Investigación
Which EU Countries Take Cookie Compliance Most Seriously?
GDPR Privacy Monitor Research · 2026-04-12 · 5 min lectura
El GDPR es una sola regulación. Un texto. Directamente aplicable en cada estado miembro de la UE sin necesidad de transposición nacional (a diferencia de la Directiva ePrivacy, que sí la requiere, añadiendo otra capa de variación). En teoría, un sitio web en Hungría enfrenta las mismas obligaciones legales que un sitio web en Alemania. En la práctica, la brecha entre la teoría y la realidad es enorme.
Cuando escaneamos 97.304 sitios web en 25 de los 27 estados miembros de la UE, encontramos que la proporción de sitios web de alto riesgo varía del 20,9% en Austria al 58,8% en Hungría -- una proporción de casi tres a uno. La misma regulación, la misma metodología de escaneo, los mismos criterios de clasificación, resultados marcadamente diferentes. Los datos sugieren que el cumplimiento se correlaciona menos con lo que dice la ley que con la actividad con la que se aplica.
El ranking completo
La tabla a continuación muestra cada país en nuestro estudio, clasificado por el porcentaje de sitios web escaneados clasificados como de alto riesgo. Alto riesgo significa que el sitio exhibió violaciones significativas de consentimiento: rastreo pre-consentimiento, fallos del flujo de rechazo, mecanismos de consentimiento faltantes junto con rastreo activo, o combinaciones de estos. También mostramos la puntuación de riesgo promedio (una métrica continua de 0-100) y la tasa de detección de banner -- el porcentaje de sitios escaneados donde nuestro sistema identificó un banner de consentimiento.
| Rango | País | % Alto riesgo | Puntuación de riesgo promedio | Tasa de detección de banner |
|---|---|---|---|---|
| 1 | Austria | 20,9% | 31,2 | -- |
| 2 | Alemania | 23,7% | 33,9 | 46,1% |
| 3 | Suecia | 33,4% | 49,0 | -- |
| 4 | Finlandia | 40,3% | 46,4 | 54,6% |
| 5 | Bélgica | 42,1% | 47,4 | -- |
| 6 | Dinamarca | 42,1% | 48,3 | 57,0% |
| 7 | Países Bajos | 43,5% | 53,1 | 40,3% |
| 8 | Francia | 44,1% | 49,7 | -- |
| 9 | España | 44,1% | 50,2 | -- |
| 10 | Italia | 44,6% | 51,8 | -- |
| 11 | Grecia | 52,5% | 54,9 | -- |
| 12 | Polonia | 53,3% | 56,1 | -- |
| 13 | Rumanía | 53,9% | 56,2 | -- |
| 14 | Chequia | 55,1% | 59,0 | -- |
| 15 | Hungría | 58,8% | 60,1 | -- |
La puntuación de riesgo promedio proporciona una vista más matizada que la clasificación binaria de alto riesgo. Note que los Países Bajos tienen una tasa de alto riesgo relativamente moderada (43,5%) pero una puntuación de riesgo promedio comparativamente alta (53,1), sugiriendo que mientras menos sitios neerlandeses cruzan el umbral de alto riesgo, los que lo hacen tienden a ser más severamente no conformes. Suecia muestra un patrón similar al revés: una tasa de alto riesgo más baja (33,4%) pero una puntuación promedio relativamente alta (49,0), indicando una amplia distribución de violaciones moderadas.
Tier 1: Los líderes -- Alemania y Austria
Alemania (23,7% alto riesgo) y Austria (20,9% alto riesgo) son valores atípicos claros. Sus sitios web son aproximadamente la mitad de probables de ser clasificados como de alto riesgo comparado con el promedio europeo del 41%. Entender por qué requiere examinar el ecosistema de aplicación en ambos países.
