Banner de cookies que cumple la Ley 21.719 (y bloquea scripts de verdad)
Un banner que muestra el aviso pero deja correr los scripts no cumple la Ley 21.719. Así gestiona DPOLab el consentimiento del Art. 12: bloqueo real de tags, cadena de integridad y política de cookies generada desde el CMP.
Casi todos los sitios chilenos ya tienen un banner de cookies. El problema es que la mayoría solo se ve bien: muestra el aviso, el usuario hace clic en “Aceptar” o ni siquiera, y mientras tanto los scripts de analítica, marketing y píxeles de terceros llevan rato ejecutándose. Para la Ley 21.719, eso no es consentimiento: es un cartel decorativo encima de un tratamiento que ya ocurrió.
El Art. 12 es claro: el consentimiento debe ser libre, informado, específico e inequívoco, y además revocable. Un banner que carga las cookies antes de que el titular decida incumple las cuatro condiciones a la vez. Y cuando la APDP —o un titular— pida evidencia del consentimiento otorgado bajo una versión concreta del aviso, el banner cosmético no tiene nada que mostrar.
Por qué el banner cosmético no te defiende
La trampa es sutil porque “aparenta” cumplimiento. El aviso está, alguien lo configuró, se ve profesional. Pero si abres las herramientas de desarrollador y ves que Google Analytics o el píxel de Meta ya hicieron su request antes del clic, no hay base de licitud: trataste datos sin consentimiento válido. Es la diferencia entre informar que usas cookies y condicionar su uso a la decisión del titular.
Hacer esto bien no es cuestión de copy: requiere que el banner controle de verdad qué se ejecuta y cuándo, y que deje rastro de cada elección.
1 — Bloqueo real de scripts, no cosmético
El SDK de consentimiento de DPOLab —en su versión vanilla JS y en el paquete React— intercepta la carga de los scripts de terceros hasta que el titular consiente. El tag de analítica, de marketing o el píxel simplemente no se ejecuta mientras no haya una decisión. No es ocultar el banner ni “pedir perdón después”: es que el tratamiento no empieza sin base legal.
2 — Cada consentimiento queda con evidencia verificable
Bloquear no basta: hay que poder demostrar qué consintió cada persona y bajo qué versión del aviso. Cada registro de DPOLab incluye el hash del registro anterior, formando una cadena criptográficamente verificable. Si alguien alterara un registro a posteriori, la cadena se rompe y es detectable.
Eso convierte el “¿puedes probar que obtuviste el consentimiento?” de una fiscalización en una respuesta concreta, con fecha, propósitos elegidos y trazabilidad, en lugar de un acto de fe.
3 — Propósitos por dominio, no un interruptor único
El consentimiento del Art. 12 debe ser específico: no es lo mismo aceptar analítica que aceptar marketing. DPOLab te deja definir propósitos y categorías por dominio, de modo que un sitio web, una app y un portal de pacientes tengan cada uno su configuración. El titular acepta o rechaza por propósito, y eso queda registrado tal cual.
Cuando el titular cambia de opinión, la revocación es parte del mismo flujo: el Art. 12 reconoce el consentimiento como revocable, y DPOLab lo trata como una acción de primera clase, no como un laberinto de menús.
4 — La política de cookies se genera desde el mismo CMP
El último eslabón suele delatar a las empresas: una política de cookies copiada de otro sitio que enlista herramientas que no usas —o que omite las que sí cargas—. La política de cookies de DPOLab se genera a partir de los propósitos definidos en el CMP, y un scanner revisa tu sitio para detectar cookies y píxeles realmente cargados, marcando discrepancias con lo declarado.
Así el banner, el registro de consentimiento y la política de cookies cuentan la misma historia, que es justamente lo que un fiscalizador revisa: coherencia entre lo que dices, lo que haces y lo que puedes probar.
Lo que ganas
Un banner que cumple la Ley 21.719 no es el que mejor se ve, sino el que:
- Bloquea los scripts de verdad, de modo que no haya tratamiento sin consentimiento.
- Deja evidencia verificable de cada decisión, con cadena de integridad.
- Es específico por propósito y por dominio, y permite revocar con la misma facilidad.
- Mantiene la política de cookies fiel a lo que tu sitio realmente carga.
Es pasar de parecer que cumples a poder demostrarlo.
Si quieres ver cómo se vería el consentimiento en tu propio sitio, agenda un diagnóstico o pide una prueba. Y si prefieres acompañamiento para configurar el banner y la política de privacidad asociada, el equipo de Codevsys ofrece la implementación guiada.