Apuntarme a la lista

¿Necesitas un banner de cookies para la analítica?

Por Iñigo Larrea Atriqo Última revisión
En este artículo (10 secciones)

La respuesta corta es: depende de lo que tu herramienta de analítica hace realmente. Un banner no es obligatorio por el mero hecho de usar analítica — es obligatorio cuando unas operaciones técnicas concretas activan una obligación de consentimiento. Entender la diferencia puede ahorrarte una carga de ingeniería y operativa significativa.

Respuesta rápida

Si tu herramienta de analítica instala cookies o utiliza identificadores persistentes en el navegador para rastrear visitantes, necesitas un consentimiento previo y libre bajo la Directiva ePrivacy para los visitantes de la UE en la mayoría de jurisdicciones. Si tu herramienta de analítica opera íntegramente en el lado del servidor, sin identificadores persistentes, sin rastreo entre sitios y sin fingerprinting — y tu estado miembro de la UE reconoce una exención para la medición de audiencia —, el motivo de consentimiento para esa herramienta concreta puede no aplicar. Tu sitio puede seguir necesitando un banner para otros proveedores, píxeles o redes publicitarias. Atriqo no hace que tu sitio sea conforme con la normativa; está diseñado para evitar las operaciones que clásicamente activan el requisito de consentimiento de la analítica, de modo que puedas evaluar — con la lectura del artículo 5(3) de tu jurisdicción y las directrices de tu APD — si un banner sigue siendo necesario para el resto de tu stack. Este artículo no constituye asesoramiento jurídico.

Puntos clave

  • El fundamento jurídico del banner de consentimiento de cookies es la Directiva ePrivacy (artículo 5(3)), no el RGPD directamente — son dos instrumentos separados con ámbitos de aplicación distintos.
  • La obligación recae específicamente sobre almacenar o acceder a información en el dispositivo del usuario (cookies, almacenamiento local, fingerprinting). La identificación de sesión en el lado del servidor evita el detonante clásico del artículo 5(3) — aunque la lectura amplia de "acceder a información" del CEPD (Directrices 2/2023) hace que el análisis completo dependa de la jurisdicción.
  • Varias autoridades de protección de datos (APD) de la UE — entre ellas la AEPD (España) y la CNIL (Francia) — han publicado directrices sobre exenciones restringidas para herramientas de analítica de medición de audiencia, sujetas a condiciones.
  • Esas condiciones habitualmente incluyen: sin rastreo entre sitios, datos limitados a ese sitio, sin reidentificación individual, identificadores agregados o de corta duración, y un mecanismo de exclusión voluntaria.
  • Incluso si tu herramienta de analítica cumple los requisitos para una exención, otras herramientas de tu sitio — píxeles publicitarios, integraciones de redes sociales, scripts de grabación de sesión — tienen cada una sus propias obligaciones. Eliminar el motivo de consentimiento de la analítica no elimina automáticamente todos los requisitos de consentimiento.

Definiciones

Directiva ePrivacy: Directiva 2002/58/CE (modificada por la 2009/136/CE), el instrumento de la UE que regula la privacidad en las comunicaciones electrónicas, incluidas las normas sobre cookies y tecnologías de rastreo similares. Se aplica junto al RGPD; no son la misma norma.

RGPD: Reglamento (UE) 2016/679, el reglamento general de protección de datos. Se aplica al tratamiento de datos personales. Relevante para la analítica porque los identificadores de sesión (aunque sean seudónimos) suelen ser datos personales.

Exención para la medición de audiencia: una carve-out restringida que algunos estados miembros de la UE permiten bajo el artículo 5(3) de la Directiva ePrivacy, que permite ciertas operaciones de analítica sin consentimiento cuando se cumplen condiciones estrictas. No está disponible universalmente; depende de la transposición de tu estado miembro y de las directrices publicadas por tu autoridad de protección de datos.

RGPD-nativo por diseño: una afirmación de posicionamiento de producto (no una certificación de cumplimiento) que significa que la herramienta fue diseñada en torno a los principios europeos de protección de datos desde el inicio, en lugar de añadir mitigaciones de consentimiento sobre una arquitectura orientada al rastreo.

La Directiva ePrivacy y el RGPD: dos normas distintas, una confusión habitual

La mayoría de los debates sobre banners de cookies mezclan dos instrumentos jurídicos distintos. Entender la diferencia es fundamental para evaluar correctamente tus obligaciones.

