Conformidad e-commerce
WooCommerce: tus cookies están demasiado hechas
Instalaste un banner, marcaste mentalmente la casilla de «conforme» y volviste a vender. El problema es que, en la mayoría de las tiendas que auditamos, ese banner sirve tanto como un extintor pintado en la pared: tranquiliza, pero no salva nada.
Hiciste lo que hace todo el mundo. El problema es que «todo el mundo» se equivoca. La buena noticia, de todos modos: casi nunca es culpa de WooCommerce. Y tiene arreglo.
La verdad en dos frases
WooCommerce de serie no está fuera de la ley por sus cookies: el carrito y la sesión suelen ser defendibles como «estrictamente necesarios». El embrollo empieza cuando apilas encima analítica, píxeles publicitarios, retargeting, mapas de calor y recuperación de carrito — y todo ese ferretería se dispara antes de que el visitante haya dicho que sí.
Traducción: el culpable no es la caja registradora, son los chivatos que le hemos pegado encima.
Lo que da problemas en un carrito WooCommerce «vestido»
Las cookies WooCommerce «honestas»
WooCommerce coloca cookies funcionales — woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_ — para seguir el carrito y recuperarlo del lado del servidor. No contienen directamente ningún dato personal.
Y aquí es donde nos la cuelan: «sin dato personal dentro de la cookie» no significa «fuera del RGPD». Un identificador único vinculado entre bastidores a un carrito, una cuenta o un pedido participa en la identificación de una persona. El RGPD, de hecho, clasifica los identificadores en línea, cookies incluidas, entre lo que hace a alguien identificable. La cookie se hace la inocente; el servidor, en cambio, sabe perfectamente quién eres.
En claro:
cart_hash,items_in_cart,wp_woocommerce_session_→ estrictamente necesarias, sin opt-in, mientras no sirvan a escondidas para marketing.woocommerce_recently_viewed→ sospechosa de oficio. Si alimenta recomendaciones, retargeting o una herramienta de terceros, trátala como no esencial.
En WordPress, la misma lógica: cookies de autenticación (necesarias), pero cookies de comentario (comment_author_*) conservadas casi un año y perfectamente inútiles para una compra. A declarar, o más bien a despedir.
La regla del juego europea: dos cerraduras, una sola llave no basta
En Europa no se controla una puerta, sino dos:
- Colocar o leer el rastreador es competencia de la ePrivacy (en Francia, el artículo 82 de la ley de Informática y Libertades) — incluso si la cookie no contiene ningún dato personal.
- Lo que se hace con los datos recogidos es competencia del RGPD.
El cimiento no se ha movido, y es implacable con los listillos: seguir navegando no equivale a consentimiento; hace falta un acto positivo claro; y cualquier pirueta que no sea un «sí» rotundo — cerrar el banner, por ejemplo — cuenta como un rechazo. Sobre todo, rechazar debe ser tan fácil como aceptar. El truco del botón «Aceptar» en verde fosforito y el «Rechazar» escondido tres submenús más abajo ha pasado a la historia.
Algunos rastreadores están exentos (carrito, autenticación, seguridad, y una medición de audiencia muy acotada). Pero — detalle que muchos olvidan — exento no quiere decir invisible: hay que informar igualmente al internauta.
La CNIL sacó unas FAQ el 29 de abril de 2026 y trabaja en el consentimiento «multidispositivo» y luego «multipropiedad» (el mismo consentimiento válido en varios sitios de un mismo grupo). Son aclaraciones y proyectos, no una ley nueva que vaya a dejar tu tienda ilegal de la noche a la mañana. Cuando un artículo te vende «LA nueva normativa de cookies 2026» en mayúsculas, mantén una mano sobre la cartera: la base sigue siendo RGPD + ePrivacy + directrices de las autoridades europeas.