Alemania: profundidad y amplitud de la aplicación
El panorama de protección de datos de Alemania es único en Europa. Además del BfDI federal, cada uno de los dieciséis estados alemanes tiene su propia autoridad independiente de protección de datos. Esto significa que Alemania tiene diecisiete autoridades de protección de datos en total, varias de las cuales han estado entre las más activas de Europa en la aplicación del consentimiento.
El BayLDA bávaro condujo una auditoría sectorial de consentimiento de cookies en sitios web en 2020-2021, enviando cuestionarios formales a cientos de empresas y realizando seguimiento con acciones de aplicación. La autoridad de protección de datos de Hamburgo emitió orientación detallada sobre Google Analytics y requisitos de consentimiento. Múltiples autoridades estatales han conducido campañas de aplicación coordinadas apuntando a violaciones específicas -- rastreo pre-consentimiento, opciones de rechazo faltantes y banners de cookies no conformes.
Esta densidad de aplicación crea un cálculo de riesgo diferente para los operadores de sitios web alemanes. Cuando sus pares de la industria han recibido consultas formales de la autoridad de protección de datos, y cuando la orientación de aplicación es lo suficientemente específica para decirle exactamente qué es y qué no es aceptable, el costo del incumplimiento se vuelve concreto en lugar de teórico.
También hay una dimensión cultural. La conciencia de protección de datos de Alemania es más profunda que el GDPR. La sentencia Volkszählung (censo) de 1983 por el Tribunal Constitucional Federal estableció la autodeterminación informativa como un derecho constitucional décadas antes de que el GDPR existiera. Esto creó una expectativa social alrededor de la protección de datos que influye tanto en el comportamiento corporativo como en las expectativas del consumidor de maneras más difíciles de cuantificar pero claramente reflejadas en los datos.
Austria: aplicación temprana post-Schrems II
La DSB austriaca (Datenschutzbehörde) ganó atención internacional al emitir una de las primeras decisiones de aplicación tras Schrems II, encontrando que el uso de Google Analytics por un sitio web violaba el GDPR porque las transferencias de datos a EE.UU. carecían de garantías adecuadas. Esta decisión -- posteriormente replicada por la CNIL francesa y el Garante italiano -- envió una señal clara a los operadores de sitios web austriacos de que el consentimiento y el rastreo eran prioridades activas de aplicación.
La tasa de 20,9% de alto riesgo de Austria, la más baja en nuestro estudio, sugiere que esta señal fue recibida. Cuando una autoridad de protección de datos demuestra a través de decisiones específicas y publicadas que las violaciones de consentimiento serán perseguidas, la tasa de cumplimiento responde. Austria es el ejemplo más claro en nuestros datos de que la aplicación se correlaciona con cambio de comportamiento medible, aunque otros factores -- estructura del mercado, actitudes culturales -- probablemente también contribuyen.
Tier 2: El punto medio nórdico -- Suecia, Finlandia, Dinamarca
Suecia (33,4%), Finlandia (40,3%) y Dinamarca (42,1%) ocupan una banda intermedia que es mejor que el promedio de la UE pero significativamente detrás de los líderes germano-austriacos.
Los países nórdicos comparten fuertes valores culturales alrededor de la privacidad y la confianza institucional, pero sus autoridades de protección de datos han adoptado generalmente una postura de aplicación menos agresiva sobre el consentimiento específicamente. La IMY sueca ha emitido decisiones notables -- incluyendo una multa significativa contra Google por fallos en el derecho al olvido -- pero su aplicación específica de consentimiento ha sido más limitada. El tietosuojavaltuutettu finlandés y el Datatilsynet danés se han enfocado similarmente en notificación de violaciones de datos y orientación sectorial en lugar de campañas amplias de consentimiento de cookies.
La tasa de 33,4% de alto riesgo de Suecia es notablemente mejor que el promedio de Europa occidental, sugiriendo que las actitudes culturales hacia la privacidad pueden compensar parcialmente una aplicación menos frecuente. Los usuarios de internet nórdicos son, en general, más conscientes de la privacidad, lo que puede crear presión de mercado para mejores implementaciones de consentimiento incluso en ausencia de presión regulatoria.
