tanto de la ley como de una señal que el navegador envió en cada petición. La defensa de “todo el mundo lo hace” va a envejecer mal.
Para todos los demás, el consejo práctico no ha cambiado en cinco años: pregunta con honestidad, acepta la respuesta, no premarques nada, y plantéate si hace falta nada de esto.