¿Y la ePrivacy nueva versión? El famoso reglamento que debía sustituir a la directiva ha sido abandonado — enterrado tras años de negociaciones. Circulan propuestas de simplificación (el «Digital Omnibus»), pero una propuesta no es una ley. No legisles tu sitio sobre condicionales.
Las 7 plagas del WooCommerce no conforme
- Bautizarlo todo como «necesario». El carrito, vale. Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, Criteo, Google Ads y la afiliación, desde luego que no. «Necesario» no es sinónimo de «cómodo para mi marketing».
- El banner tramposo. «Aceptar todo» en grande, rechazo en chiquitito, casillas premarcadas y ninguna prueba del consentimiento. Diseño que se llama educadamente dark pattern, y maleducadamente, una encerrona.
- Disparar antes de la salida. El gran clásico: Tag Manager, Meta Pixel y la analítica salen antes del clic. El banner llega entonces como los bomberos después del incendio.
- El retargeting. Carrito abandonado, recuperación comportamental, audiencias publicitarias, píxeles de conversión → consentimiento obligatorio. Perseguir a un cliente por toda la web con las zapatillas que vio ayer se pide con educación.
- La analítica «gris». La medición de audiencia puede estar exenta, pero bajo condiciones estrictas (finalidad limitada, sin seguimiento entre sitios, sin cruce, sin reventa). Muchas configuraciones de GA4 no las cumplen y lo saben.
- El CAPTCHA glotón. Necesario para la seguridad, puede estar exento; pero si el proveedor se sirve de paso para sus propios asuntos, el consentimiento vuelve a la mesa.
- El falso «first-party». Hacer pasar un chivato de terceros por un subdominio propio no lo vuelve honesto — disfraza el rastreador, no lo exonera, y encima añade un riesgo de seguridad de regalo.
Más allá del banner: la privacidad de verdad
Tres puntos ciegos que salen caros:
- Seguridad de las sesiones: HTTPS, atributos
Secure,HttpOnly,SameSitebien ajustados, extensiones al día. Una cookie de sesión mal protegida es una llave bajo el felpudo. - La caché: Carrito, Mi cuenta y Finalizar compra fuera de caché, y punto. Si no, te arriesgas a servir el carrito — o peor, los datos — de un cliente a otro. WooCommerce lo repite bastante alto.
- Las extensiones: pago, envío, CRM, newsletter, reseñas, antifraude… cada una puede regar a terceros con datos. A auditar una por una.
¿Vendes al extranjero? Bienvenido a la torre de Babel normativa
En cuanto cruzas la frontera, ya no juegas con una regla, sino con cuatro — y no piden lo mismo en el mismo momento. El matiz que duele: estar en regla en París no te protege ni en Sacramento ni en Montreal.
Antes del primer clic, ¿quién tiene derecho a dispararse?
🇪🇺 Unión Europea — el sheriff más estricto
Modelo opt-in: nada no esencial antes de un consentimiento claro, y un rechazo tan fácil como un «sí». Es el régimen de referencia, el que los demás miran — a menudo copiando la copia. Si aquí lo tienes cuadrado, ya has hecho lo más duro.
🇩🇪 Alemania — Europa, versión doble cerradura y perfeccionista
Opt-in también, pero Alemania nunca hace nada a medias: dos textos en paralelo, la TDDDG (antes TTDSG, § 25, para el depósito de la cookie) y la DSGVO (el RGPD local, para el uso de los datos). Base legal por duplicado, vaya.
El banner debe mostrar Aceptar y Rechazar en igualdad desde la primera pantalla (consigna de la DSK). Y la cuenta pica: hasta 300 000 € por infracción de la TDDDG, además de los topes del RGPD.
Novedad local, la EinwV (en vigor desde el 1 de abril de 2025) crea servicios de consentimiento reconocidos — el usuario ajusta sus preferencias una vez, los sitios participantes las respetan. La idea es secar el diluvio de banners. Es opcional: nadie está obligado a conectarse.
