API del navegador
navigator.consent es una API ligera y neutral, como navigator.geolocation. Los CMPs declaran sus proveedores y finalidades en datos estructurados. Se acabó el rastreo opaco: cada actor revela qué procesa y por qué.
Interoperabilidad sin centralización
La fatiga del consentimiento es real, y la regulación contribuyó a crearla. La Directiva Ómnibus Digital quiere solucionarla, pero el remedio propuesto corre el riesgo de concentrar el poder en un puñado de proveedores de navegadores que preferirían no tenerlo. Existe una tercera vía: una capa de interoperabilidad abierta donde cada actor muestra sus cartas y los usuarios eligen quién actúa en su nombre.
Fatiga del consentimiento
334 millones de horas/año. ITP borra las cookies de consentimiento, los webviews empiezan desde cero, y los banners reaparecen constantemente. Las empresas que dependen del consentimiento por cookies presionan hacia diseños manipuladores (patrones oscuros, habituación, culpabilización).
Privacidad del usuario
Depende enteramente del CMP. Los buenos ofrecen una elección real; los malos usan patrones oscuros para dirigir a los usuarios hacia «Aceptar todo». Las extensiones o técnicas orientadas a la privacidad, como ATT o ITP, empujan a los proveedores hacia el rastreo del lado del servidor y no divulgado.
Sostenibilidad de la web abierta
Los editores pueden operar con consentimiento informado. El modelo funciona, aunque de forma desigual.
Especificidad del consentimiento
Los buenos CMPs ofrecen elecciones por proveedor y por finalidad. Los malos presentan un muro de texto y un gran botón. La escala del rastreo es a veces tan grande que resulta abrumadora.
Auditabilidad
Los reguladores deben inspeccionar los registros propietarios de cada CMP individualmente.
Distribución del poder
Equilibrio frágil entre las autoridades de protección de datos, los CMPs, las asociaciones profesionales (IAB TCF) y los activistas de la privacidad.
Calidad desigual. Los buenos CMPs ofrecen elección granular, los malos usan patrones oscuros. Los usuarios no pueden elegir qué CMP utiliza un sitio. El almacenamiento del consentimiento es frágil.
Una alternativa competitiva: tres capas
Esta arquitectura se apoya en la base de GPC y añade la granularidad que el GDPR exige: coordinación del consentimiento estructurada, legible por máquina y auditable en tres capas.
El esfuerzo de integración recae en tres proveedores de navegadores que ya gestionan APIs web complejas a diario. Para los usuarios, nada cambia: simplemente pueden adoptar un asistente de consentimiento para reducir su exposición a los banners. Para las empresas, el CMP sigue orquestando el consentimiento; algunos visitantes llegarán con sus preferencias ya configuradas. Para los legisladores, el discurso es tangible: instale un asistente, y los banners de cookies desaparecen. Este modelo encaja además con la cartera de identidad digital europea: un agente personal que lleva sus preferencias verificadas de un servicio a otro.
Extensiones de asistentes de consentimiento
Los usuarios eligen un asistente de consentimiento desde una pantalla de selección (como la elección de motor de búsqueda del DMA). Extensiones como Consent-o-matic, SuperAgent y Taste utilizan la API para aplicar preferencias de forma granular. Esto crea un mercado europeo competitivo de innovación en privacidad.
CMPs como la capa de cumplimiento
Los CMPs siguen siendo responsables de la información contextual, los registros de auditoría, las instrucciones por proveedor y el cumplimiento normativo. El asistente se comunica con el CMP, no eludiendo al CMP. Una señal del navegador por sí sola no puede cumplir estas funciones.
Los cuatro modelos sitúan el consentimiento a nivel de navegador. La diferencia es quién controla la experiencia.
Los navegadores ya son servicios de plataforma básicos
El Digital Markets Act califica los navegadores web como servicios de plataforma básicos (Considerando 14). En septiembre de 2023, la Comisión Europea designó Google Chrome y Safari como servicios de plataforma básicos proporcionados por guardianes de acceso. La Unión ya reconoce que estos navegadores son puntos de acceso principales a través de los cuales los usuarios profesionales llegan a los usuarios finales, lo que justifica su regulación en nombre de la disputabilidad y la equidad.