Las tasas de detección de banner son instructivas aquí. Dinamarca muestra una tasa de detección de banner del 57,0% -- la más alta para cualquier país donde tenemos este dato -- y Finlandia muestra 54,6%. Esto significa que los sitios nórdicos son más propensos a desplegar un banner de consentimiento, incluso si la implementación detrás de ese banner no siempre es completamente conforme. Sugiere conciencia de la obligación incluso donde la ejecución se queda corta.
Tier 3: Europa occidental -- Francia, Países Bajos, Bélgica, España, Italia
Cinco países de Europa occidental se agrupan estrechamente entre 42,1% y 44,6% de alto riesgo: Bélgica (42,1%), Países Bajos (43,5%), Francia (44,1%), España (44,1%) e Italia (44,6%). Este grupo se sitúa cerca del promedio europeo del 41% y puede representar una línea base de cumplimiento -- el nivel que se obtiene cuando existe aplicación pero no es lo suficientemente frecuente o dirigida para mover significativamente la aguja.
Francia: la paradoja de la aplicación de alto perfil
Francia es notable porque la CNIL es posiblemente la autoridad de protección de datos más internacionalmente visible de Europa. Ha impuesto multas récord a Google (150 millones de euros por violaciones de consentimiento en 2022), Amazon (35 millones de euros) y Microsoft (60 millones de euros). Publicó directrices detalladas sobre cookies y consentimiento en 2020 y dio a los sitios web franceses un periodo de gracia de seis meses para cumplir. Condujo olas de aplicación coordinadas apuntando a sitios que fallaron en implementar opciones de rechazo.
Sin embargo, Francia se sitúa en el 44,1% de alto riesgo -- exactamente en el promedio de Europa occidental. ¿Cómo puede el aplicador más activo producir solo un cumplimiento promedio?
La respuesta probablemente radica en la estructura del web francés. Francia tiene una economía digital grande y diversa con cientos de miles de sitios web operados por pequeñas y medianas empresas, entidades de gobierno local y organizaciones que pueden no seguir de cerca las noticias de aplicación de la CNIL. Las acciones de alto perfil contra gigantes tecnológicos generan titulares internacionales pero pueden no cambiar el comportamiento de los miles de sitios de pequeñas empresas usando instalaciones WordPress predeterminadas con plugins de consentimiento no configurados. La aplicación que apunta a la cabeza de la distribución no necesariamente mueve la cola.
Países Bajos: baja tasa de banner, riesgo moderado
Los Países Bajos muestran un patrón interesante: una tasa de alto riesgo del 43,5% (moderada) pero solo una tasa de detección de banner del 40,3% -- la más baja entre los países donde tenemos estos datos. Esto significa que los sitios neerlandeses son menos propensos a desplegar un banner de consentimiento pero, entre los que lo hacen, la calidad de implementación puede ser algo mejor. También puede reflejar un ecosistema web neerlandés que incluye muchos sitios con rastreo mínimo (no necesitan banner) junto a sitios que rastrean fuertemente sin molestarse con un banner.
Tier 4: Europa del Este y del Sur -- Grecia, Polonia, Rumanía, Chequia, Hungría
La parte inferior del ranking está dominada por países de Europa Central y Oriental, con tasas de alto riesgo que van del 52,5% (Grecia) al 58,8% (Hungría). En estos países, más de la mitad de los sitios web escaneados presentan un perfil de cumplimiento de alto riesgo.
| País | % Alto riesgo | Puntuación de riesgo promedio |
|---|---|---|
| Grecia | 52,5% | 54,9 |
| Polonia | 53,3% | 56,1 |
| Rumanía | 53,9% | 56,2 |
| Chequia | 55,1% | 59,0 |
| Hungría | 58,8% | 60,1 |
El denominador común no es una falta de obligación legal -- el GDPR se aplica idénticamente -- sino un patrón de autoridades de protección de datos subfinanciadas con menos acciones de aplicación dirigidas específicamente al consentimiento. El NAIH húngaro, el UODO polaco, la ANSPDCP rumana y la UOOU checa han concentrado todos sus presupuestos limitados de aplicación en áreas como notificación de violaciones de datos, solicitudes de acceso y quejas de alto perfil en lugar de auditorías proactivas de consentimiento de cookies.