Varios proveedores agitan un plazo del 19 de junio de 2026 que impondría un «botón de retirada» a las tiendas que sirven a consumidores alemanes. A falta de una fuente jurídica primaria que lo confirme — y porque huele más a derecho del consumo (rescisión/desistimiento) que a cookies — te lo señalamos sin garantizarlo. Antes de creértelo, pregunta a un jurista alemán. El condicional nunca ha sentado jurisprudencia.
🇺🇸 California (CCPA/CPRA) — el bicho raro: opt-out
Cambio completo de lógica. California no reclama un opt-in previo: funciona por «avisamos, tú te opones». En concreto:
- un enlace «Do Not Sell or Share My Personal Information»;
- la consideración de la señal de navegador Global Privacy Control (GPC) como oposición.
Novedad en 2026: nuevas reglas de la CPPA entraron en vigor el 1 de enero. Oponerse no debe exigir más pasos que aceptar (la caza de los dark patterns ha cruzado el Atlántico), y la empresa debe confirmar que la oposición se ha tenido en cuenta, GPC incluido. Todo ello apunta a las empresas por encima de ~26,6 M$ de facturación, o que tratan datos de 100 000+ californianos, o que obtienen el 50 %+ de sus ingresos de la reventa de datos.
🇨🇦 Quebec (Ley 25) — Europa también habla francés
La Ley 25 (Quebec) reclama un consentimiento expreso, claro e informado antes de cualquier cookie no esencial — analítica, píxeles, scripts de terceros incluidos. El banner meramente informativo y el «si sigues, es que aceptas» quedan suspendidos. Hace falta, además, la privacidad por defecto (rastreo no esencial cortado de origen) y conservar la prueba del consentimiento. Nota salada en caso de tropiezo: hasta 25 M$ CA o el 4 % de la facturación mundial.
El recordatorio para pegar encima de la pantalla
| Jurisdicción | Modelo | Antes del clic | El detalle que lo cambia todo |
|---|---|---|---|
| Unión Europea | Opt-in | Nada no esencial | Rechazar = tan fácil como aceptar |
| Alemania | Opt-in | Nada no esencial | TDDDG + DSGVO; EinwV (opcional) |
| California | Opt-out | Cookies toleradas por defecto | Enlace «Do Not Sell» + GPC + confirmación 2026 |
| Quebec | Opt-in | Nada no esencial | Privacidad por defecto + prueba conservada |
Moraleja: una CMP «solo Europa» te deja en pelotas en California, y un enfoque «opt-out a la americana» te deja fuera de juego en Europa y en Quebec. Necesitas una CMP geoadaptativa: opt-in para la UE, Alemania y Quebec; opt-out + GPC para California. Una normativa de geometría variable merece un banner de geometría variable.
La checklist que se verifica en el navegador (no de palabra)
La conformidad no se lee en la política de cookies — se constata en la consola (F12 → Application → Cookies, y la pestaña Network). Lo demás es literatura.
El test de los tres escenarios, en el navegador
Antes de cualquier clic:
- Solo se colocan las cookies estrictamente necesarias (carrito, sesión, seguridad).
- Ningún GA4, Meta Pixel, Tag Manager, Hotjar ni píxel publicitario ha arrancado.
Tras «Rechazar todo»:
- Ningún rastreador de marketing/analítica no exento se dispara. El rechazo bloquea los scripts; no se limita a esconder el banner bajo la alfombra.
Tras «Aceptar todo»:
- Solo se activan los rastreadores anunciados. Sin polizones.
Ajustes de la CMP:
- «Aceptar todo» y «Rechazar todo» en igualdad, opciones granulares, bloqueo antes del consentimiento, prueba conservada, retirada tan fácil como la aceptación.
- Geoadaptación: opt-in (UE / Alemania / Quebec) frente a opt-out + GPC (California).
- Google Consent Mode v2 activo si usas GA4.
- WordPress Consent API aprovechada por tus plugins (útil — pero no hace el trabajo sola).