La capa de consentimiento se sitúa directamente sobre estos servicios de plataforma básicos designados. Si un proveedor de navegador centralizara o impusiera un modelo de consentimiento único, ejercería un control directo sobre una condición de acceso al mercado digital. El consentimiento no es una funcionalidad periférica: es la puerta de entrada a través de la cual comienza toda relación de tratamiento de datos.
Las plataformas de gestión del consentimiento son la extensión técnica de los requisitos derivados de la Directiva ePrivacy y del GDPR. Del mismo modo,
navigator.consent puede entenderse como la extensión técnica de los principios de interoperabilidad y disputabilidad consagrados en el DMA.Este enfoque es relevante para el Artículo 88b. En lugar de crear un nuevo régimen de consentimiento que concentre el poder en los guardianes de acceso designados, la Directiva Ómnibus debería construir sobre lo que el DMA ya establece: que los navegadores son infraestructura crítica que requiere interfaces abiertas, pluralistas y no capturables. navigator.consent organiza precisamente esto: una capa de coordinación neutral que garantiza que la experiencia del consentimiento siga siendo disputable incluso a nivel de navegador.
Un riesgo estructural que nadie desea
El Artículo 88b(6) pide a los proveedores de navegadores que integren la gestión del consentimiento en sus productos. La intención es buena, pero la arquitectura crea riesgos de concentración difíciles de revertir, y que los propios proveedores de navegadores preferirían evitar.
El diseño del consentimiento determina los resultados
Quien diseña la interfaz de consentimiento influye en el resultado. Con cuatro proveedores de navegadores diseñando la experiencia para todos los usuarios de la UE, un pequeño número de decisiones de diseño determinaría las tasas de consentimiento en toda la internet europea.
Las señales globales no cumplen con la especificidad del GDPR
Un botón de «aceptar/rechazar rastreo» a nivel de navegador no puede satisfacer el Artículo 4(11), que requiere que el consentimiento sea específico e informado, vinculado a finalidades y responsables de tratamiento particulares. Un usuario que confía en la analítica de su banco no tiene razón para aplicar la misma preferencia a una red publicitaria desconocida.
La web abierta pierde desproporcionadamente
Las plataformas con usuarios registrados retienen datos de primera parte independientemente de cualquier señal. Los editores independientes, el SaaS europeo, el comercio electrónico y los proveedores de analítica que dependen del consentimiento informado y específico soportan toda la carga.
Los proveedores de navegadores heredan una responsabilidad no deseada
Construir una experiencia de usuario de consentimiento implica tomar decisiones de diseño que afectan a los resultados de cumplimiento. Los proveedores de navegadores preferirían ofrecer infraestructura neutral, no convertirse en guardianes del consentimiento con exposición regulatoria.
Los webviews siguen siendo un punto ciego
El propio mecanismo de la Directiva Ómnibus — señales a nivel de navegador — falla en los navegadores integrados en aplicaciones, donde las extensiones no se ejecutan. La mayor fuente de fatiga del consentimiento queda intacta con la solución propuesta.
De señal binaria a consentimiento granular
Global Privacy Control demostró que las señales de privacidad a nivel de navegador pueden funcionar a escala: más de 150 millones de usuarios, respaldo legal en California y una especificación del W3C. AB 566 (firmada en octubre de 2025) requiere que todos los principales navegadores incluyan GPC integrado para el 1 de enero de 2027. Es un logro importante.
GPC es una señal binaria de exclusión: «no vendan ni compartan mis datos». Esto encaja bien con el marco de exclusión de la CCPA. Sin embargo, el GDPR requiere que el consentimiento sea «libre, específico, informado e inequívoco» (Artículo 4(11)), lo que exige una granularidad por finalidad y por proveedor que un solo bit no puede expresar.
Si el estándar europeo de señales replica un modelo binario, el resultado es un único interruptor aplicado de forma uniforme a todos los sitios y proveedores. Los editores, el comercio electrónico y las empresas SaaS no tendrían forma de distinguir entre un usuario que rechaza el retargeting y otro que acepta la analítica funcional.
