Apuntarme a la lista

Analítica web y RGPD: requisitos, lista de verificación y qué preguntar a tu proveedor

Por Iñigo Larrea Atriqo Última revisión
En este artículo (13 secciones)

La analítica web ocupa una posición incómoda en el cumplimiento del RGPD: es prácticamente universal, se trata a menudo como algo por defecto, y está siendo cada vez más examinada por las autoridades europeas de protección de datos. Entender qué exige realmente el RGPD para la analítica — no lo que afirman los proveedores — te permite tomar decisiones defendibles sobre tu stack.

Esta guía cubre los requisitos legales, qué preguntar a tu proveedor de analítica y cómo la arquitectura de la herramienta afecta a tus obligaciones. No constituye asesoramiento jurídico.

Respuesta rápida

El RGPD aplica a la analítica web porque las herramientas de analítica suelen tratar datos personales — los identificadores de sesión derivados de la IP, las inferencias de geolocalización y los atributos del dispositivo son todos datos personales bajo el derecho de la UE. Los requisitos fundamentales son: una base jurídica válida para el tratamiento, un acuerdo de tratamiento de datos (ATD) con tu proveedor de analítica, minimización de datos (recoge solo lo necesario), restricciones a las transferencias fuera de la UE, y la capacidad de atender solicitudes de los derechos de los interesados. La analítica alojada en la UE sin identificadores persistentes, sin rastreo entre sitios y sin almacenamiento de IP reduce la superficie de estas obligaciones — pero no las elimina por completo. Atriqo no hace que tu sitio sea conforme con el RGPD; reduce la fricción específica de la analítica. Consulta a un profesional jurídico cualificado para tu situación concreta.

Puntos clave

  • El RGPD aplica a la analítica porque las direcciones IP, las huellas del navegador y los identificadores de sesión son datos personales en virtud del artículo 4(1) del RGPD, aunque no estén vinculados directamente a un nombre.
  • Necesitas una base jurídica para el tratamiento de datos de analítica. Para la mayoría de los sitios comerciales en la UE, esta es el consentimiento (artículo 6(1)(a)) o el interés legítimo (artículo 6(1)(f)) — la elección correcta depende de la arquitectura de tu herramienta y de las directrices de tu autoridad de protección de datos.
  • Debes tener un Acuerdo de Tratamiento de Datos (ATD) con tu proveedor de analítica, porque el proveedor trata datos personales en tu nombre (artículo 28 del RGPD).
  • Las transferencias de datos a proveedores de analítica fuera de la UE requieren garantías adecuadas (Capítulo V del RGPD). Varias APD europeas declararon ilegales usos concretos de Google Analytics por este motivo en 2022-2023.
  • Minimización de datos (artículo 5(1)(c)): recoge solo lo necesario. Las herramientas que descartan las IP en bruto, utilizan identificadores de corta duración y evitan el almacenamiento persistente en el navegador reducen la huella de datos personales.
  • Los derechos de los interesados aplican a los datos de analítica cuando los individuos pueden ser identificados o reidentificados. La capacidad de eliminar o exportar los datos de un visitante concreto depende de la arquitectura de tu herramienta.

Definiciones

Datos personales (RGPD art. 4(1)): cualquier información relativa a una persona física identificada o identificable. Las direcciones IP son datos personales (Opinión WP29 4/2007; confirmada por el TJUE en el asunto Breyer C-582/14 (2016)). Los identificadores seudónimos (hashes derivados de la IP y del user agent) también son datos personales porque la reidentificación, aunque difícil, no es imposible.

Acuerdo de Tratamiento de Datos (ATD): documento contractual exigido por el artículo 28 del RGPD cuando un responsable del tratamiento (tu organización) contrata a un encargado del tratamiento (tu proveedor de analítica) para que trate datos personales en su nombre. Debe especificar el objeto, la duración, la naturaleza y el propósito del tratamiento, el tipo de datos, y las obligaciones y derechos del responsable del tratamiento.

Minimización de datos: el principio (artículo 5(1)(c)) de que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan. En términos de analítica: no recojas IPs en bruto si un hash es suficiente; no conserves registros de eventos granulares durante dos años si la retención de agregados a 90 días satisface tus necesidades.

Cláusulas Contractuales Tipo (CCT): el principal mecanismo para las transferencias lícitas de datos de la UE a terceros países tras la sentencia Schrems II (CCT de la Comisión Europea, adoptadas en 2021). Las CCT por sí solas no son suficientes si las leyes del destino de la transferencia las invalidan en la práctica — se requiere una Evaluación de Impacto de la Transferencia (EIT).

RGPD-nativo por diseño: una afirmación de posicionamiento de producto (no una certificación de cumplimiento) que significa que la herramienta fue diseñada desde el inicio en torno a los principios europeos de protección de datos, en lugar de añadir mitigaciones de consentimiento sobre una arquitectura orientada al rastreo.

