La reciente publicación definitiva de la Guidance on the use of storage and access technologies (abril 2026) por parte del regulador británico (ICO) marca un punto de inflexión en la regulación del ecosistema digital. Lejos de ser una mera actualización técnica, esta guía redefine el estándar jurídico aplicable al uso de cookies, tracking y tecnologías equivalentes, alineándolo con una visión mucho más exigente en términos de transparencia, control del usuario y responsabilidad empresarial.
Lo primero que debe entenderse es que el enfoque del ICO rompe definitivamente con una concepción limitada de las “cookies” como elemento central del cumplimiento. La guía amplía el objeto regulatorio a un concepto mucho más amplio: las denominadas “storage and access technologies”, que incluyen no solo cookies, sino también tracking pixels, device fingerprinting, almacenamiento local, scripts o técnicas de seguimiento de navegación. Este cambio conceptual es clave, porque implica que gran parte del ecosistema actual de publicidad digital, analítica avanzada y personalización queda plenamente sometido a las exigencias regulatorias, incluso cuando intenta eludirlas mediante técnicas alternativas.
Desde el punto de vista jurídico, la regla general se formula de manera contundente: queda prohibido almacenar o acceder a información en el dispositivo del usuario salvo que exista consentimiento previo o concurra una excepción específica. Este principio, aparentemente conocido, adquiere ahora una interpretación mucho más estricta. El consentimiento debe cumplir los estándares del RGPD —libre, específico, informado e inequívoco— y, sobre todo, debe materializarse mediante una acción positiva real. La guía descarta de forma expresa prácticas aún extendidas en el mercado, como la continuación de la navegación como forma de consentimiento o los mecanismos preconfigurados.
Uno de los elementos más relevantes —y con mayor impacto práctico— es la reformulación del propio concepto de consentimiento válido. El ICO establece que los mecanismos de obtención deben ofrecer la misma facilidad para rechazar que para aceptar, eliminar cualquier forma de presión o diseño engañoso (dark patterns) y proporcionar opciones granulares por finalidad. Esto supone, en la práctica, la invalidación de una gran parte de los banners actuales, especialmente aquellos que priorizan la aceptación o dificultan el rechazo.
Especial atención merece el tratamiento de las excepciones al consentimiento. La guía sistematiza cinco supuestos tasados —comunicación, estricta necesidad, fines estadísticos, apariencia y asistencia de emergencia—, pero insiste en su carácter restrictivo. En particular, resulta especialmente relevante la delimitación del denominado “statistical purposes exception”, que permite ciertos tratamientos analíticos sin consentimiento siempre que se basen en datos agregados y no impliquen seguimiento individual. Esta distinción es crítica en la práctica: gran parte de las soluciones de analítica actuales quedarían fuera de esta excepción si incorporan identificación, profiling o integración con publicidad.
En el ámbito de la publicidad digital, el mensaje del regulador es inequívoco: todo tratamiento vinculado a publicidad comportamental o tracking requiere consentimiento. No existe excepción posible basada en la financiación del servicio o en intereses económicos del operador. Este punto resulta especialmente relevante en el contexto actual, donde muchas empresas han intentado justificar modelos invasivos bajo la lógica de la sostenibilidad económica del contenido digital.
La guía también aborda cuestiones particularmente sensibles en la práctica jurídica y tecnológica, como los modelos “consent or pay” o los denominados cookie walls. Aunque no los prohíbe de forma absoluta, sí introduce un criterio determinante: el consentimiento solo será válido si existe una elección real y libre, lo que en muchos casos cuestiona la legalidad de los modelos “take it or leave it”.
Desde una perspectiva estratégica, esta guía debe interpretarse en conexión con la Online Tracking Strategy Update (abril 2026) del propio ICO, que anticipa una intensificación de la actividad supervisora y sancionadora en este ámbito. El regulador deja claro que el cumplimiento en materia de tracking será una de sus prioridades, especialmente en sectores con fuerte dependencia del dato, como medios digitales, plataformas tecnológicas o comercio electrónico.
Para el jurista especializado en tecnología, privacidad o cumplimiento normativo, el impacto de esta guía es inmediato. En primer lugar, obliga a revisar en profundidad los mecanismos de consentimiento, los proveedores tecnológicos (especialmente adtech) y los flujos de datos asociados. En segundo lugar, exige una aproximación real al principio de privacy by design, integrando el cumplimiento desde la arquitectura misma de los sistemas. Y, en tercer lugar, plantea un cambio de paradigma: el paso de un modelo formal de cumplimiento a uno material, basado en la experiencia real del usuario y en su capacidad efectiva de control.
En definitiva, la nueva guidance del ICO no introduce simplemente nuevas reglas, sino que redefine el estándar de legalidad en el entorno digital. En un contexto en el que la economía del dato sigue siendo el principal motor de innovación, el mensaje del regulador es claro: la legitimidad del tratamiento no se construye sobre la opacidad tecnológica, sino sobre la transparencia, el control y la confianza del usuario. Y ese es, probablemente, el verdadero eje del Derecho digital en los próximos años.
