Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 1-2 h
Cookies y rastreadores antes del consentimiento
Corrija los scripts de analítica, marketing y terceros que se activan antes de que el visitante haya tomado una decisión de consentimiento.
Cubre: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 30-90 min
Falta el banner de consentimiento
Restaure o despliegue un banner de consentimiento de primera capa antes de que comience cualquier tracking o almacenamiento opcional.
Cubre: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 15-60 min
No hay opción de rechazo o está suprimida
Haga que rechazar sea tan fácil y visible como aceptar corrigiendo acciones Reject ausentes, ocultas o debilitadas.
Cubre: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-2 h
Cookie wall
Elimine los patrones que bloquean el acceso al contenido hasta que el visitante acepte el tracking opcional.
Cubre: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Gravedad: MediaResponsable: MarketingTiempo de corrección: 30-120 min
Cookies no clasificadas
Clasifique las cookies desconocidas, documente su finalidad y deje de enviar a producción almacenamiento no declarado.
Cubre: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 1-2 h
Incoherencia en Google Consent Mode
Corrija los casos en los que las etiquetas de Google actúan como si hubiera consentimiento concedido aunque el estado en ejecución indique denied.
Cubre: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-3 h
Solicitudes de terceros antes del consentimiento
Evite que proveedores opcionales realicen llamadas de red antes de que el visitante decida si quiere permitirlas.
Cubre: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Gravedad: MediaResponsable: DesarrolloTiempo de corrección: 30-90 min
Google Fonts antes del consentimiento o carga externa de fuentes
Aloje las fuentes localmente y elimine las llamadas remotas que exponen solicitudes antes del opt-in.
Cubre: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Gravedad: MediaResponsable: DesarrolloTiempo de corrección: 30-120 min
Cookies de tracking inseguras (problemas de Secure o SameSite)
Refuerce los atributos de seguridad para que las cookies opcionales no se entreguen con valores débiles del navegador.
Cubre: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-3 h
Fingerprinting antes del consentimiento
Aplace o sustituya los scripts que analizan capacidades del navegador antes de que el visitante tome una decisión de consentimiento.
Cubre: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 1-2 h
Google Consent Mode no detectado
Implemente defaults y actualizaciones de Consent Mode para que las etiquetas de Google reciban un estado de consentimiento explícito en lugar de funcionar sin señal.
Cubre: consent_mode_not_detected, consent_mode_missing
- Confirme que los defaults de Consent Mode existen en la primera carga antes de las etiquetas opcionales.
- Confirme que Reject mantiene en denied los estados storage de Google.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 30-90 min
Analytics antes del consentimiento
Evite que las herramientas de analítica se carguen o escriban almacenamiento antes de que el visitante haya dado consentimiento explícito.
Cubre: pre_consent_analytics_cookie, analytics_before_consent
- Confirme que ninguna solicitud analítica sale antes del consentimiento.
- Confirme que no se crean cookies analíticas hasta que el usuario acepte.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 30-90 min
Cookies de marketing antes del consentimiento
Bloquee cookies y scripts publicitarios o de retargeting mientras el usuario no haya aceptado explícitamente el marketing.
Cubre: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Confirme que no existen cookies de marketing antes del consentimiento.
- Confirme que no salen solicitudes a redes publicitarias hasta que el usuario acepte.
Gravedad: AltaResponsable: MarketingTiempo de corrección: 30-60 min
Meta Pixel antes del consentimiento
Evite que Meta Pixel cargue o envíe eventos mientras el visitante no haya concedido el consentimiento de marketing requerido.
Cubre: meta_pixel_before_consent, pre_consent_meta_pixel
- Confirme que no se emiten solicitudes de Meta antes del consentimiento.
- Confirme que las cookies de Meta siguen ausentes en estado denied.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 30-60 min
GA4 antes del consentimiento
Retrase Google Analytics 4 hasta que exista un consentimiento analytics válido y compruebe que los parámetros de Consent Mode siguen siendo coherentes.
Cubre: ga4_before_consent, pre_consent_ga4
- Confirme que no sale ninguna llamada de GA4 antes del consentimiento analytics.
- Confirme que las cookies `_ga` siguen ausentes antes del opt-in.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-2 h
Etiquetas GTM disparadas antes del consentimiento
Corrija los triggers de GTM para que las etiquetas opcionales no ejecuten nada hasta que exista el consentimiento requerido.
