PECR compliant: cómo cumplir Privacy and Electronic Communications Regulations en tu web

Q: ¿Puedo usar un cookie wall?

Los 'cookie walls' suelen ser problemáticos y no se consideran consentimiento libre en muchos casos; se recomienda evaluar legalidad y riesgos antes de implementarlos.

Q: ¿Necesito consentimiento para Google Analytics?

Sí, normalmente. A menos que la configuración garantice anonimización y no implique tratamiento de datos personales, y siempre documentando la base y configuración.

Si tu sitio web atiende a usuarios del Reino Unido o realizas marketing electrónico dirigido al mercado británico, debes conocer y cumplir con PECR (Privacy and Electronic Communications Regulations). PECR regula cookies, comunicaciones electrónicas y marketing directo —y funciona junto al GDPR para proteger la privacidad online.

Esta guía práctica te da los pasos clave, ejemplos de textos y una checklist lista para usar en tu sitio.

¿Qué es PECR?

PECR (Privacy and Electronic Communications Regulations) es la normativa del Reino Unido que complementa el GDPR. Se centra en la confidencialidad de las comunicaciones electrónicas, el uso de cookies y el marketing directo (email, SMS, llamadas automáticas).

¿Qué cubre PECR?

Cookies y tecnologías similares: exige información clara y, salvo excepciones, consentimiento previo para cookies no esenciales.
Marketing electrónico: reglas para enviar emails, SMS y mensajes de marketing; exige bases legales y en muchos casos consentimiento.
Confidencialidad: obligaciones para proveedores de redes respecto al contenido de las comunicaciones.

Requisitos prácticos (lo que debes implementar)

Aviso claro de cookies: describir qué cookies se usan, finalidad y duración.
Consentimiento previo y granular: activa cookies de analítica o publicidad solo tras consentimiento afirmativo.
Opciones simétricas: facilitar aceptar, rechazar o configurar con la misma facilidad.
Registro de consentimientos: guardar prueba del consentimiento y la versión mostrada al usuario.
Revisión de terceros: controlar pixels y etiquetas externas; solo cargarlos si el usuario ha consentido.

Cookies: cuándo pedir consentimiento y ejemplos

Las cookies estrictamente necesarias (por ejemplo, mantener una sesión de compra) no requieren consentimiento. Todas las demás (analítica, personalización, publicidad) sí. Debes ofrecer una política de cookies accesible y un gestor de consentimiento (CMP) que permita selección granular.

Texto de ejemplo para banner (modelo breve)

 Usamos cookies para mejorar tu experiencia y ofrecer contenidos personalizados. Algunas cookies son necesarias; otras requieren tu consentimiento. [Configurar cookies] [Rechazar todas] [Aceptar todas]

Nota: el botón \"Rechazar\" debe impedir la carga de cookies no esenciales sin perjudicar funciones básicas indispensables.

Marketing electrónico y la excepción \"soft opt-in\"

PECR impone condiciones estrictas para el marketing por email y SMS. La excepción llamada soft opt-in permite enviar comunicaciones comerciales a clientes existentes si:

los mensajes son sobre productos/servicios similares a los contratados;
al recopilar los datos informaste claramente y diste la opción de oponerse;
proporcionas un método sencillo para darse de baja en cada comunicación.

Tabla: GDPR vs PECR (resumen)

Aspecto	GDPR	PECR
Ámbito	Protección de datos personales y derechos de los individuos	Comunicaciones electrónicas, cookies y marketing directo
Base legal	Consentimiento, interés legítimo y otras bases	Consentimiento para cookies no esenciales; reglas específicas para marketing
Cookies	Se aplica cuando implican datos personales	Exige consentimiento específico para cookies no esenciales
Sanciones	Multas altas bajo GDPR	Multas y acciones por incumplimiento de PECR; cumplimiento conjunto con ICO

Checklist rápido para implementar ya

Instala un gestor de consentimiento (CMP) con consentimiento granular.
Publica una política de cookies clara y accesible desde el pie de página.
Bloquea scripts de terceros hasta obtener consentimiento.
Registra y almacena pruebas de consentimiento (timestamp, versión de texto, IP si procede).
Añade mecanismos de opt-out claros en todas las comunicaciones de marketing.
Revisa integraciones y plugins que puedan setear cookies (analytics, chat, tags).

Preguntas frecuentes

¿PECR es lo mismo que GDPR?

No. Son normas complementarias: GDPR regula el tratamiento de datos personales; PECR regula comunicaciones electrónicas y el uso de cookies. En muchas situaciones ambas se aplican simultáneamente.

¿Puedo usar un cookie wall?

Los \"cookie walls\" (bloquear acceso si el usuario no acepta cookies) son controvertidos y, normalmente, no se consideran consentimiento libre. Evaluar legalidad y riesgo según contexto y asesoría legal.

¿Necesito consentimiento para Google Analytics?

Sí, salvo que configures la herramienta para anonimizar y no traspasar datos personales y tu CMP permita optar por analítica anónima —aun así, siempre documenta la decisión y la configuración.

Conclusión

Ser PECR compliant exige más que colocar un banner bonito: requiere controles técnicos (bloqueo de scripts), políticas claras, y registro de consentimientos. Si tienes usuarios en Reino Unido, prioriza la implementación de un CMP, revisa terceros y adapta tus procesos de marketing.

¿Quieres que te entregue el script HTML+JS de un banner de consentimiento, la política de cookies lista para pegar o la checklist en formato CSV? Indica cuál y lo preparo.

Cómo ser PECR compliant: guía práctica para websites y marketing electrónico