Directiva Ómnibus Digital de la UE
El artículo 7a de la propuesta de Directiva Ómnibus introduce requisitos de interoperabilidad para el software de gestión del consentimiento, una señal legislativa de que esta capa de coordinación es necesaria.
El consentimiento en línea no funciona,
pero tiene solución
La gestión granular del consentimiento para el tratamiento de datos personales es un derecho humano fundamental. Protege la autonomía humana frente al determinismo digital, preserva la capacidad de las empresas de todo el mundo para construir de forma respetuosa sobre los datos y ayuda a la web abierta a resistir la platformización.
Sin embargo, el consentimiento en línea está fallando. Los usuarios están enterrados bajo cientos de proveedores envueltos en jerga jurídica que nunca pidieron leer. Los navegadores borran el almacenamiento del consentimiento en nombre de la privacidad, obligando a los mismos banners a reaparecer cada siete días. El resultado: indiferencia, desconfianza y hartazgo.
Muchos desarrolladores han respondido creando asistentes de consentimiento, empoderando a los usuarios con sistemas que gestionan esta complejidad a escala. Pero la heterogeneidad de la gestión del consentimiento en línea, combinada con estándares y regulaciones cambiantes, hace este trabajo frágil y propenso a romperse.
Existe un camino que reconcilia a usuarios y empresas, plataformas de gestión del consentimiento y asistentes de consentimiento. Ese camino es la interoperabilidad, y los navegadores pueden convertirse en esta capa de interoperabilidad. navigator.consent es esa capa.
La API
Cómo funciona
Una capa de transporte ligera. Los CMPs mantienen el control total sobre el cumplimiento. Los asistentes de consentimiento obtienen metadatos estructurados en lugar de hacer scraping.
El ecosistema
Una especificación de navegador que beneficia a todos
Usuarios finales
Usted elige un asistente de consentimiento de su confianza y este lleva sus preferencias a todas partes. Usted sigue controlando la granularidad: qué datos, qué proveedores, qué finalidades y con qué frecuencia.
Más información →Asistentes de consentimiento
Lean finalidades, proveedores y estado del consentimiento de cualquier CMP. Sin scraping. Sin cambios incompatibles. Encaje producto-mercado.
Más información →Plataformas de consentimiento
Posiciona al CMP como una capa de cumplimiento de confianza, exponiendo configuraciones de consentimiento legibles por humanos y por máquinas que hacen la integración predecible.
Más información →Proveedores de navegadores
Sin responsabilidad sobre el diseño de la interfaz de consentimiento. El CMP es el propietario de la interfaz; el navegador solo proporciona la infraestructura.
Más información →Legisladores
Un estándar descentralizado que ofrece interoperabilidad sin dependencia de plataforma.
Más información →ApoyoApoyan
Apoyan navigator.consent
“This specification, even if it looks somewhat technical, can profoundly change the daily lives of millions of people”
“This specification provides a very important clarification of what the EC's draft in Art. 88b Digital Omnibus means when it states that "browsers (...) shall provide the technical means to allow data subjects to give their consent".
This sentence does not mean that browser providers themselves provide consent management services. That would be like putting the fox in charge of the henhouse, as Apple's ATT impressively demonstrates.
Art. 88b Digital Omnibus rather means that browsers enable the technical interface for seamless communication between consent agents (of other providers than browsers) and the digital services that request consent.
This specification therefore clarifies what this technical interface of browsers must look like so that end users and digital services can finally establish user-friendly consent processes”
“Rewarded Interest believes the historical model of confronting consumers with cookie banners is broken – there doesn't need to be a tradeoff between usability and privacy. Consumers deserve both.”
“We always wanted to make consent very simple. This specification would help us simplify it even more.”
“This browser spec can be a game changer for Taste, and other assistants.”
