Analítica conforme con RGPD sin banners de consentimiento: cómo funciona

La idea de que la analítica web siempre requiere un banner de consentimiento está extendida— y es errónea. Bajo condiciones específicas, tanto el RGPD como la directiva ePrivacy permiten medición de audiencia sin pedir consentimiento. No es un atajo. Es una excepción deliberada que los reguladores europeos han clarificado repetidamente desde 2020.

Entender cómo funciona requiere separar dos marcos legales distintos que a menudo se mezclan: RGPD (que regula el tratamiento de datos personales) y la directiva ePrivacy (que regula el acceso a los dispositivos de los usuarios).

La base jurídica para analítica sin consentimiento

El cumplimiento RGPD en analítica se discute habitualmente en términos de consentimiento (Art. 6(1)(a)). Pero el RGPD ofrece seis bases jurídicas para tratar datos, y el consentimiento es solo una. El Art. 6(1)(f)— interés legítimo— permite el tratamiento cuando el responsable tiene un propósito legítimo que no se sobrepone a los derechos y libertades del interesado.

Para la analítica, el argumento de interés legítimo es directo: entender cómo los visitantes usan una web es una función de negocio necesaria. Las DPAs europeas en general aceptan este razonamiento, siempre que la herramienta no recoja datos personales ni cree perfiles individuales.

Sin embargo, el RGPD por sí solo no determina si se requiere consentimiento. La directiva ePrivacy (a menudo llamada “ley de cookies”) añade una capa de regulación específica sobre acceso o almacenamiento de información en dispositivos.

Qué dice realmente la directiva ePrivacy

El Art. 5(3) de la directiva ePrivacy dice que almacenar o acceder a información en el dispositivo del usuario requiere consentimiento previo. Por eso existen los banners de cookies— las cookies son información almacenada en el dispositivo, así que colocarlas requiere consentimiento independientemente de si los datos recogidos son personales.

La distinción crítica es esta: el Art. 5(3) aplica a almacenamiento en y acceso al dispositivo del usuario. Si una herramienta no coloca cookies, no usa localStorage, no usa fingerprinting y no accede a información del dispositivo, el Art. 5(3) no se dispara. Sin almacenamiento, sin acceso, sin requisito de consentimiento.

Esta es la base arquitectónica de la analítica sin consentimiento. No se trata de encontrar una exención al requisito. Se trata de construir la analítica de forma que el requisito nunca llegue a aplicar.

Criterios de exención de la CNIL para medición de audiencia

La autoridad francesa de protección de datos (CNIL) ha ido más lejos que cualquier otro regulador UE definiendo exactamente qué puede hacer una herramienta de analítica sin consentimiento. En su guía sobre exenciones para medición de audiencia, la CNIL publicó criterios específicos que una herramienta debe cumplir.

Los criterios clave incluyen:

• —La herramienta debe usarse exclusivamente para producir datos estadísticos anónimos
• —El dato debe limitarse a lo estrictamente necesario para medir audiencia
• —El dato no debe combinarse con otras operaciones de tratamiento ni compartirse con terceros
• —Cualquier identificador de visitante debe limitarse a un único sitio o app y no usarse para tracking entre sitios
• —Las direcciones IP deben anonimizarse o no almacenarse más allá de lo necesario para geolocalización a nivel de ciudad
• —Los usuarios deben ser informados sobre el tracking y se les debe ofrecer un mecanismo para optar por no participar

La CNIL ha publicado un proceso de autoevaluación que los proveedores de analítica pueden usar para verificar el cumplimiento de estos criterios. Cubrimos los detalles cuando se publicó el proceso. Aunque la guía CNIL es específica de Francia, se ha convertido en el benchmark de facto en la UE— otras DPA la referencian, y el Comité Europeo de Protección de Datos (EDPB) ha indicado alineación con sus principios.

Requisitos técnicos para analítica sin consentimiento

Cumplir los criterios legales requiere decisiones técnicas específicas. Una plataforma analítica que opere sin consentimiento debe cumplir todo lo siguiente:

• —Sin cookies — ni first-party ni third-party de ningún tipo
• —Sin localStorage ni sessionStorage — sin persistencia de dato cliente
• —Sin fingerprinting — sin combinar características de dispositivo (resolución, fuentes, plugins) para crear un identificador único
• —Sin datos personales — sin almacenar IPs, sin perfiles a nivel de usuario
• —Solo first-party — dato recogido por el dueño del sitio, sin compartir con plataformas de terceros
• —Residencia UE — todo el procesamiento y almacenamiento dentro de la Unión Europea

La combinación de estos requisitos es lo que hace técnicamente difícil la analítica sin consentimiento. Cualquier fallo— una cookie puesta por un tag manager, una técnica de fingerprinting para stitching de sesiones, una IP loggeada para prevención de fraude— invalida todo el enfoque. La analítica cookieless debe ser cookieless por arquitectura, no por configuración.

¿Y el EU Digital Omnibus?

La directiva propuesta del Digital Omnibus UE reforzaría significativamente la base legal de la analítica sin consentimiento. El borrador del reglamento autoriza explícitamente la analítica first-party sin consentimiento bajo RGPD, siempre que se limite a medición de audiencia y no implique cross-site tracking.

Si se adopta tal como está propuesto, el Omnibus crearía un marco armonizado a nivel UE reemplazando el patchwork actual de interpretaciones por DPA nacional. Las herramientas que cumplan los criterios técnicos de arriba tendrían autorización legal explícita en lugar de depender del argumento de interés legítimo y la guía de exención estilo CNIL.

Nuestra guía detallada cubre lo que el Omnibus implica para equipos de marketing. La idea clave: la dirección regulatoria en Europa va hacia permitir explícitamente la analítica respetuosa con la privacidad, no hacia restringirla más.

Cómo logra SealMetrics el cumplimiento sin consentimiento

SealMetrics se construyó desde cero para operar sin consentimiento. No es una feature añadida a una plataforma con cookies— es la base arquitectónica.

El enfoque usa tracking cookieless first-party a través de un subdominio first-party (ej. analytics.tudominio.com). Cuando un visitante carga una página, la petición se procesa sin poner cookies, sin acceder a localStorage y sin fingerprinting del navegador. El reconocimiento de sesión usa señales efímeras que no persisten en el dispositivo del usuario.

Toda la data se procesa y almacena en infraestructura UE. No se recogen datos personales. No se crean perfiles individuales. El output es medición de audiencia agregada— pageviews, sesiones, fuentes, eventos de conversión— con el 100% del tráfico capturado porque no existe la barrera del consentimiento.

Esta arquitectura cumple simultáneamente los criterios de exención CNIL, los requisitos del Art. 5(3) ePrivacy y la base de interés legítimo del RGPD. SealMetrics ha completado el proceso de autoevaluación CNIL y mantiene documentación de cumplimiento para todos los Estados miembro UE.

El resultado: analítica enterprise con captura del 100% de los datos, cero complejidad de gestión de consentimiento y compliance regulatorio total. Puedes revisar la arquitectura completa de seguridad y compliance o ver cómo funciona la tecnología.