La oportunidad es construir sobre la base de GPC. GPC establece el umbral de exclusión; navigator.consent añade por encima un canal de consentimiento estructurado y específico por finalidad. El proceso de normalización de la UE en virtud del Artículo 88b(4) puede apoyarse en ambos: una señal de base sencilla y una capa de coordinación granular para el consentimiento informado.
Para reguladores Auditabilidad integrada
Sin una capa de interoperabilidad estructurada, la respuesta racional de la industria a la presión del consentimiento es volverse opaca: rastreo del lado del servidor, fingerprinting, identificadores determinísticos, contenido restringido. navigator.consent invierte ese incentivo: si declara proveedores y finalidades a través de un canal estructurado, la aplicación se hace posible.
| registrationId | reg_a1b2c3 |
| provenance | cmp |
| status | Activo |
| finalidades | 3 |
| proveedores | 3 |
Finalidades
| Finalidad | Base legal | Consentimiento | Establecido por |
|---|---|---|---|
| Analytics | legitimate_interest | granted | privacy_assistant |
| Advertising | consent | denied | user |
| Functional | legitimate_interest | granted | cmp |
Proveedores
| Nombre | Dominio | Finalidades | Consentimiento | Establecido por |
|---|---|---|---|---|
| Analytics Co | analytics.example | analytics | granted | privacy_assistant |
| AdNetwork | ads.example | analytics, advertising | denied | user |
| Social Widget | social.example | functional | pending | — |
Registro de auditoría con marcas de tiempo
Cada mutación de consentimiento se registra con procedencia y marcas de tiempo. Los reguladores pueden ver exactamente qué se estableció, por quién y cuándo, sin depender únicamente de los informes del propio CMP.
Atribución de procedencia
La API registra si una preferencia fue establecida por el usuario, un asistente de consentimiento o el CMP. Las elecciones del usuario siempre tienen prioridad. Ningún actor puede anular silenciosamente a otro.
Sin esto, el rastreo se oculta
El rastreo del lado del servidor, el fingerprinting y los identificadores determinísticos son invisibles para las herramientas de aplicación actuales. Una API estructurada devuelve las declaraciones de tratamiento de datos a la luz donde los reguladores pueden verificarlas.
Medidas de ciberseguridad
Las autoridades de protección de datos son responsables de garantizar que los asistentes de consentimiento cumplan con el GDPR y ePrivacy: exactamente como ya supervisan a los CMPs. No se trata de un nuevo mecanismo regulador, sino de la extensión de poderes de supervisión existentes a una nueva categoría de actor.
Para los riesgos ciber como la suplantación de datos o la corrupción del espacio del usuario, las tiendas de extensiones de navegador ya imponen revisiones de seguridad, firma de código y declaraciones de permisos antes de que cualquier extensión llegue a los usuarios. Estos controles ya están en vigor y se aplican a los asistentes de consentimiento de forma inmediata.
Una disposición específica en el Artículo 88b podría ir más allá: exigir una verificación más estricta para las extensiones que manejan datos de consentimiento, más allá de las políticas generales de las tiendas. Esto daría a las autoridades de supervisión una palanca adicional sin necesidad de crear un marco de supervisión completamente nuevo.
Normalización de señales: interoperabilidad, no uniformidad
El Artículo 88b(4) encarga a las organizaciones europeas de normalización la elaboración de estándares para señales de consentimiento legibles por máquina. Es la dirección correcta, pero el estándar debe preservar la especificidad que hace que el consentimiento sea significativo bajo el GDPR.
Una señal de consentimiento debe admitir decisiones granulares, específicas por finalidad y por proveedor. El modelo binario de GPC fue diseñado para la exclusión de la CCPA, no para el consentimiento del GDPR. El estándar europeo debería ir más allá, admitiendo señales contextuales que distingan entre finalidades y proveedores.
Los proveedores de CMP deben participar en el proceso de normalización. Combinan un profundo conocimiento jurídico con experiencia técnica práctica en la recogida y señalización del consentimiento. También se recomienda cautela respecto al IAB Transparency and Consent Framework como modelo: cubre la publicidad de editores, pero no es adecuado para comercio electrónico, SaaS, páginas de destino y la mayoría de otros servicios en línea.
