SealMetrics
Pillar — Analítica sin consentimiento

Analítica sin banners. Legal por arquitectura, no por papeleo.

La vía legal a la medición web sin diálogo de cookies no es un workaround — es la exención que el RGPD y ePrivacy contemplaron desde el día uno. Seis autoridades europeas de protección de datos han descrito qué requiere la exención. Esto es cómo se ve en la práctica, y dónde están los límites.

Por qué los banners de cookies dejaron de funcionar

Los banners de consentimiento nunca fueron una estrategia de medición — fueron un instrumento de compliance pegado encima de una estrategia de medición que asumía que todos decían que sí. Tres cosas rompieron esa asunción, y una regulación de 2026 la rompió aún más.

Las tasas de rechazo superaron la línea de break-even

Cuando el visitante europeo medio decía sí el 80% del tiempo, la analítica de cookies absorbía la pérdida del 20%. Hoy la media de marcas consumer está entre 40% y 60% de rechazo. Las decisiones sobre el 40% restante son decisiones sobre una muestra auto-seleccionada — típicamente mayor, menos móvil, menos consciente de privacidad. El sesgo es silencioso y estructural.

El enforcement de dark-patterns cerró el agujero

La CNIL multó a Google y Amazon por diseño asimétrico de banner en 2023. El Garante italiano siguió. El Digital Omnibus 2026 formalizó la paridad reject-all a nivel UE: el botón «rechazar» debe ser tan prominente como «aceptar», sin casillas pre-marcadas, sin copy manipulador. La ventana breve en la que el diseño inteligente de banner elevaba las tasas de aceptación está cerrada.

La fatiga de banner es ahora un coste UX documentado

Un estudio de la Universidad de Amsterdam de 2025 midió una caída del 14% en el engagement de primera página cuando el banner era la primera interacción. Para un eCommerce con paid acquisition a €5–30 CPC, el coste de abandono sólo por el banner ya excede el valor de los datos analíticos que lo gating.

El Digital Omnibus 2026 afiló el enforcement

El Omnibus armonizó los enfoques nacionales bajo un marco de enforcement único y dio a las autoridades un poder más claro sobre infracciones del Art. 5(3). Lee las implicaciones prácticas en el impacto del banner sobre tu analítica. Efecto neto: el coste legal de correr analítica basada en cookies subió; el coste legal de correr analítica sin consentimiento es cero.

La ruta arquitectónica a la legalidad

La exención no es una interpretación inteligente; es la redacción original. Tres anclajes regulatorios definen la vía, y un sistema de medición o vive dentro de ellos por diseño o no.

Anclaje 1

Art. 2 RGPD — ámbito material

El RGPD aplica al «tratamiento de datos personales». Dato personal es cualquier información que se refiere a una persona física identificada o identificable. Si un sistema de medición procesa sólo conteos agregados — nunca un identificador, nunca un fingerprint, nunca un perfil de comportamiento — el sistema no procesa datos personales. El reglamento no aplica al output de medición. El EDPB confirmó este razonamiento en la Opinión 5/2019.

Anclaje 2

Art. 5(3) ePrivacy — almacenamiento en dispositivo

ePrivacy exige consentimiento antes de almacenar o acceder a información en el dispositivo del usuario. El ejemplo clásico es una cookie. Si el sistema de medición no escribe cookie, no lee localStorage y no usa fingerprint, no hay nada en el dispositivo que dispare el Art. 5(3). No se requiere diálogo de consentimiento para esa ruta de procesamiento.

Anclaje 3

Los criterios de exención de la CNIL

La CNIL publicó cinco criterios concretos que un sistema de analítica debe cumplir para calificar para la exención: propósito estrictamente limitado, sin tracking entre sitios, IPs anonimizadas o no almacenadas, sin combinación con datos personales de otras fuentes, y reporting sólo agregado. SealMetrics cumple cada criterio por diseño — no por configuración. Otras autoridades se han alineado en torno a los mismos cinco puntos.

La implementación técnica — recolección first-party server-side sin identificadores — está documentada en analítica sin cookies. El diagrama de arquitectura y el detalle del pipeline viven en Cómo funciona.

