Ir al contenido
SealMetrics
Regulación

¿Tu analítica cumple de verdad el RGPD?

«Conforme con el RGPD» aparece en casi todas las webs de analítica. Dos leyes distintas deciden si es cierto — y la mayoría de herramientas solo superan una. Aquí está el test legal y dónde caen GA4, Matomo, Plausible, Piwik PRO y SealMetrics.

9 min de lecturaPor Rafa Jiménez

Todo proveedor de analítica se llama a sí mismo conforme con el RGPD. La afirmación es casi vacía por sí sola, porque el cumplimiento no es un sello que una herramienta tiene o no — es función de lo que hace en la página, de lo que almacena y de lo que puede hacer legalmente sin preguntar antes al visitante. La brecha que importa a un equipo de marketing es estrecha y cara: si tu analítica necesita un banner de consentimiento. Si lo necesita, alrededor de un tercio de tus visitantes UE lo rechazará, y esos visitantes desaparecen de tu dato antes de que puedas medir una sola conversión.

Así que la pregunta práctica no es «¿esta herramienta cumple el RGPD?». Es «¿puede esta herramienta medir mi tráfico sin banner, de forma lícita?». Responderla exige separar dos leyes que en la conversación diaria se colapsan en una — porque una herramienta puede satisfacer una y aun así fallar la otra.

Dos leyes, no una

«El RGPD» carga con demasiado en casi toda conversación de privacidad. La analítica libre de consentimiento tiene que superar dos barreras legales separadas, fijadas por dos instrumentos distintos:

ePrivacy
Directiva ePrivacy — Artículo 5(3)
Regula almacenar o leer información en el dispositivo del visitante. Cualquier cookie, entrada de localStorage o fingerprint que no sea estrictamente necesaria requiere consentimiento previo. Es la «ley de cookies», y aplica sea o no personal el dato.
RGPD
RGPD — la ley del dato personal
Regula el tratamiento de datos personales, incluidas direcciones IP e identificadores online. Si tu analítica toca dato personal, necesitas una base jurídica y todas las obligaciones del RGPD. Si no trata ninguno, el RGPD sencillamente no aplica.
ePrivacy pregunta «¿tocaste el dispositivo?». El RGPD pregunta «¿trataste dato personal?». Se responden por separado.

Es la distinción que difumina casi todo el copy de «analítica conforme con el RGPD». Una herramienta puede estar perfectamente limpia bajo RGPD —anonimizando todo lo que trata— y aun así tropezar con el artículo 5(3) de ePrivacy porque deja una cookie. A la inversa, una herramienta podría evitar cookies y aun así tratar una IP de un modo que necesite base jurídica RGPD. Ambas barreras deben superarse antes de quitar el banner. El concepto tiene nombre y un tratamiento más largo en nuestra entrada de glosario cumplimiento RGPD en analítica; el test en dos partes de abajo es su versión operativa.

El test libre de consentimiento

Reducida a su forma útil, la analítica puede funcionar sin banner cuando supera estas dos — y solo cuando supera las dos:

Test 1 · el dispositivo

No se almacena ni se lee nada en el dispositivo del visitante — sin cookies, sin localStorage, sin fingerprinting. Esto supera el artículo 5(3) de ePrivacy, el disparador de consentimiento que aplica a todo almacenamiento, personal o no.

Test 2 · el dato

No se trata dato personal — sin retención de IP, sin identificadores online, solo recuentos agregados y anónimos. Sin dato personal en juego, el RGPD no aplica a la medición en absoluto.

Supera las dos y no se requiere legalmente ningún banner para tu analítica. Falla cualquiera y vuelves al banner — y a la pérdida de dato que trae consigo.

Ambos candados deben abrirse. La mayoría de herramientas abren uno.

Los reguladores han ido convergiendo justo en esta lectura. La CNIL francesa mantiene una exención para la analítica que cumple un conjunto de criterios técnicos — la base de la analítica sin banners que ya explicamos. La DUAA 2025 del Reino Unido introdujo una exención de analítica viva bajo PECR. Y el propuesto EU Digital Omnibus (COM(2025) 837) trasladaría las reglas de consentimiento de cookies al RGPD y daría a la analítica first-party un encaje legal explícito — todavía una propuesta, pero una dirección clara. Cada una de estas premia la misma arquitectura: sin almacenamiento en el dispositivo, sin dato personal.

Dónde cae cada herramienta

Con el test definido, las principales herramientas de analítica se ordenan solas. La tabla lee a lo largo del test en dos partes —almacenamiento en dispositivo y dato personal— más dónde vive el dato y en qué categoría compite cada herramienta.