La fatiga del consentimiento tiene raíces técnicas que la regulación no aborda
La Comisión Europea estima que los ciudadanos de la UE dedican 334 millones de horas al año a los banners de cookies. Pero las causas raíz son técnicas, no inherentes al consentimiento en sí, y la Directiva Ómnibus Digital las deja intactas.
Protección contra rastreo del navegador
El ITP de Safari limita las cookies del lado del cliente a 7 días. El ETP de Firefox aplica restricciones similares. Como la mayoría de los CMPs almacenan el consentimiento con document.cookie, sus elecciones se borran silenciosamente y el banner vuelve a aparecer como si nunca hubiera decidido.
Navegadores integrados en aplicaciones
Una proporción creciente de la navegación móvil ocurre dentro de aplicaciones (Instagram, LinkedIn, aplicaciones de noticias). Estos webviews aislados no pueden acceder al consentimiento almacenado en el navegador principal. Cada visita parece un usuario nuevo, y la Directiva Ómnibus guarda silencio al respecto.
Patrones oscuros
Un estudio de 2025 descubrió que el 38 % de los banners conformes con el GDPR siguen utilizando manipulación estética: botones de «Aceptar» resaltados, opciones de rechazo ocultas. La solución es mejorar la calidad de los CMPs y su aplicación, no eliminar los CMPs.
La exención de medios socava el marco
El Considerando 46 exime a los proveedores de servicios de medios de respetar las señales de consentimiento legibles por máquina. Pero los sitios de medios son donde la fatiga del consentimiento es más aguda: los sitios de noticias cargan decenas de proveedores publicitarios, presentan las interfaces de consentimiento más complejas y despliegan muros de cookies seguidos de muros de pago. Eximirlos significa que la Directiva Ómnibus Digital reduciría la fricción donde ya es baja y la mantendría donde es más alta.
Lo que pedimos al Parlamento
Abrir el consentimiento del navegador a extensiones de terceros
Enmendar el Artículo 88b(6) para exigir que los mecanismos de consentimiento a nivel de navegador estén abiertos a extensiones independientes de asistentes de consentimiento de terceros, no limitados a la funcionalidad integrada de los proveedores de navegadores. Chrome y Safari ya son servicios de plataforma básicos designados en virtud del DMA. Abrir el consentimiento a extensiones competidoras es coherente con las obligaciones de disputabilidad que estos guardianes de acceso ya afrontan. Considerar la imposición de una pantalla de elección para asistentes de consentimiento, como se hizo para los motores de búsqueda.
Garantizar la participación de los CMPs en la normalización de señales
Incluir a representantes de la industria de CMPs en el proceso de normalización en virtud del Artículo 88b(4). Especificar que el estándar debe admitir consentimiento granular, específico por finalidad y por proveedor, no señales globales.
Exigir señales granulares, no exclusión masiva
Construir sobre el éxito de GPC: adoptar su base de exclusión y ampliarla con señales de consentimiento específicas por finalidad y por proveedor que satisfagan el requisito de especificidad del GDPR. El estándar debe admitir decisiones contextuales que varíen según el sitio, el proveedor y la finalidad.
Restringir la exención de medios
Evitar que el Considerando 46 se convierta en una laguna que exima al sector con mayor carga de consentimiento del mecanismo central del marco. Cualquier exención debe estar estrictamente delimitada.
Abordar las causas técnicas raíz de la fatiga del consentimiento
Investigar la protección contra rastreo del navegador (ITP, ETP) y el aislamiento de webviews como factores estructurales de las solicitudes repetidas. Estos factores técnicos — no la existencia de los CMPs — son la causa principal de las 334 millones de horas que cita la Comisión.
Referencias
Estas referencias se refieren a la propuesta de Directiva Ómnibus Digital (COM(2025)0837) y no deben considerarse legislación definitiva.
- EU Digital Omnibus regulation proposal
- Official proposal text (CELEX 52025PC0837)
- European Parliament legislative tracking
- California Opt Me Out Act (AB 566), CPPA announcement
- Global Privacy Control, W3C Working Draft
- CMA investigation into Google Privacy Sandbox
- Autorité de la concurrence — Apple ATT fine
- Digital Markets Act (Regulation (EU) 2022/1925)
- European Commission — DMA designated gatekeepers