- Consentimiento tácito = se deduce de actos concluyentes (conductas inequívocas), no de “silencio mágico”.
- En RGPD, el consentimiento exige acción afirmativa clara: el “tácito por inacción” es una mala idea.
- En cookies, “seguir navegando” no es una forma válida de consentir: necesitas una acción clara (aceptar / configurar).
- Qué es el consentimiento tácito (y qué NO es)
- Cómo decidir en 5 minutos (árbol de decisión)
- Diferencias reales: tácito vs expreso vs presunto
- Dónde falla más (RGPD, cookies y “acepto todo”)
- Evidencias que te van a pedir (checklist)
- Plazos, conservación y renovación (cookies)
- Errores frecuentes y señales de alarma
- Plantillas (registro + textos)
- FAQ
Qué es el consentimiento tácito (y qué NO es)
El consentimiento tácito es aquel que no se expresa con palabras (“sí, acepto”), pero se infiere de una conducta inequívoca que, en ese contexto, solo puede interpretarse razonablemente como aceptación.
El “silencio” o la “inacción” casi nunca bastan por sí solos. Lo que sostiene el consentimiento tácito son actos concluyentes (por ejemplo, ejecutar lo pactado, pagar, usar un servicio tras ser informado y con una mecánica clara de aceptación).
Ejemplos rápidos
- Puede ser tácito (según contexto): recibir una propuesta contractual y empezar a ejecutarla de forma coherente con lo ofrecido.
- Normalmente NO vale: “si no contestas en 48h, entenderemos que aceptas” (sin más) o “como has navegado, aceptas cookies”.
Cómo decidir en 5 minutos (árbol de decisión)
Antes de “tirar de tácito”, responde estas 3 preguntas (en orden):
-
¿La norma exige consentimiento expreso/inequívoco?
- Si estás en protección de datos (consentimiento como base legitimadora) o cookies, necesitas una acción afirmativa clara.
- Si estás en contratos, puede haber margen por actos concluyentes (pero la prueba es clave).
-
¿Hay un acto objetivo que solo signifique “acepto”?
- “Pulsar Aceptar”, “marcar casilla”, “firmar” = claro.
- “Seguir usando la web”, “no responder”, “mirar la política” = ambiguo.
-
¿Puedes probarlo?
- Sin prueba (registro, logs, trazabilidad), el consentimiento se vuelve débil y discutible.
Si el consentimiento es tu “pilar” (datos/cookies), no te compliques: expreso y registrable. Si es un contrato/operativa, el tácito puede funcionar, pero solo si la conducta es inequívoca y la prueba es sólida.
Diferencias reales: tácito vs expreso vs presunto
| Tipo | Cómo se manifiesta | Fortaleza de prueba | Riesgo típico |
|---|---|---|---|
| Expreso | Declaración clara (firma, “acepto”, casilla) | Alta | Viciar la libertad (consentimiento “forzado” o “en bloque”) |
| Tácito (actos concluyentes) | Conducta inequívoca en contexto | Media (depende del registro) | Ambigüedad: otra explicación plausible |
| Presunto / por inacción | “Si no dices nada, aceptas” | Baja | Suele romperse en inspección o litigio |
Dónde falla más (RGPD, cookies y “acepto todo”)
En protección de datos, el problema principal no es “cómo lo llamas”, sino si hay una acción afirmativa clara y si el consentimiento es libre, específico e informado. En la práctica, estos son los 3 puntos donde más se cae:
1) RGPD: “tácito por inacción”
Mensajes tipo: “si no marcas la casilla, entendemos que consientes” o “si no te opones, aceptas”. En datos personales, esto es un clásico que suele salir mal.
2) Cookies: “seguir navegando”
En cookies no exceptuadas, necesitas un mecanismo claro para aceptar o rechazar (y que estén al mismo nivel), y la navegación/scroll no es un “sí”.
3) “He leído y acepto” en bloque
Meter privacidad, términos y cookies en un único “acepto todo” sin granularidad y sin opción real de rechazo suele generar un consentimiento discutible.
Si mañana te inspeccionan o te reclaman: ¿puedes enseñar exactamente qué aceptó el usuario, cuándo, cómo y con qué información? Si la respuesta es “más o menos…”, hay riesgo.
Evidencias que te van a pedir (checklist útil)
Si vas a apoyar una decisión en consentimiento (especialmente en privacidad/cookies), prepara evidencia como si fuera auditoría: texto + acción + registro + reversibilidad.
Nivel 1 — Texto y transparencia
- Primera capa (banner/capa breve) + segunda capa (política completa)
- Identificación de finalidades y, si aplica, terceros/categorías
- Separación de consentimientos (no “todo en uno”)
Nivel 2 — Acción afirmativa y logs
- Registro del evento: aceptar / rechazar / configurar
- Marca temporal (timestamp) + versión del texto mostrado
- Prueba de que no había casillas premarcadas ni consentimiento “por defecto”
Nivel 3 — Retirada y mantenimiento
- Acceso permanente y sencillo al panel de preferencias
- Registro de retirada (si la hay) y efecto real (bloqueo de cookies)
- Revisión de cambios: si cambian finalidades/terceros, nueva decisión
Crea una carpeta interna con: 01_Textos_y_Versiones / 02_CMP_y_Config / 03_Logs_Consentimiento / 04_Retirada_y_Cambios. Si un día hay inspección, te salva horas.