La conclusión es estructural: regulación uniforme sin aplicación uniforme produce cumplimiento no uniforme. Este es un hallazgo clave en los datos por país.
La correlación de aplicación
Si se traza la intensidad de aplicación de las autoridades contra las tasas de cumplimiento, la relación es aparente. Los países con más acciones de aplicación dirigidas específicamente al consentimiento -- Alemania, Austria -- tienen las tasas de alto riesgo más bajas. Los países con aplicación de titulares pero concentrada (Francia) muestran cumplimiento promedio. Los países con aplicación específica de consentimiento mínima muestran las tasas de violación más altas.
Algunas acciones de aplicación notables que parecen haber movido la aguja:
- Alemania (2020-2022): Múltiples autoridades estatales condujeron auditorías coordinadas de consentimiento de cookies, enviando cartas formales a cientos de sitios web.
- Austria (2022): La decisión de la DSB sobre Google Analytics fue ampliamente cubierta en medios tecnológicos y empresariales austriacos, provocando una ola visible de migraciones de GA a Matomo.
- Francia (2021-2022): La ola de aplicación de cookies de la CNIL apuntó a más de 100 sitios web por implementaciones de consentimiento no conformes.
- Italia (2022): El Garante emitió directrices actualizadas de cookies que estimularon actividad de cumplimiento entre sitios italianos más grandes.
El problema de armonización del GDPR
Los datos por país en este estudio son, en ciertos aspectos, un desafío para el objetivo de armonización del GDPR. La regulación debía crear un estándar único en toda la UE. En términos de texto legal, lo logró. En términos de realidad de cumplimiento, aún no.
Un sitio web en Austria es tres veces menos probable de ser de alto riesgo que uno en Hungría. Un usuario francés haciendo clic en "Rechazar" enfrenta la misma tasa de fallo del 80,4% que un usuario polaco. El banner de consentimiento es más probable que aparezca en Dinamarca que en los Países Bajos. Ninguna de estas diferencias tiene base legal -- todas son consecuencias de aplicación diferencial.
Esto plantea una pregunta difícil: ¿puede un marco regulatorio que depende de autoridades nacionales de aplicación, con recursos y prioridades vastamente diferentes, ofrecer protección uniforme? Los datos sugieren que la respuesta actualmente es no.
Nota metodológica
La selección de sitios web provino de la lista Tranco Top 1M, filtrada por asociación de país. La atribución de país usó TLD de código de país como señal primaria, complementada con datos de registro y alojamiento donde los TLD eran ambiguos. Los sitios con afiliación de país poco clara fueron excluidos del análisis por país pero incluidos en las cifras agregadas a nivel UE.
Cada sitio fue escaneado usando criterios idénticos: comportamiento pre-consentimiento, detección de banner, prueba del flujo de rechazo, análisis de duración de vida de cookies y evaluación de accesibilidad. El escáner no hizo ajustes por país de origen. Los tamaños de muestra varían por país, reflejando la distribución de sitios web de la UE en la lista Tranco.
Vea dónde se sitúa su sitio web. Ejecute un escaneo gratuito en gdprmonitor.eu para obtener la misma evaluación de cumplimiento que aplicamos a cada sitio en este estudio -- con evidencia completa, puntuación de riesgo y hallazgos accionables.
Comprueba tu sitio web
Ejecuta un análisis gratuito de cumplimiento del RGPD — sin registro.
Escanea tu sitio web gratis