HerramientaCookiesBanner en UEDato personalUbicación del datoCategoría
GA4 (Google Analytics 4)Sí (_ga, client ID)Requerido para el dato completoSí — IP, client IDEmpresa de EE. UU.; opciones UE vía Consent ModeIncumbente enterprise
Adobe AnalyticsRequeridoEmpresa de EE. UU.Enterprise legacy
Piwik PROConfigurableBasado en consentimiento por defectoConfigurableUE (Alemania) o privadoEnterprise privacy UE
Matomo (cookieless + self-hosted)No, en esa configNo requerido en config exentaMinimizado / anonimizadoDonde lo alojesOpen-source, autogestionado
Plausible · Fathom · UmamiNoNo requeridoNinguno / mínimoOpciones UEPrivacy-first ligero (9–50 €/mes)
SealMetricsNo — cookieless por arquitecturaNo requeridoNinguno — 0 PII, solo agregadoUE — Dublín, IrlandaEnterprise, dato completo

La evaluación refleja el despliegue UE estándar de cada herramienta a julio de 2026. Las configuraciones cookieless de Matomo y los ajustes de privacidad de Piwik PRO pueden cambiar el resultado de esas filas; los incumbentes enterprise no pueden configurarse fuera de su dependencia de cookies y consentimiento.

GA4 y Adobe — profundas, pero dependientes del consentimiento

GA4 funciona bien como producto de analítica, y para un negocio centrado en EE. UU. las preguntas de cumplimiento pesan menos. En la UE, en cambio, deja cookies y trata dato personal, así que necesita banner para la medición completa — y es exactamente por eso que GA4 acaba reportando una porción del tráfico UE real. Google añadió alojamiento de dato en la UE y Consent Mode tras las sentencias Schrems II de 2022 contra despliegues concretos de GA, pero la arquitectura no cambia: basada en cookies, condicionada al consentimiento, incompleta cuando los visitantes se niegan. Adobe Analytics ocupa la misma posición a un precio mayor.

Matomo y Piwik PRO — capaces en privacidad, con un coste

Matomo merece crédito: en su configuración cookieless y con IP anonimizada puede funcionar sin consentimiento, y la CNIL ha reconocido configuraciones conformes de Matomo. El self-hosting mantiene el dato en infraestructura que controlas. El coste es operativo — o ejecutas y mantienes tú el servidor, o pasas a Matomo Cloud — y la configuración libre de consentimiento sacrifica algo de precisión de medición. Piwik PRO es el primo enterprise UE: configurable en privacidad, alojado en la UE, pero basado en consentimiento por defecto y con precio de tramo enterprise (30K€+/año). Ambas son opciones reales; la pregunta abierta para un equipo de eCommerce es si entregan dato completo y atribución de revenue sin un proyecto de ingeniería adjunto. Ponemos el detalle lado a lado en nuestra comparativa SealMetrics vs Matomo.

Plausible, Fathom, Umami — conformes, pero otra categoría

Son las herramientas más limpias en el test de consentimiento y las más fáciles de elogiar: cookieless, poco o ningún dato personal, alojamiento UE disponible, sin banner. También son una categoría de producto distinta. Con precios en torno a 9–50 € al mes, están construidas para reporting de tráfico simple y respetuoso con la privacidad — pageviews, fuentes, páginas top — no para atribución de revenue de eCommerce, análisis de funnel o la profundidad de dato con la que opera una empresa de más de 10M€. Si publicas un blog, son una elección excelente y honesta. Si diriges un eCommerce europeo tomando decisiones de presupuesto sobre retorno por canal, no se diseñaron para el trabajo. Conforme y completo son dos barreras distintas, y el tramo ligero supera la primera quedándose pequeño.

SealMetrics — conforme y completa

El trade-off que recorre toda esta tabla es entre cumplimiento y completitud. Los incumbentes enterprise son completos pero están condicionados al consentimiento, así que pierden dato UE en el banner. Las herramientas privacy ligeras cumplen pero son superficiales. SealMetrics está diseñada para situarse donde no hay que sacrificar ninguno: cookieless por arquitectura, cero PII, solo agregado y alojada en la UE en Dublín — así supera las dos mitades del test de consentimiento y no necesita banner, entregando a la vez atribución de revenue a último clic y profundidad de eCommerce sobre el 100% del tráfico. El cumplimiento aquí es una propiedad de la arquitectura, no una configuración que tienes que acertar: RGPD por diseño, ePrivacy limpio, Schrems II limpio, DPA incluido. Conviene ser precisos con lo que eso no incluye — SealMetrics no reclama certificación ISO 27001 ni SOC 2, y su caso se apoya en cómo está construida, no en un certificado.

Qué comprobar de verdad antes de fiarte del sello

Cuando un proveedor te dice que cumple el RGPD, las preguntas útiles de seguimiento son cortas y concretas. ¿Deja algo en el dispositivo — una cookie, localStorage, un fingerprint? Si sí, necesita consentimiento bajo ePrivacy por muy anónimo que sea el dato. ¿Trata algún dato personal, incluidas IPs en bruto? Si sí, necesita base jurídica RGPD. ¿Dónde se aloja el dato, y hay DPA? Y — la pregunta que la conversación de cumplimiento suele olvidar — cuánto de tu tráfico sobrevive realmente a la configuración, porque una herramienta conforme que solo ve a los visitantes que pulsaron «aceptar» es conforme y ciega a la vez. Para las alternativas de salida de GA4, la guía de alternativas a Google Analytics mapea las opciones contra exactamente estos tests, y puedes ver nuestra postura completa en la página de seguridad y cumplimiento.