Papeleo honesto:
- Política de cookies = tus cookies reales (nombre, dominio, finalidad, duración, categoría, responsable, terceros, base legal, transferencia fuera de la UE, retirada) — no un copia-pega de generador.
- Política de privacidad que cubra los tratamientos reales de WooCommerce (cuenta, pedido, envío, pago, facturación, soporte, reseñas, marketing, antifraude, duraciones).
- Carrito / Mi cuenta / Finalizar compra excluidos de la caché.
- Lista de encargados del tratamiento y transferencias fuera de la UE mantenida al día.
El error rey de 2026 sigue siendo la política de privacidad genérica parida por un generador, que no conoce ni a tus encargados, ni tus transferencias fuera de la UE, ni tus duraciones reales. En caso de denuncia, es la primera pieza que se le da la vuelta — y la más acusadora.
A la salida de caja
WooCommerce en pelotas se gestiona muy bien en cuanto a cookies. WooCommerce vestido — tema premium, Tag Manager, píxeles, analítica, CAPTCHA, reseñas, chat, recuperación de carrito — bascula rápido a la ilegalidad si nada se audita ni se bloquea antes del consentimiento. Y en cuanto cruzas las fronteras, haces malabares con varios regímenes que se contradicen educadamente.
Nadie puede certificar un sitio sin inspeccionar sus cookies reales, sus peticiones de red, sus extensiones y su CMP. Es justo lo que una herramienta de analítica respetuosa con la privacidad debería permitirte: contar a tus visitantes sin contarte a ti entre los infractores.
¿WooCommerce coloca cookies sin consentimiento?
Sí, pero solo cookies funcionales — carrito (woocommerce_cart_hash, woocommerce_items_in_cart) y sesión (wp_woocommerce_session_) — por lo general defendibles como «estrictamente necesarias» y, por tanto, exentas de consentimiento. Todo lo que se añade encima (Google Analytics, Meta Pixel, TikTok, Hotjar, retargeting) exige, en cambio, un consentimiento previo.
¿Basta un banner de cookies para que WooCommerce sea conforme?
No. Un banner que se limita a mostrar un mensaje sin bloquear los scripts antes del clic no sirve para nada. La conformidad se constata en el navegador: antes de cualquier clic y tras un rechazo, solo deben estar presentes las cookies estrictamente necesarias.
¿WooCommerce es conforme al RGPD por defecto?
El núcleo de WooCommerce (carrito, sesión) es defendible. El RGPD entra en juego en cuanto un identificador se vincula a una persona o se apilan analítica y píxeles. La conformidad depende, por tanto, de tu configuración, de tus extensiones y de tu CMP, no de WooCommerce solo.
¿Son las mismas las reglas de cookies en la UE, en Alemania, en California y en Quebec?
No. La UE, Alemania y Quebec funcionan por opt-in (nada no esencial antes de un consentimiento claro). California funciona por opt-out (cookies toleradas por defecto, con enlace «Do Not Sell» y respeto de la señal GPC). Una tienda internacional necesita una CMP geoadaptativa.
¿Hay una nueva ley de cookies en 2026?
No. La CNIL publicó unas FAQ el 29 de abril de 2026 y trabaja en el consentimiento multidispositivo, pero son aclaraciones, no una ley nueva. El reglamento ePrivacy que debía sustituir a la directiva ha sido abandonado. La base sigue siendo RGPD + ePrivacy + directrices de las autoridades europeas.
Actualizado en junio de 2026. Este artículo informa; no sustituye ni a una auditoría ni a un abogado — dos cosas que ningún banner de cookies ha sustituido jamás. Fuentes principales: CNIL (directrices y recomendación sobre cookies, FAQ de abril de 2026), documentación de WooCommerce, TDDDG / DSGVO y EinwV (Alemania), CCPA/CPRA y reglas CPPA 2026 (California), Ley 25 (Quebec). Los puntos señalados con una reserva deben ser validados por un jurista de la jurisdicción correspondiente antes de cualquier decisión.