“Super Agent has been applying user consent preferences at scale for years, through scraping, reverse-engineering, and constant maintenance as CMPs shift under our feet. navigator.consent is the substrate that makes this sustainable: a structured contract between assistants and platforms that eliminates fragility without centralizing control.”
“It's absolutely the right path.”
“A very promising initiative.
A standardized browser consent API could give users a much more effective way to manage their preferences, while dramatically reducing the endless stream of consent pop-ups across the web. A clear step toward a more user-centric and less frustrating privacy experience.”
“This initiative would help Privacy Badger empower users to more easily express their consent preferences.”
Plataformas de consentimiento
Asistentes de consentimiento
Empresas
¿Por qué ahora?
Más de 150 millones de usuarios con GPC
Global Privacy Control ha demostrado que las señales de privacidad a nivel de navegador funcionan a escala. La infraestructura y el interés de los usuarios existen. Lo que falta es una interoperabilidad estructurada del consentimiento.
Investigación académica
Investigadores de la Universidad de Aarhus, la Universidad Ruhr de Bochum y otras instituciones han documentado la fragilidad del scraping actual de CMPs, validando la necesidad de un contrato de API estable.
Preguntas frecuentes
¿Qué es navigator.consent?
Una propuesta de API de navegador que actúa como una capa de coordinación neutral entre las plataformas de gestión del consentimiento (CMPs) y las extensiones de asistentes de consentimiento. Ofrece a ambas partes una interfaz compartida y estructurada en lugar de obligar a las extensiones a hacer ingeniería inversa del DOM de cada CMP.
¿En qué se diferencia de Global Privacy Control?
GPC demostró que las señales de privacidad a nivel de navegador funcionan a escala. Envía una preferencia binaria de exclusión a cada sitio que el usuario visita. navigator.consent añade por encima una capa estructurada de consentimiento por proveedor y por finalidad. La investigación con usuarios muestra consistentemente que las personas toman decisiones contextuales, no de exclusión o inclusión uniforme. Ambos son complementarios: GPC como base, navigator.consent para la granularidad.
¿Cómo encaja el Transparency and Consent Framework de la IAB en este modelo?
El TCF ya funciona con finalidades, proveedores, bases jurídicas y regulaciones; con GPP, aún más. Sus componentes técnicos (el stub __tcfapi y la TC String) están diseñados para la interoperabilidad con el ecosistema publicitario, no con el navegador. Decodificar una TC String y llamar a los métodos de registro de navigator.consent es sencillo. La API no reemplaza al TCF: le ofrece una interfaz legible por el navegador. También cubre lo que el TCF no cubre: comandos imperativos para establecer preferencias. El getTCData del TCF es solo de lectura; navigator.consent admite lectura y escritura.
¿Quién controla mis datos de consentimiento?
El CMP mantiene el control total sobre el almacenamiento del consentimiento, la lógica de cumplimiento y la señalización posterior. La API es una capa de transporte de lectura/escritura. Coordina, no anula.
¿Requiere que los proveedores de navegadores implementen algo?
Sí. Si la especificación se adopta, los proveedores de navegadores implementarían la API de forma nativa. Existe un polyfill en JavaScript para demostración y prototipado, pero el objetivo es una primitiva a nivel de navegador, no un shim en espacio de usuario.
¿Funciona en dispositivos móviles?
La API opera a nivel del navegador, por lo que funcionaría en cualquier navegador móvil que la implemente. Persisten dos obstáculos: los asistentes de consentimiento son actualmente extensiones de navegador, y las plataformas móviles restringen o prohíben las extensiones por completo. A esto se suman los webviews, los navegadores sandboxeados integrados en las aplicaciones, que también necesitarían acceso al contexto de extensión para que los asistentes puedan operar en ellos.
¿No añade complejidad cuando el objetivo es simplificar?