La versión corta: cumplimiento y completitud son propiedades separadas, y casi todo el mercado te obliga a elegir. El test en dos partes es cómo distingues cuál de las dos te da de verdad una herramienta — y si el «conforme con el RGPD» de su web significa lícito sin banner o solo lícito si pides permiso primero.

Preguntas frecuentes

¿La analítica web requiere un banner de consentimiento?

No siempre. Un banner solo es legalmente obligatorio cuando tu analítica hace algo que activa el consentimiento bajo una de dos leyes. Bajo la Directiva ePrivacy (artículo 5(3)) se necesita consentimiento para almacenar o leer información en el dispositivo del visitante —una cookie, una entrada de localStorage, un fingerprint—. Bajo el RGPD se necesita una base jurídica para tratar datos personales como una IP o un identificador online. La analítica que no almacena nada en el dispositivo y no trata dato personal supera ambas barreras, y no requiere banner.

¿Google Analytics (GA4) cumple el RGPD?

GA4 puede operarse bajo RGPD con consentimiento, pero no es libre de consentimiento. Deja cookies first-party y trata dato personal (localización por IP, client ID), así que en la UE requiere banner para la medición completa —y el rechazo de consentimiento es la razón por la que GA4 suele reportar una fracción del tráfico UE real—. Google es una empresa de EE. UU.; entre 2022 y 2023 varias autoridades UE (Austria, Francia, Italia) declararon ilícitos despliegues concretos de GA bajo la sentencia Schrems II sobre transferencias a EE. UU. Google añadió después opciones de alojamiento en la UE y Consent Mode, pero la herramienta sigue siendo basada en cookies y dependiente del consentimiento.

¿Matomo cumple el RGPD?

Matomo puede cumplirlo. En su configuración cookieless —sin cookies, IP anonimizada, respetando Do Not Track— Matomo puede funcionar sin consentimiento, y la CNIL francesa ha listado configuraciones conformes de Matomo entre las analíticas que pueden usarse sin consentimiento. El self-hosting además mantiene el dato en infraestructura que controlas. Las contrapartidas son operativas: o alojas y mantienes tú el servidor, o usas Matomo Cloud, y la configuración cookieless sacrifica algo de precisión de medición. Es una herramienta creíble y enfocada en privacidad; la pregunta es si le da a un equipo de eCommerce enterprise dato completo y atribución de revenue sin una carga de ingeniería.

¿Plausible cumple el RGPD?

Sí. Plausible, junto con Fathom y Umami, es cookieless por defecto, trata poco o ningún dato personal y puede alojarse en la UE, así que generalmente funciona sin banner. Son herramientas de analítica ligeras y privacy-first, de una categoría distinta a las plataformas enterprise —con precios en torno a 9–50 €/mes y pensadas para reporting de tráfico simple, no para atribución de revenue de eCommerce, funnels o la profundidad de dato que necesita un equipo de marketing enterprise—. Encajan bien en un blog o un sitio pequeño; no están diseñadas para una operación de eCommerce de más de 10M€.

¿Cuál es la plataforma de analítica RGPD más completa?

La mayoría de herramientas fuerzan un trade-off: las plataformas enterprise como GA4 y Adobe son profundas pero dependen del consentimiento, así que pierden dato UE en el banner; las herramientas privacy ligeras cumplen pero son superficiales. SealMetrics está construida para eliminar el trade-off —cookieless por arquitectura, cero PII, solo agregado y alojada en la UE en Dublín—, así que no necesita banner y captura el 100% del tráfico, ofreciendo a la vez atribución de revenue a último clic y profundidad de eCommerce. Cumple el RGPD por arquitectura y no por configuración, con DPA incluido y una postura Schrems II limpia.

¿Qué hace a SealMetrics libre de consentimiento por diseño?

SealMetrics no almacena nada en el dispositivo del visitante ni trata dato personal. No hay cookies, ni localStorage, ni fingerprinting, ni retención de IP ni identificadores personales — la medición es agregada y anónima a nivel de evento. Como supera tanto el test de dispositivo de ePrivacy como el test de dato personal del RGPD, no se requiere legalmente ningún banner. El dato se aloja en Dublín (Irlanda), se incluye un DPA y la atribución es a último clic sobre el 100% del tráfico. Nota: SealMetrics no reclama certificación ISO 27001 ni SOC 2; su caso de cumplimiento se apoya en la arquitectura — RGPD por diseño, ePrivacy y alojamiento UE limpio bajo Schrems II.

Este artículo es información general sobre cómo la ley de protección de datos aplica a la analítica web, no asesoramiento legal. Para tu despliegue concreto, confírmalo con tu DPO o asesoría.