Ir al contenido
SealMetrics
Análisis de brechas regulatorias

Encuentra dónde tu analítica se sale del cumplimiento.

«Conforme con el RGPD» es una afirmación, no una auditoría. Un análisis de brechas mapea tu stack de analítica contra cada requisito que realmente debe cumplir —ePrivacy, RGPD, la AEPD española, PECR del Reino Unido— y muestra exactamente dónde se queda corto. Abajo está el marco, requisito a requisito, y cómo una arquitectura cookieless cierra cada brecha.

RGPD · ePrivacy · AEPD · PECR (Reino Unido)

The single source of truth eCommerce signs against

Dreamplace Hotels recovered +30% more traffic vs GA4 and closed a 15–20% gap in sales attribution against their CRM. Palladium Hotel Group recovered 35% of unattributed bookings and improved Display CPS by +165%.

Palladium Hotel Group
Dreamplace Hotels
Acciona
Crocs
Desigual
UNICEF
Casa Batlló
Juguettos
3Cat
Fundación Bankinter
Dormideo
Incapto
El marco

Ocho requisitos, una auditoría honesta.

Para cada requisito: qué exige la ley, dónde abre una brecha un stack típico de GA4 o Adobe, y el cambio de arquitectura que la cierra. Es la capa de cumplimiento detrás de la analítica conforme con el RGPD.

ePrivacy · Art. 5(3)

Consentimiento para el almacenamiento en el dispositivo

Cualquier cookie, entrada de localStorage o fingerprint no esencial necesita consentimiento previo antes de colocarse.

BrechaGA4 y Adobe dejan cookies, así que el banner es obligatorio — y en torno a un tercio de los visitantes UE lo rechaza.
CerradaSin cookies, sin localStorage, sin fingerprinting — no se almacena nada en el dispositivo, así que no se activa el consentimiento.
RGPD · Art. 6

Base jurídica para el dato personal

Tratar una IP o un identificador online necesita una base jurídica válida — consentimiento o un interés legítimo defendible.

BrechaLas herramientas basadas en cookies se apoyan en un consentimiento que a menudo se retira, o en un interés legítimo cada vez más cuestionado.
CerradaLa medición no trata dato personal alguno, así que no hay base que establecer — el RGPD no aplica a ella.
RGPD · Art. 5(1)(c)

Minimización de datos

Recoger solo el dato necesario para la finalidad — ni uno más.

BrechaLos client IDs, los grafos de dispositivo y los perfiles de comportamiento recogen mucho más de lo que la medición requiere.
CerradaSolo eventos agregados y anónimos — lo mínimo para contar qué pasó, nada que identifique a una persona.
RGPD · Capítulo V

Transferencias internacionales (Schrems II)

El dato personal no puede transferirse a un tercer país sin protección adecuada.

BrechaGA4 y Adobe son encargados de EE. UU.; autoridades UE declararon ilícitos despliegues concretos por las transferencias a EE. UU.
CerradaAlojado de extremo a extremo en Dublín (Irlanda). Sin transferencia a EE. UU. ni mecanismos de transferencia cuestionados.
RGPD · Art. 15 y 17

Derechos del interesado (acceso, supresión)

Las personas pueden solicitar acceso a su dato personal y su supresión.

BrechaEl dato analítico por usuario crea una obligación permanente de localizarlo, comunicarlo y borrarlo a petición.
CerradaNo se almacena dato personal, así que no hay nada que comunicar ni borrar — la obligación no llega a surgir en la medición.
AEPD · guía de cookies

UX de consentimiento válido (España)

Rechazar debe ser tan fácil como aceptar, sin muros de cookies y con opciones granulares y desagregadas.

BrechaLos banners con dark patterns que empujan a aceptar son una fuente frecuente de reclamaciones y sanciones de la AEPD.
CerradaSin cookies en el alcance de la medición, no hay banner que diseñar ni dark pattern que defender.
RGPD · Art. 28

Términos de encargado y DPA

Debe existir un contrato de encargo de tratamiento con cada encargado que trate dato personal.

BrechaAnalítica, gestor de etiquetas y CMP forman un mosaico de encargados, cada uno con su DPA firmado.
CerradaUn solo encargado UE, un DPA incluido de serie — una superficie de encargados sensiblemente menor que gobernar.
Reino Unido · PECR / DUAA 2025

Exención de consentimiento para analítica

La analítica solo puede funcionar sin consentimiento en Reino Unido si cumple los criterios de la exención DUAA 2025 / PECR.

BrechaLa analítica basada en cookies, entre sitios o con dato personal no cumple los criterios de la exención.
CerradaCookieless, first-party, sin dato personal — el perfil para el que se escribió la exención. Ver nuestro autoinforme PECR.
Puntúa tu stack

Una autoevaluación de dos minutos.

Responde estas seis preguntas sobre tu analítica actual. Cada «sí» es una brecha abierta contra uno de los requisitos de arriba.

0 brechas — tu medición cumple por arquitectura.
1–2 brechas — riesgo de configuración; conviene una revisión formal.
3+ brechas — dependes del consentimiento y pierdes dato UE por él. Una arquitectura cookieless cierra el conjunto de golpe.

  1. 01¿Tu analítica deja alguna cookie o almacena algo en el dispositivo del visitante?
  2. 02¿Muestras un banner de consentimiento para poder medir el tráfico?
  3. 03¿Tu herramienta trata direcciones IP o identificadores persistentes?
  4. 04¿Tu dato analítico se trata en EE. UU., o por una empresa con sede en EE. UU.?
  5. 05¿Sería difícil atender una solicitud de supresión del dato analítico?
  6. 06¿Pierdes visitantes UE de tus informes cuando rechazan el banner?
Del análisis a la evidencia

Un análisis de brechas solo sirve si puedes probar el cierre.

Cerrar una brecha sobre el papel es una cosa; producir la documentación que un DPO o un regulador aceptará es otra. Nosotros publicamos la evidencia: la postura de seguridad y cumplimiento (alojamiento UE en Dublín, Schrems II, el paquete TPSR), el razonamiento en el análisis de analítica sin banners, y la comparativa frente a Matomo y las alternativas a Google Analytics — donde las brechas se cierran por diseño y no por configuración.

FAQ

Las preguntas que plantea una revisión de cumplimiento.

Respuestas honestas sobre el análisis de brechas de analítica, qué regulaciones cubrir y qué hace falta para medir de forma lícita sin banner de consentimiento.

¿Más preguntas? Nuestro equipo — incluido el founder — está a un mensaje.

Escríbenos

Deja de asumir que cumples. Analiza las brechas.

Corre SealMetrics junto a tu analítica actual durante 30 días. Verás cerrarse las brechas y volver el dato UE que perdías. Si la brecha no es real, no nos debes nada.

Hecho por un founder · soportado por un founder · alojado en UE por diseño