Guía de autoridades, por país

Seis autoridades europeas de protección de datos han publicado guía explícita de exención para analítica que cumple los criterios arquitectónicos. La redacción cambia; la conclusión converge.

Francia

CNIL

Publicó criterios explícitos de exención de analítica en 2020, reafirmados en 2024: sin identificador por usuario, sin tracking entre sesiones, reporting agregado, procesamiento UE-only. SealMetrics cumple cada criterio.

Alemania

DSK / BfDI

Guía de la Datenschutzkonferenz: las herramientas de analítica sin cookies y sin fingerprinting no requieren consentimiento bajo §25 TTDSG. Alineada con la posición CNIL.

España

AEPD

Guía sobre el uso de cookies (2024): excluye explícitamente la medición agregada anónima de la obligación de consentimiento. Alineada con la Opinión EDPB 5/2019.

Italia

Garante

Tras la decisión sobre Google Analytics de 2022: las herramientas que anonimizan en la recolección y alojan en la UE no disparan las mismas restricciones. El procesamiento en Dublín y el diseño cero-identificador de SealMetrics encajan en la exención.

Reino Unido

ICO (PECR)

PECR Regulación 6(4) excluye cookies «estrictamente necesarias» o usadas para analítica que no identifica usuarios. Tras el Brexit, alineada con el razonamiento del EDPB.

Países Bajos

Autoriteit Persoonsgegevens

La guía de la AP sigue la posición EDPB: la analítica privacy-friendly — sin cookies, sin identificadores, procesamiento UE — está exenta del requisito de consentimiento.

Las páginas dedicadas por país (/es/gdpr-analytics/france,/spain,/germany) son parte del roadmap de contenido para Q3 2026.

«Sin consentimiento» vs «consent-light» — la distinción que importa para DPOs

Confusión común: herramientas de analítica ligera que dicen «no banner needed» mientras siguen instalando una cookie first-party o un ID de visitante aleatorio. Desde la perspectiva de integración con CMP la experiencia es parecida. Desde la perspectiva regulatoria, no son la misma categoría.

Consent-light

  • Instala una cookie first-party o ID de visitante (a menudo aleatorio).
  • Se justifica bajo «interés legítimo» — postura que varias autoridades han rechazado para tracking entre sesiones.
  • Almacena el identificador en el dispositivo → el Art. 5(3) ePrivacy se sigue disparando.
  • El argumento depende de una interpretación banner-free que las autoridades pueden cuestionar caso por caso.

Sin consentimiento (SealMetrics)

  • No instala cookie, no escribe localStorage, no genera ID de visitante.
  • El ámbito material RGPD no se activa — no se procesan datos personales.
  • El Art. 5(3) ePrivacy no se dispara — nada se almacena en el dispositivo.
  • Alineado con los criterios de exención CNIL, la guía AEPD, la posición DSK, las declaraciones de AP y ICO.

Para un DPO evaluando riesgo de vendor, la pregunta práctica es: ¿la defensa de la herramienta depende de interpretación regulatoria, o de la ausencia de condiciones disparadoras? La arquitectura sin consentimiento es la segunda respuesta.

Qué viene con la plataforma

La exención arquitectónica elimina la carga del consentimiento. La siguiente documentación cubre el resto de una revisión de vendor:

DPA

Data Processing Agreement, Art. 28 RGPD compliant, firmado por SealMetrics S.L. como encargado. Pre-rellenado, listo para contraseñar.

Paquete TPSR

Documento de revisión de transferencia, privacidad y seguridad. Cubre flujos de datos, sub-procesadores (cero fuera de la UE), retención, cifrado en reposo y en tránsito, control de accesos y procedimiento de brecha.

Lista de sub-procesadores

Lista completa de sub-procesadores con sus roles, jurisdicciones y DPAs se incluye en el paquete TPSR. UE-only por política.

Hosting y residencia

Todo el procesamiento en Dublín, Irlanda, sobre infraestructura europea. Sin sub-procesadores estadounidenses en la ruta de datos analíticos. Evaluación de transferencia Schrems II innecesaria — no hay transferencia.