La Directiva ePrivacy (artículo 5(3)) exige consentimiento informado antes de almacenar o leer información en el dispositivo terminal del usuario — esto cubre cookies, almacenamiento local, píxeles y cualquier identificador en el lado del navegador. No cubre el tratamiento puramente en el lado del servidor que nunca toca el dispositivo. Esta es la principal base jurídica de los banners de consentimiento de cookies en la UE.

El RGPD se aplica al tratamiento de datos personales, que incluye identificadores seudónimos como los hashes de sesión. El RGPD exige una base jurídica para el tratamiento (artículo 6) — que puede ser el interés legítimo o el contrato, no solo el consentimiento, dependiendo de lo que hagas con los datos. El RGPD no exige consentimiento para toda la analítica.

La implicación práctica: una herramienta de analítica que no instala ninguna cookie ni lee ningún identificador almacenado evita el detonante clásico del artículo 5(3). Un matiz importante: las Directrices 2/2023 del CEPD sobre el alcance técnico del artículo 5(3) interpretan "almacenar y acceder a información" en sentido amplio — bajo esa lectura, incluso instruir al navegador para que transmita información del dispositivo puede entrar en el ámbito de aplicación. Precisamente por eso importan las exenciones nacionales de medición de audiencia descritas más abajo y la posición publicada de tu propia APD: si una configuración sin cookies concreta requiere consentimiento depende de la jurisdicción, no está resuelto a nivel de toda la UE. Y si la herramienta trata datos personales (incluidos identificadores derivados de la IP), el RGPD sigue aplicando y exige una base jurídica — normalmente documentada en tu política de privacidad.

Qué activa el requisito de consentimiento

La obligación del banner de consentimiento para la analítica no es categórica — depende de las operaciones técnicas que realice tu herramienta.

Activa el consentimiento bajo el artículo 5(3) de la Directiva ePrivacy:

  • Instalar una cookie de analítica propia (p. ej. _ga, _ga_*, identificadores persistentes personalizados)
  • Leer o escribir en localStorage o sessionStorage con fines de rastreo
  • Fingerprinting del navegador: combinar atributos como la resolución de pantalla, la lista de fuentes, el renderizado de Canvas, el output de WebGL y el user agent para crear un identificador persistente entre sesiones
  • Instalar cualquier identificador persistente en el navegador del visitante, independientemente de cómo se denomine

No activa, por sí mismo, el requisito clásico de consentimiento del artículo 5(3) (ver el matiz del CEPD más abajo):

  • El tratamiento en el lado del servidor de la solicitud HTTP (dirección IP, user agent, cabecera referer) que nunca escribe en el navegador
  • Un hash criptográfico de rotación diaria calculado en el lado del servidor que nunca se envía de vuelta al navegador como cookie o valor almacenado
  • La agregación de recuentos de páginas vistas en una base de datos en el lado del servidor sin identificador en el lado del navegador

La pregunta clave no es "¿es esto analítica?" sino "¿mi herramienta de analítica almacena algo en el navegador del visitante, o lee de él un identificador almacenado?"

Qué dicen las autoridades europeas sobre las exenciones de analítica

Varias APD de la UE han publicado directrices sobre herramientas de medición de audiencia que pueden cumplir los requisitos para una exención de consentimiento. Estas posiciones varían según el estado miembro y están sujetas a cambios — verifica siempre con las directrices publicadas más recientes de tu propia autoridad.

AEPD (España): la Agencia Española de Protección de Datos ha publicado una guía (Guía de cookies de la AEPD, aepd.es) que recoge las condiciones bajo las que las cookies de analítica pueden considerarse exentas del consentimiento previo. El análisis gira en torno a si el rastreo es entre sitios, si los individuos pueden ser reidentificados, y si los datos salen del control del editor.

CNIL (Francia): la APD francesa ha publicado un marco (Directrices de la CNIL sobre cookies de analítica, cnil.fr) que reconoce que ciertas herramientas de analítica pueden estar exentas del requisito de consentimiento bajo condiciones específicas. Estas condiciones incluyen: el propósito está estrictamente limitado a medir la audiencia del editor; los datos no se cruzan con otros tratamientos; la herramienta no se utiliza para rastrear a individuos entre sitios o a lo largo del tiempo; y se proporciona un mecanismo de exclusión voluntaria. La CNIL también ha indicado que el proveedor de analítica debe estar contractualmente prohibido de reutilizar los datos para sus propios fines.