El esfuerzo de integración recae en tres proveedores de navegadores (Google, Apple, Microsoft) que ya gestionan APIs web complejas a diario. Para todos los demás, simplifica. Los usuarios siguen navegando como siempre, con la opción de adoptar un asistente de consentimiento para reducir su exposición a los banners. Las empresas mantienen su CMP; algunos visitantes llegarán con un asistente que entregará pruebas de consentimiento válidas de forma automática. Para los legisladores, el mensaje es tangible: instale un asistente y los banners de cookies desaparecen. Este modelo encaja además con el concepto de cartera de identidad digital europea: un agente personal que lleva sus preferencias verificadas de un servicio a otro.
¿Cuál es el impacto en el rendimiento?
Un asistente de consentimiento siempre responde más rápido que un humano. No interviene en cada página: solo cuando el usuario habría sido consultado. Dado que el almacenamiento y la duración del consentimiento siguen siendo responsabilidad del CMP, el asistente solo actúa cuando un humano habría tenido que tomar una decisión. El resultado neto son menos idas y vueltas de interfaz, no más.
¿Qué medidas de ciberseguridad existen para los asistentes de consentimiento?
Las autoridades de protección de datos son responsables de garantizar que los asistentes de consentimiento cumplan con el GDPR y ePrivacy, exactamente como supervisan a los CMPs hoy. Para los riesgos ciber (suplantación de datos, corrupción del espacio del usuario), las tiendas de extensiones de navegador ya imponen revisiones de seguridad, firma de código y declaraciones de permisos. Estos controles ya están en vigor. Una disposición específica en el Artículo 88b podría exigir una verificación más estricta para las extensiones que manejan datos de consentimiento, más allá de las políticas generales de las tiendas.
¿No impondrán las plataformas de navegadores su propio asistente de consentimiento?
Es una preocupación real de soberanía y competencia. Sin embargo, sigue siendo una concentración de poder menor que dejar que los navegadores gestionen el consentimiento directamente, que es la trayectoria actual del Ómnibus. Con una API abierta, las empresas europeas independientes pueden competir en calidad y confianza. Imponer una pantalla de elección para los asistentes de consentimiento (como se hizo para los motores de búsqueda bajo el DMA) garantizaría que los usuarios conozcan las alternativas. Defendemos la libre competencia y creemos que los asistentes independientes y especializados pueden ofrecer un servicio mejor que una solución integrada por defecto en el navegador.
¿Qué ocurre si no hay ningún asistente de consentimiento instalado?
Nada cambia. El CMP funciona exactamente como hoy: muestra su banner, recoge las decisiones y almacena el consentimiento. La API es puramente aditiva. Ofrece a los CMP un canal estructurado para publicar metadatos y recibir preferencias, pero si ningún asistente está escuchando, el CMP mantiene el control total. Ninguna experiencia de usuario se degrada.
¿Puede un asistente de consentimiento modificar mis decisiones sin que yo lo sepa?
La API impone un sistema de procedencia: las preferencias establecidas directamente por el usuario siempre prevalecen sobre las de un asistente. Cada mutación queda registrada con su origen y marca temporal, y los usuarios avanzados pueden inspeccionar la pista de auditoría completa. Dicho esto, la confianza funciona en ambos sentidos. Ya hoy, nada impide que un CMP diga una cosa y haga otra. Y aunque el CMP sea honesto, lo que sucede después es otra historia: tag managers, plugins de CMS y código del lado del cliente pueden activar rastreadores independientemente de lo que la capa de consentimiento haya decidido. La API no resuelve eso, pero hace que la propia capa de consentimiento sea transparente y auditable, lo cual ya es más de lo que ofrece el statu quo.
¿Es un estándar del W3C?
Todavía no. Es una propuesta abierta en formato RFC. La especificación está disponible públicamente y agradecemos los comentarios de implementadores, investigadores y legisladores.
¿Cómo puedo probarlo?
La demostración interactiva ejecuta el polyfill en su navegador y le guía por el flujo de registro del CMP, lectura de metadatos y actualización de consentimiento.