Retención

Configurable por cliente. Por defecto: conteos agregados retenidos 25 meses. No se almacenan datos crudos a nivel individual más allá de la ventana de agregación al milisegundo.

La documentación completa de seguridad y arquitectura vive en Seguridad. Actualmente no estamos certificados en ISO 27001 ni SOC 2 — el roadmap y los controles que ya operamos están documentados completos.

Lectura relacionada

RGPD

Analítica RGPD sin consentimiento

El razonamiento completo Art. 6 / Art. 5(3) con ejemplos de la CNIL, DSK y AEPD.

Leer →Pérdida de medición

Cómo los banners destruyen el 40–60% de tus datos

Tasas de rechazo por industria y el coste de las decisiones sobre la muestra superviviente.

Leer →

Preguntas frecuentes de DPOs

¿La analítica sin consentimiento es realmente legal bajo RGPD?
Sí, cuando la arquitectura cumple los criterios de exención. El RGPD aplica al tratamiento de datos personales. El Art. 5(3) de ePrivacy regula el almacenamiento/acceso a información del dispositivo. Si un sistema de medición no almacena cookie, no establece identificador y no procesa datos personales, ambas normas quedan satisfechas sin diálogo de consentimiento. La CNIL ha publicado criterios explícitos para analítica; la DSK alemana, la AEPD, el Garante italiano, el ICO británico y la AP holandesa han emitido guía alineada. Esto no es un workaround — es la carve-out original que contemplaron las normas.
¿Qué cambió con el Digital Omnibus UE 2026?
El Omnibus endureció las reglas de diseño de banner (enforcement de dark-patterns), formalizó la paridad reject-all a nivel UE y dio a las autoridades nacionales dientes más afilados sobre violaciones del Art. 5(3). Efecto neto: las tasas de rechazo subieron 5–10 puntos más en los mercados donde aterrizó, y el coste de correr analítica basada en cookies legalmente subió. La arquitectura sin consentimiento no se ve afectada — no hay banner que diseñar ni consentimiento que registrar.
¿Sigo necesitando un banner por otras razones?
Posiblemente — para pixels de Google Ads, Meta, herramientas A/B o cualquier script third-party que sí instale cookies. SealMetrics elimina la razón específica de analítica para el banner, no todas las razones. Muchos equipos reducen el alcance del banner (o lo eliminan en páginas sin ad-pixels) cuando la analítica se mueve a una capa sin consentimiento.
¿En qué se diferencia de herramientas «consent-light» o «privacy-friendly»?
La mayoría de herramientas lightweight todavía instalan una cookie first-party o un ID de visitante aleatorio — son consent-light, no consentless. La exención CNIL es específica: sin identificador, sin enlace entre sesiones, sin profiling. SealMetrics está construido para esa vara. El trade-off es honesto — sin identificación de visitantes recurrentes — y es la decisión de diseño deliberada que produce la exención legal.
¿Y Schrems II y las transferencias a EE.UU.?
El procesamiento es exclusivamente en Dublín, Irlanda, sobre infraestructura europea. No hay sub-procesadores estadounidenses en la ruta de datos. No se requiere evaluación de impacto de transferencia Schrems II porque no hay transferencia. El DPA, las SCCs (donde sean necesarias para servicios auxiliares) y el paquete TPSR están disponibles para revisión legal.
¿Cambia la base legal si añado CRM o marketing tools después?
La base legal de la capa de analítica no cambia. Lo que cambia es la superficie general: si añades una herramienta que sí almacena cookies o procesa datos personales, esa herramienta trae su propio requisito de consentimiento. El estatus de SealMetrics lo determina su propia arquitectura, no las otras herramientas que corran junto a ella.

Una revisión legal. Resuelta.

Reserva 30 min con el founder. Trae a tu DPO. Resolvemos las preguntas de arquitectura y te entregamos el DPA + TPSR en la llamada.

Empieza gratis →Reserva una demo

Hecho por un founder · soportado por un founder · alojado en UE por diseño