APD alemanas: las autoridades supervisoras alemanas han adoptado históricamente una posición más estricta, no reconociendo generalmente una exención de analítica equivalente al enfoque de la CNIL. Si tu audiencia principal es alemana, consulta directamente las directrices del Landesbeauftragter für Datenschutz competente.

Patrón común en las directrices publicadas: las exenciones, cuando existen, son restringidas. Habitualmente requieren: sin rastreo entre sitios, sin reidentificación individual, identificadores de corta duración o agregados, datos de primera parte únicamente, sin cesión de datos a terceros, y una exclusión voluntaria accesible. Las herramientas que cumplen todas estas condiciones para la medición de audiencia estrictamente limitada pueden cumplir los requisitos — pero la calificación es específica para cada caso y la autoridad de tu jurisdicción tiene la última palabra.

Lista de verificación: cómo evaluar tu herramienta de analítica actual

Usa estas preguntas para evaluar si tu herramienta de analítica activa el requisito de consentimiento de la ePrivacy:

Operaciones en el lado del navegador

  • ¿Tu herramienta de analítica instala alguna cookie? Comprueba la pestaña Red de las herramientas de desarrollo del navegador (busca cabeceras Set-Cookie desde tu dominio de analítica) y la pestaña Aplicación (Cookies).
  • ¿Tu herramienta de analítica escribe en localStorage, sessionStorage o IndexedDB? Comprueba la pestaña Aplicación en las herramientas de desarrollo del navegador.
  • ¿Tu herramienta de analítica utiliza Canvas, WebGL, AudioContext, enumeración de fuentes u otros vectores de fingerprinting? Consulta la documentación de la herramienta y las solicitudes de red que realiza.

Rastreo entre sitios y cesión de datos

  • ¿Tu herramienta de analítica rastrea visitantes a través de múltiples dominios o sitios web? Revisa la política de privacidad y la documentación de tratamiento de datos de tu proveedor.
  • ¿Tu proveedor de analítica utiliza tus datos de analítica para sus propios fines (publicidad, benchmarking, entrenamiento de modelos)? Revisa el acuerdo de tratamiento de datos (ATD) y las condiciones del servicio.
  • ¿Se transfieren datos fuera de la UE? Si el proveedor de analítica tiene sede en EE. UU. o utiliza infraestructura estadounidense, aplican las normas de transferencia de datos UE-EE. UU. (Sentencia Schrems II del Tribunal de Justicia de la UE, TJUE 2020).

Exclusión voluntaria y transparencia

  • ¿Pueden los visitantes excluirse del rastreo de analítica? Si estás invocando una exención en una jurisdicción que lo exige, un mecanismo de exclusión voluntaria accesible es habitualmente obligatorio.
  • ¿Está descrita con precisión la recogida de datos de analítica en tu política de privacidad?

Si respondes "sí" a alguna de las preguntas sobre operaciones en el lado del navegador, tu herramienta de analítica probablemente activa el artículo 5(3) de la Directiva ePrivacy y requiere consentimiento previo para los visitantes de la UE en la mayoría de jurisdicciones.

Qué cambia la analítica sin cookies — y qué no cambia

Una herramienta de analítica sin cookies que opera en el lado del servidor, no utiliza identificadores persistentes en el navegador y no realiza fingerprinting está diseñada para evitar el detonante de consentimiento del artículo 5(3) de la ePrivacy específicamente en la capa de analítica — sujeto al matiz jurisdiccional comentado arriba (Directrices 2/2023 del CEPD y las condiciones de exención de tu APD).

Atriqo es una herramienta de analítica web privacy-first y sin cookies, alojada en la UE (Alemania), construida como alternativa RGPD-nativa por diseño a Google Analytics.

La identificación de sesiones en Atriqo funciona del siguiente modo: cuando se carga una página, el servidor recibe la solicitud HTTP. Calcula un hash criptográfico de la dirección IP del visitante, del user agent y de un salt de rotación diaria. La IP en bruto se descarta inmediatamente. El hash cambia cada 24 horas, lo que hace imposible por diseño el rastreo individual entre días. No se instala ninguna cookie. No se escribe ningún identificador en el navegador. No se produce rastreo entre sitios — los datos de cada sitio están en silos separados.

