Cookies, IA y consentimiento en 2026: cómo no copiar lo que hizo OpenAI

Esta semana ha saltado el caso: OpenAI activó cookies de marketing por defecto a usuarios free de ChatGPT sin pop-up de consentimiento. En la UE eso es justo lo que la AEPD lleva años marcando como "no se hace". Y es solo un ejemplo más alto de la confusión que rodea cookies + IA + RGPD en 2026.

Si vienes de la pieza general sobre chatbots y RGPD, este artículo es el complemento: cómo encaja el consentimiento de cookies cuando tu producto integra IA, qué piden la AEPD y el CEPD en 2026, y cómo no romper la UX cumpliendo.

Qué hizo OpenAI (y por qué la UE lo mira mal)

A primeros de mayo de 2026, OpenAI activó cookies de marketing en ChatGPT para usuarios del plan gratuito. El cambio se aplicó sin pop-up de consentimiento previo en la mayoría de regiones, y los usuarios se enteran cuando van al menú de ajustes a buscarlas.

El RGPD y la jurisprudencia europea son tajantes:

• Consentimiento granular y previo para cookies no esenciales.

• Opt-in explícito, no opt-out.

• Equivalencia visual entre "aceptar" y "rechazar".

• Capacidad de retirar consentimiento con la misma facilidad con la que se otorgó.

Activar cookies por defecto y dejar al usuario buscando el ajuste para apagarlas es opt-out con pasos extra — exactamente lo que la AEPD lleva sancionando en 2024-2025-2026.

Las reglas en 2026 (resumen)

La AEPD actualizó su Guía de Cookies en 2024 y a lo largo de 2025-2026 ha emitido criterios complementarios. Lo que tienes que saber:

1. Botones equivalentes "aceptar / rechazar"

Banner cookies obligatoriamente con dos botones equivalentes: uno "Aceptar todas" y otro "Rechazar todas". Diseños "dark patterns" tipo "X grande para aceptar, link azul casi invisible para rechazar" están sancionados.

2. Granularidad

Si usas más de un tipo de cookie no esencial (analítica, marketing, perfilado, terceros), el usuario tiene que poder decir sí a unas y no a otras. Suele requerir un panel "configurar".

3. Bloqueo previo

Antes del consentimiento, ningún script de tracking ni terceros puede ejecutarse. Las cookies estrictamente necesarias (sesión, balanceadores) sí.

4. Prueba de consentimiento

Tienes que conservar registro de quién consintió a qué y cuándo, durante el plazo en que pueda haber reclamación.

5. Revisión periódica

El consentimiento caduca. La AEPD recomienda re-pedirlo cada 24 meses como máximo. Algunas autoridades europeas son más estrictas (12 meses).

6. Opt-out tan fácil como opt-in

Si para aceptar bastó un click, para rechazar también. El acceso al "centro de privacidad" debe ser visible y persistente.

Por qué la IA empeora el cuadro

Cuando tu sitio o app integra IA, hay capas adicionales:

Capa 1: telemetría del SDK del modelo

Si embebes un SDK de OpenAI/Anthropic/Google, ese SDK puede mandar datos de uso a su servidor. Tienes que:

• Documentarlo en política de privacidad y cookies.

• Tener el DPA firmado con el proveedor.

• Si los datos salen de la UE: garantías para transferencia internacional (detalle aquí).

Capa 2: cookies del propio modelo

Algunos chatbots embebidos (intercom-AI, drift-AI, etc.) ponen cookies de tracking en tu dominio. Si las metes sin clasificar correctamente, incluyes terceros sin avisar — sanción.

Capa 3: scripts de proveedores adicionales

Una IA suele venir con: analytics propio, error logging (Sentry), feature flags (LaunchDarkly), session replay (FullStory). Cada uno mete sus propias cookies. Cada una requiere consentimiento si no es estrictamente necesaria.

Capa 4: AI Act Art. 50 desde 2026-08-02

Si tu IA conversa con el usuario, avísale. No es cookie, es transparencia algorítmica. Pero coincide a menudo con el momento del consent banner — buen sitio para ponerlo.

CMP (Consent Management Platform): ¿lo necesito?

El RGPD no obliga a usar un CMP, pero exige el resultado: consentimiento informado, granular, registrado, revocable. Montártelo a mano para un sitio mediano es subóptimo.

CMPs decentes en 2026:

• OneTrust: el estándar enterprise. Caro pero cumple.

• Cookiebot (Usercentrics): equilibrio buena calidad-precio.

• Didomi: francés, fuerte en EU, buen soporte multi-idioma.

• iubenda: italiano, popular en SMB. Más simple.

• CookieYes: barato y suficiente para sitios medianos.

• Klaro! y CookieConsent: open source, autohosteables.

Si te interesan datos: el RGPD no impone CMP, pero los inspectores AEPD ven el CMP como una señal positiva. Sin él, te toca probar técnicamente que cumples — más friction.

