Publicidad digital y privacidad: lo que las cookies revelan (y la ley aún no regula del todo)
La nueva frontera del marketing digital
La evolución del ecosistema digital está redefiniendo la forma en que las empresas personalizan la experiencia del usuario.
La eliminación gradual de las cookies de terceros —ya aplicada por navegadores como Safari y Firefox, e iniciada por Google Chrome mediante su proyecto Privacy Sandbox— marca un punto de inflexión en la publicidad digital.
Aunque el proceso ha enfrentado ajustes y retrasos, la tendencia global es clara: reducir el rastreo entre sitios y promover modelos de publicidad más respetuosos de la privacidad.
Esta transición responde tanto a presiones regulatorias y sociales como a la creciente demanda de los usuarios por mayor control sobre sus datos personales.
Qué datos revelan las cookies
Lejos de ser simples archivos técnicos, las cookies permiten identificar o perfilar a los usuarios. Entre los datos que comúnmente recaban se encuentran:
- Identificadores únicos: Cookie ID, Device ID, Advertising ID
- Dirección IP y geolocalización
- Historial de navegación y preferencias de idioma
- Información de sesión o autenticación
- Datos inferidos: intereses, hábitos de consumo o tiempo de conexión
En conjunto, estos elementos permiten trazar patrones de comportamiento y, por tanto, pueden constituir datos personales conforme a la legislación mexicana y los estándares internacionales.
El marco jurídico mexicano: limitado, pero vigente
Si bien México carece de lineamientos específicos sobre cookies, sí existen disposiciones aplicables a las tecnologías de rastreo.
El marco actual se basa en tres fuentes principales:
En síntesis: la legislación mexicana reconoce el fenómeno, pero no regula con detalle sus implicaciones técnicas.
Fuente | Contenido esencial | Alcance |
Reglamento de la LFPDPPP (art. 14, último párrafo) | Obliga a informar sobre tecnologías automáticas que recaben datos personales y cómo deshabilitarlas. | Deber general de transparencia. |
Lineamientos del Aviso de Privacidad (Lineamiento Trigésimo Primero) | Reitera la obligación de informar el uso de tecnologías automáticas, aunque no menciona “cookies” de forma expresa. | Complementa el deber del Reglamento. |
Consulta INAI DGNC/131/2024 | Confirma que las cookies pueden constituir datos personales si permiten identificar directa o indirectamente al usuario. | Refuerza la aplicabilidad de la LFPDPPP. |
Buenas prácticas internacionales
Ante la ausencia de criterios locales actualizados, la Guía sobre el uso de cookies (AEPD, 2023) ofrece referencias útiles de autorregulación para el mercado mexicano.
Aunque no son normas obligatorias, reflejan estándares consolidados en materia de consentimiento y transparencia.
Entre las prácticas recomendables destacan:
- Consentimiento activo: “seguir navegando” no equivale a aceptar.
- Información por capas: una primera capa visible (Aceptar, Rechazar, Configurar) y una segunda con la política de cookies completa.
- Distinción entre cookies técnicas y publicitarias.
- Panel de gestión (CMP): permite aceptar o rechazar por finalidad.
- Revisión periódica: actualización de cookies y avisos al menos cada 12 meses.
Estas medidas son compatibles con los principios de información, consentimiento y calidad de los datos previstos en el Reglamento mexicano.
Riesgos y desafíos
El uso inadecuado de cookies puede derivar en:
- Robo de sesión (session hijacking) o suplantación de identidad.
- Rastreo cruzado entre sitios (cross-site tracking) sin consentimiento.
- Reidentificación mediante combinaciones de identificadores.
El riesgo no proviene de la cookie en sí, sino del ecosistema de tratamiento que la rodea: la forma en que se recopilan, comparten y almacenan los datos.
Hacia un entorno cookieless: privacidad y oportunidad
El tránsito hacia un modelo sin cookies de terceros no elimina la necesidad de transparencia: la refuerza.
Las empresas deberán adaptarse a enfoques basados en:
- Datos de primera parte (first-party data)
- Segmentación contextual y análisis local (on-device)
- Consentimiento trazable y granular
El cumplimiento proactivo se convertirá en una ventaja competitiva, no solo en un requisito legal.
Conclusión
En ECIJA México, desde el Área de Compliance y Protección de Datos Personales, impulsamos un enfoque que combine innovación, ética y responsabilidad jurídica. El desafío no es solo cumplir con la ley, sino anticiparse a la regulación, adoptando estándares que fortalezcan la confianza digital y la reputación corporativa.
Artículo escrito por Berenice Sagaón Falcón, en colaboración con Andrea Chávez.