Lo que esto cambia:

  • El detonante clásico de consentimiento del artículo 5(3) para la capa de analítica se evita por diseño: no se escribe ningún identificador en el navegador del visitante ni se lee de él ningún identificador de rastreo almacenado. (Por transparencia: el script del tracker sí lee contexto estándar de la página — URL actual, referrer, ancho de pantalla, idioma — y comprueba la señal de exclusión voluntaria del visitante y el ajuste Do Not Track antes de enviar nada. Lo que nunca hace es almacenar un identificador ni leer uno de vuelta.) Que esto signifique que no se requiere consentimiento, o que tu configuración encaja en una exención nacional de medición de audiencia, depende de tu jurisdicción y de las directrices de tu APD — es la posición de Atriqo, no una garantía (ver "Hechos vs interpretación" abajo).
  • Sin cuestión de transferencia UE-EE. UU. para los datos de analítica, porque la infraestructura de analítica está alojada en la UE (infraestructura de analítica en Alemania — Hetzner, Falkenstein).
  • Sin necesidad de configurar el Consent Mode de Google Analytics ni de integrar una CMP para la propia herramienta de analítica.

Lo que esto no cambia:

  • Si utilizas un píxel de Meta, una etiqueta de Google Ads, integraciones de YouTube u otros scripts de terceros que instalan cookies o acceden al almacenamiento del navegador, esos scripts tienen sus propias obligaciones de consentimiento independientemente de tu herramienta de analítica.
  • El análisis jurídico bajo el RGPD sigue aplicando a los identificadores de sesión seudónimos que Atriqo trata en el lado del servidor. El RGPD no exige consentimiento para toda la analítica, pero sí exige una base jurídica y las divulgaciones correspondientes en tu política de privacidad.
  • Atriqo no hace que tu sitio sea conforme con el RGPD. Reduce la fricción específica de la analítica. El panorama de cumplimiento de tu sitio depende de tu stack completo de proveedores.

Para la metodología técnica de Atriqo, consulta nuestra documentación de privacidad.

Hechos vs interpretación

Hechos documentados: el artículo 5(3) de la Directiva ePrivacy (2002/58/CE) exige consentimiento para almacenar o acceder a información en el dispositivo terminal del usuario. La AEPD y la CNIL han publicado directrices sobre las condiciones de exención de analítica (enlazadas arriba). Varios estados miembros de la UE transpusieron el artículo 5(3) en derecho nacional con variaciones. Las Directrices 2/2023 del CEPD sobre el alcance técnico del artículo 5(3) interpretan "almacenar y acceder a información" en el dispositivo terminal en sentido amplio. La sentencia Schrems II (TJUE C-311/18, julio de 2020) invalidó el Privacy Shield y exige garantías adecuadas para las transferencias de datos personales UE-EE. UU.

Nuestra interpretación: que una herramienta de analítica sin cookies, del lado del servidor, alojada en la UE y sin identificadores persistentes en el navegador elimina el motivo de activación del consentimiento ePrivacy específico de la analítica es la posición comercial de Atriqo. Si esa posición aplica a tu sitio concreto, jurisdicción y configuración requiere verificación con las directrices actuales de tu autoridad de protección de datos y, para decisiones relevantes, asesoramiento jurídico de un profesional cualificado.

Cómo empezar con Atriqo

El plan gratuito — 10.000 eventos facturables al mes (un evento facturable es cualquier evento registrado: página vista, clic saliente, descarga de archivo, error 404 o evento personalizado), sin tarjeta de crédito, sin caducidad — estará disponible en el lanzamiento.

Si quieres acceso anticipado, únete a la lista de espera.

Este artículo tiene únicamente fines informativos y no constituye asesoramiento jurídico. Para orientación específica sobre las obligaciones de cumplimiento de tu sitio, consulta a un profesional jurídico cualificado familiarizado con la legislación europea de protección de datos y las posiciones publicadas por las autoridades de protección de datos de tu jurisdicción.

Analítica sin el banner de cookies

Privacidad primero, RGPD-nativo, alojado en la UE (Alemania). Únete a la lista de espera.

Apuntarme a la lista Todos los artículos