Patrón de banner que cumple

Diseño que usa la mayoría de sitios europeos serios en 2026:

┌─────────────────────────────────────────────────┐
│  Usamos cookies para X. Algunas son necesarias  │
│  para que el sitio funcione. Otras nos ayudan   │
│  a mejorar. Decide tú.                          │
│                                                 │
│  [ Rechazar todas ]  [ Configurar ]             │
│                              [ Aceptar todas ]  │
└─────────────────────────────────────────────────┘

Reglas:

• Tres botones equivalentes en peso visual.

• "Configurar" abre panel granular.

• "Rechazar todas" desactiva todo no esencial inmediatamente.

• Persistente: el usuario puede cambiarlo desde footer.

Si tu producto tiene un chatbot IA, añade una línea:

Algunas conversaciones con nuestro asistente IA se procesan en [proveedor]. Detalles en la política de privacidad.

Eso cubre Art. 50 + transparencia RGPD sin meter texto largo.

Casos especiales con IA

Chatbot que se abre solo

Si abre solo un widget de chat antes de aceptar cookies → falta. El widget no puede cargar tracking pre-consent. Patrón correcto: el widget aparece después del banner o en estado "minimizado sin tracking" hasta el opt-in.

Asistente de búsqueda con tracking

Productos tipo Algolia con AI search registran queries. Si no son anónimas, requieren consentimiento.

Personalización via IA

Si usas IA para personalizar la experiencia (recomendaciones, etc.) sobre datos personales, eso ya no es cookie, es tratamiento principal del RGPD y requiere base legal documentada (consentimiento, ejecución de contrato, interés legítimo bien argumentado).

Reentrenar el modelo con conversaciones de usuario

Aparte. Necesita consentimiento separado y específico, no se cuela en el banner de cookies.

Errores comunes

1. Banner que aparece tarde: el script de analytics ya cargó antes que el banner. La cookie está. Tarde para preguntar.

2. "Rechazar todas" enterrado en un menú: viola la equivalencia. Sanción casi automática.

3. Pre-marcar checkboxes: sigue pasando. No vale.

4. No actualizar la política tras incorporar un chatbot IA: si ayer no había IA en el sitio y hoy sí, la política y el banner tienen que reflejarlo.

5. Olvidar el AI Act: si el AI Act Art. 50 te aplica desde 2026-08-02 y tu chatbot finge ser humano, hay sanción adicional aparte del RGPD.

6. No documentar DPA con el proveedor IA: si tu IA es OpenAI/Anthropic, sin DPA firmado tienes una transferencia sin garantías.

Caso ChatGPT: lecciones para no repetir

Lo que hizo OpenAI esta semana es el manual del "qué no hacer" en UE. Si tu producto va a tocar cookies de marketing:

1. Pop-up explícito previo, no activación silenciosa.

2. Opt-in granular, no opt-out.

3. Comunicación al usuario del cambio, no esperar a que lo descubra.

4. Rollout gradual EU vs no-EU: si tu producto opera en ambos, distinguir. UE es más estricta; ignorar eso es buscar la multa.

5. Auditoría legal antes de meter el cambio.

OpenAI seguramente terminará con una investigación en alguna autoridad europea. La pregunta no es "si"; es "cuántas y por cuánto".

Stack técnico que cumple en 2026

Si arrancas hoy:

1. CMP: Cookiebot, Didomi, CookieYes — alguno integrado.

2. Bloqueo de scripts pre-consent: tu CMP debe inyectar los scripts solo después del consentimiento. Verificable con DevTools.

3. Política de privacidad y cookies actualizada: refleja IA, proveedor, DPA, transferencias.

4. Política rastreable: log de versiones para que en una inspección puedas decir "el día X este texto era Y".

5. Auditoría trimestral: nuevos scripts (analytics, A/B testing, IA) entran y salen — toca revisar.

Si tu producto es B2B y procesas datos sensibles: añade AIPD/DPIA documentada para la IA. Detalle en DPIA vs AIPD vs FRIA y en AIPD aplicada a IA RGPD.

La parte que mucha gente olvida: los datos del LLM

Aunque cumplas con cookies impecablemente, si tu producto manda prompts del usuario a un proveedor sin DPA, sin transferencia internacional cubierta y sin avisar al usuario, sigues no cumpliendo. Las cookies son la capa visible. Por debajo está el tratamiento real.

Productos que cumplen por defecto: los que tienen infraestructura europea + Zero Data Retention. Por ejemplo, Levante Platform ejecuta sobre Tensorix (cloud europea) con ZDR, lo que reduce el alcance del tratamiento y simplifica el cumplimiento.

Conclusión

Cookies + IA en 2026 es dos capas: la visible (banner, equivalencia, granular) y la invisible (proveedores, DPAs, transferencias). Las dos cumplen o ninguna cumple. Lo que hizo OpenAI esta semana es ejemplo de cómo equivocarse de la forma más visible posible — y cómo, aún así, escalar mucho antes de que la AEPD tome cartas.

Si arrancas un producto IA hoy, CMP serio + DPA con proveedor + política actualizada + opt-in real + AIPD son los cinco movimientos que separan a las empresas multables de las que duermen. Cuesta 1-2 días de trabajo. Las multas, mucho más.

Recursos: guía cookies AEPD 2024, IA y RGPD para empresas, chatbots y RGPD 2026, transferencias internacionales en IA.