Cubre: gtm_tags_before_consent, pre_consent_gtm_fire
- Confirme en Preview que ninguna etiqueta GTM opcional se dispara antes del consentimiento.
- Confirme que en la primera carga solo permanecen activas las etiquetas esenciales.
Gravedad: AltaResponsable: Admin CMPTiempo de corrección: 15-45 min
Reject solo en la segunda capa
Muestre Reject ya en la primera capa en lugar de obligar al usuario a abrir preferencias o hacer clics extra para rechazar el tratamiento opcional.
Cubre: reject_in_second_layer, reject_not_first_layer
- Confirme que Reject está presente en la primera capa en escritorio y móvil.
- Confirme que un Reject desde primera capa bloquea las etiquetas opcionales.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 30-90 min
El banner de consentimiento no aparece en móvil
Corrija problemas de viewport, CSS y lazy-load que hacen que el banner desaparezca o no renderice en móvil.
Cubre: mobile_banner_missing, consent_banner_mobile
- Confirme que el banner aparece en un dispositivo móvil real.
- Confirme que el usuario puede usar Accept y Reject en móvil.
Gravedad: MediaResponsable: DesarrolloTiempo de corrección: 30-90 min
El estado de consentimiento no se persiste
Corrija el almacenamiento y el comportamiento en recarga para que la elección del visitante se recuerde y se aplique entre páginas y sesiones.
Cubre: consent_not_persisted, consent_state_lost
- Confirme que la misma elección persiste tras recarga y navegación entre páginas.
- Confirme que Reject sigue en denied en una nueva visita.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-2 h
Embeds de terceros antes del consentimiento
Retrase YouTube, mapas, chat, reservas y otros embeds de terceros hasta que el visitante haya consentido o haya decidido cargarlos explícitamente.
Cubre: pre_consent_embed, third_party_embed_before_consent
- Confirme que ningún proveedor de embed recibe solicitudes en la primera carga.
- Confirme que el embed se carga solo tras opt-in o click-to-load.
Gravedad: AltaResponsable: MarketingTiempo de corrección: 15-45 min
Hotjar antes del consentimiento
Evite que Hotjar cargue scripts de session replay o heatmap antes de que el visitante haya concedido consentimiento analytics o marketing.
Cubre: hotjar_before_consent, pre_consent_hotjar
- Confirme que Hotjar no se carga antes del consentimiento.
- Confirme que las cookies de Hotjar están ausentes en pre-consentimiento.
Gravedad: MediaResponsable: MarketingTiempo de corrección: 30-120 min
Declaración de cookies desactualizada
Alinee la declaración de cookies publicada con las cookies y proveedores observados realmente en la evidencia runtime.
Cubre: cookie_declaration_outdated, declaration_mismatch
- Confirme que cada cookie observado aparece en la declaración.
- Confirme que los vendors retirados ya no figuran si ya no se ejecutan.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-2 h
Las cookies siguen definiéndose después de Reject
Corrija flujos en los que cookies o solicitudes opcionales continúan aunque el visitante haya rechazado expresamente el tracking.
Cubre: cookies_after_reject, reject_not_enforced
- Reject y reload: confirme que las cookies opcionales siguen ausentes.
- Reject y reload: confirme que las solicitudes opcionales siguen bloqueadas.
Gravedad: MediaResponsable: DesarrolloTiempo de corrección: 30-90 min
Banner de consentimiento bloqueado por CSP
Actualice la Content Security Policy para permitir que el script CMP, los estilos o los recursos iframe carguen sin abrir innecesariamente la seguridad.
Cubre: cmp_blocked_by_csp, consent_banner_csp_error
- Confirme que desaparecen los errores CSP relacionados con assets CMP.
- Confirme que el banner se renderiza con normalidad y acepta interacción del usuario.
Gravedad: AltaResponsable: DesarrolloTiempo de corrección: 1-3 h
Problemas de consentimiento con GTM server-side
Alinee el enrutado de GTM server-side y la propagación del consentimiento para que el etiquetado del lado servidor no esquive el estado de consentimiento del visitante.
Cubre: ssgtm_consent_issue, server_side_gtm_before_consent
- Confirme que ningún evento opcional se proxifica a GTM server-side antes del consentimiento.
- Confirme que Accept activa el flujo previsto y que Reject lo mantiene en denied.