Multa de más de 2 millones de euros por usar casillas premarcadas y condicionar el consentimiento. Y no es la única. Veamos algunas multas de la AEPD, las guías y varias sentencias del TJUE.
Premarcar casillas o botones para que el usuario acepte algo sin darse cuenta está legalmente prohibido, perseguido y multado. Esta práctica vulnera el derecho de las personas a decidir libremente qué datos quieren compartir y con quién. Aun así, muchas empresas siguen configurando formularios para que el consentimiento venga activado por defecto, especialmente en contextos delicados como el marketing dirigido a menores, estudiantes o colectivos vulnerables.
1. ¿Por qué no se pueden premarcar casillas?
La normativa europea y española exige que el consentimiento sea libre, informado y voluntario. Eso significa que debe ser el propio usuario quien marque la casilla si quiere aceptar algo. No vale que venga marcada de antes, ni que se dé por hecho que acepta si no dice lo contrario.
Estas son las referencias clave que lo explican:
- RGPD, Considerando 32 “Las casillas ya marcadas o la inacción no deben constituir consentimiento”.
- LOPDGDD, Artículo 6 El consentimiento debe darse mediante una acción clara y afirmativa para cada finalidad.
- Guía para el cumplimiento del deber de informar – AEPD, epígrafe 7.3 “Deben evitarse prácticas tales como incorporar casillas pre-marcadas…”
- Guía sobre el uso de las cookies – AEPD, mayo 2024 “Debe recordarse que en ningún caso son admisibles las opciones premarcadas […] para obtener un consentimiento válido”.
2. ¿Qué dicen los tribunales europeos?
El Tribunal de Justicia de la Unión Europea (TJUE) ha consolidado esta interpretación en dos sentencias clave que refuerzan la ilegalidad de las casillas premarcadas:
- C‑61/19 (Orange România) No basta con que la casilla esté marcada en el contrato; debe ser el usuario quien la marque activamente.
- C‑673/17 (Planet49) El consentimiento no es válido si las casillas estaban premarcadas. El silencio o la inacción no pueden interpretarse como aceptación.
3. ¿Cuánto cuesta incumplir esta norma?
La Agencia Española de Protección de Datos ha sancionado reiteradamente el uso de casillas premarcadas, radio buttons configurados por defecto y patrones oscuros que inducen al usuario a consentir sin una acción clara. A continuación, se presenta una selección de resoluciones ordenadas por fecha:
- PS/00007/2025 Multa de 2.000 € por consentimientos inválidos obtenidos mediante casillas premarcadas.
- PS/00070/2025 Multa de 6.000 € a un colegio por utilizar un sistema de consentimiento por defecto, configurado como un radio button premarcado que obligaba al usuario a marcar una casilla para retirar la autorización.
- PS/00080/2023 Multa de 5.000 € por utilizar patrones oscuros en su web con 338 casillas premarcadas.
- PS/00204/2022 Multa de 20.000 € por presentar un formulario con casillas premarcadas.
- PS/00226/2020 2.100.000 € por usar casillas premarcadas y condicionar el consentimiento.
4. ¿Qué debe hacer tu empresa para cumplir?
Si tu empresa necesita pedir consentimiento —por ejemplo, para enviar publicidad, publicar fotos o contactar por WhatsApp— debe hacerlo de forma clara y activa. Cada finalidad debe tener su propia casilla, sin estar marcada por defecto. El usuario debe poder decidir libremente y sin presiones.
Evita los formularios que inducen al error, los botones que ya vienen activados o los textos que mezclan varias finalidades en una sola casilla. Además de ser ilegal, es una mala práctica que daña la confianza del usuario.
5. Anexo
En 2018 planteé a la AEPD una consulta sobre si se podía premarcar el consentimiento o inferir que de la inacción se otorgaba, a lo que la Agencia respondió que con la entrada en vigor del RGPD esa opción quedaba expresamente descartada. Aquí el documento de respuesta:
Pablo Fdez. Burgueño 