Plazos, conservación y renovación (cookies)
En cookies, la práctica recomendable es que el consentimiento no se eternice. Además, si cambian finalidades o terceros, hay que permitir una nueva decisión.
Calendario práctico
- Hoy: ajusta el banner (aceptar/rechazar al mismo nivel) + panel de configuración.
- Cuando cambies cookies/terceros/finalidades: actualiza política y solicita nueva elección.
- Renovación: como buena práctica, vuelve a pedir consentimiento a intervalos razonables (p. ej., no más de 24 meses).
No esperes a “una queja”. Haz un mini-auditoría trimestral: lista de cookies reales (scanner) vs política publicada vs configuración CMP. Es barato comparado con una sanción o un conflicto reputacional.
Errores frecuentes y señales de alarma
Error 1 — Llamar “tácito” a lo que es “inacción”
“No contestó” no es un acto concluyente. Si lo único que tienes es silencio, estás vendiendo humo jurídico.
Error 2 — Consentimiento sin opción real de rechazo
Si aceptar es fácil y rechazar es un laberinto, el consentimiento se cuestiona. En cookies, además, el rechazo debe estar al mismo nivel.
Error 3 — No guardar evidencias
Sin logs y sin versiones, aunque lo hicieras bien, no puedes demostrarlo. Y en cumplimiento, lo que no se prueba, no existe.
- Banner que solo tiene “Aceptar” (y el rechazo está escondido o no existe).
- Se instalan cookies antes de consentir (salvo exceptuadas).
- “Seguir navegando” como método de consentimiento.
- Política que no coincide con las cookies reales detectadas.
Plantillas (registro + textos)
Dos plantillas simples que funcionan: una para control interno (registro) y otra para UX/legal (texto y capas).
Plantilla 1 — Registro interno de consentimiento (tracking)
| Elemento | Qué guardar | Ejemplo | Dónde |
|---|---|---|---|
| Evento | Acepta / Rechaza / Configura | Configura: analíticas NO, publicidad NO | Logs CMP |
| Timestamp | Fecha y hora | 2025-12-31 10:42:15 | BD / CMP |
| Versión texto | ID versión + hash | cookies_v3.2 | Repo / carpeta |
| Prueba UX | Capturas/flujo | Banner con Aceptar/Rechazar | Compliance |
Plantilla 2 — Texto de primera capa (banner) orientativo
Usamos cookies propias y de terceros para (i) funcionamiento (necesarias) y, con tu consentimiento, (ii) analíticas y (iii) publicidad personalizada. Puedes Aceptar, Rechazar o Configurar. Más info en la Política de Cookies.
- Botones al mismo nivel: Aceptar / Rechazar / Configurar
- Sin casillas premarcadas
- Acceso permanente a preferencias
La fórmula es siempre la misma: acción afirmativa clara + información por capas + logs + retirada fácil. Si falta una pata, el sistema cojea.
FAQ
¿Consentimiento tácito es lo mismo que “seguir usando el servicio”?
No necesariamente. En contratos puede haber aceptación por actos concluyentes si la conducta es inequívoca. En privacidad/cookies, “seguir navegando” se considera un método inválido para consentir.
¿Puedo basarme en “si no se opone” para enviar marketing?
Depende de la base legitimadora. Si necesitas consentimiento, debe haber acción afirmativa clara y prueba. Si no, revisa si aplica otra base (y las reglas específicas de comunicaciones comerciales). Si no lo tienes claro, mejor no improvisar.
¿Cuánto tiempo puedo conservar el consentimiento de cookies?
Como buena práctica, se recomienda renovar a intervalos razonables (por ejemplo, no más de 24 meses), y re-pedirlo antes si cambian finalidades o terceros.
¿Qué pasa si el usuario retira el consentimiento?
Debe poder retirarlo tan fácilmente como lo otorgó. Y la retirada tiene que tener efecto real (dejar de instalar/usar cookies no necesarias).
¿Qué es lo mínimo para “defender” un consentimiento?
(1) texto mostrado (versionado), (2) acción afirmativa (evento), (3) timestamp/log, (4) opción real de rechazo, (5) retirada fácil y permanente.
¿Me ayudáis a revisar banner/cookies y registros?
Sí. Revisamos el flujo real (UX), la política, las cookies efectivas y el sistema de logs para que sea coherente y defendible.
Artículos relacionados
Referencias oficiales:
• RGPD (Reglamento (UE) 2016/679): eur-lex.europa.eu
• LOPDGDD (LO 3/2018): boe.es
• LSSI-CE (Ley 34/2002): boe.es
• Guía AEPD Cookies: aepd.es
• Directrices CEPD/EDPB 05/2020 (consentimiento): edpb.europa.eu