Requisito 1: base jurídica para el tratamiento de analítica

El artículo 6 del RGPD exige una base jurídica para cada actividad de tratamiento. Para la analítica web, las dos opciones relevantes son:

Consentimiento (artículo 6(1)(a)): el visitante acepta expresamente, antes de la recogida de datos, el tratamiento de datos de analítica. Es obligatorio cuando tu herramienta de analítica utiliza cookies, identificadores persistentes o fingerprinting — porque esas operaciones también activan el artículo 5(3) de la Directiva ePrivacy, que exige consentimiento con independencia del RGPD.

Interés legítimo (artículo 6(1)(f)): tienes un interés legítimo en entender cómo los visitantes utilizan tu sitio, y ese interés no está siendo superado por los derechos del visitante. Esta base está disponible cuando el tratamiento de analítica es proporcional y el visitante lo esperaría razonablemente. Requiere una Evaluación de Interés Legítimo (EIL) documentada. Nota: el Grupo de Trabajo del Artículo 29 (hoy CEPD) ha expresado cautela sobre la invocación del interés legítimo para el rastreo conductual; la solidez de la base depende en gran medida de cómo opera la herramienta.

Qué preguntar a tu proveedor: ¿Qué base jurídica asume la plantilla de su ATD? ¿La arquitectura de la herramienta es compatible con el interés legítimo (es decir, es sin cookies, sin identificadores persistentes, sin rastreo entre sitios), o requiere consentimiento?

Requisito 2: Acuerdo de Tratamiento de Datos

El artículo 28 del RGPD exige un ATD escrito con cualquier proveedor de analítica que trate datos personales en tu nombre en calidad de encargado del tratamiento. El ATD debe incluir:

  • Objeto, duración, naturaleza y propósito del tratamiento
  • Tipo de datos personales y categorías de interesados
  • Obligaciones y derechos del responsable del tratamiento (tú)
  • Autorización de subencargados y requisitos de notificación
  • Medidas de seguridad y obligaciones de notificación de brechas
  • Asistencia con las solicitudes de derechos de los interesados
  • Devolución o supresión de datos al finalizar el contrato

Qué preguntar a tu proveedor: ¿Ofrecéis un ATD? ¿Está disponible sin un plan de pago o un nivel enterprise? ¿Cubre a todos vuestros subencargados (infraestructura, correo electrónico, seguimiento de errores, etc.)?

Como referencia, la cadena de subencargados de Atriqo incluye: Hetzner (infraestructura de analítica, Alemania), Stripe (facturación), Brevo (correo electrónico transaccional, alojado en la UE), Sentry (seguimiento de errores, DSN UE), Cloudflare (solo DNS, sin proxy) y MaxMind GeoLite2 (geolocalización por IP; la IP nunca se almacena ni se transmite a MaxMind — la consulta es local).

Requisito 3: minimización de datos en la práctica

El artículo 5(1)(c) del RGPD exige que los datos personales sean "adecuados, pertinentes y limitados a lo necesario". Para la analítica, este principio aplica en tres capas:

Recogida: ¿necesita la herramienta direcciones IP en bruto? Si la identificación de sesión puede lograrse con un hash criptográfico que descarta la IP inmediatamente (como hace Atriqo: HMAC(secreto, IP + user_agent + salt_diario), IP descartada tras el hash), almacenar la IP en bruto no es necesario.

Retención: ¿cuánto tiempo conservas los datos a nivel de evento? Retener registros detallados de eventos a nivel de página durante dos años normalmente no puede justificarse para la medición básica de audiencia. Los recuentos agregados a granularidad semanal o mensual son suficientes para el análisis de tendencias y conllevan menos riesgo bajo el RGPD.

Granularidad: ¿necesitas datos a nivel de sesión individual, o son suficientes los recuentos agregados para tu caso de uso? Las herramientas que almacenan flujos de eventos por visita crean un conjunto de datos personales más rico que las herramientas que cuentan páginas vistas a nivel agregado.

Qué preguntar a tu proveedor: ¿Qué campos de datos en bruto se almacenan en el momento del evento? ¿Se almacena la dirección IP? ¿Se almacenan las cadenas de user agent tal como se reciben? ¿Cuál es el período de retención por defecto y configurable? ¿Puedes eliminar datos de un visitante concreto o de un período de tiempo?

Requisito 4: transferencias fuera de la UE

El Capítulo V del RGPD restringe las transferencias de datos personales a países fuera de la UE/EEE, salvo que existan garantías adecuadas. Para la analítica, este es el mecanismo que subyace a las resoluciones de las APD europeas de 2022-2023 sobre Google Analytics.

Las resoluciones: las autoridades de protección de datos de Austria (Resolución DSB D-B 2021.0573, enero de 2022), Francia (Requerimiento formal de la CNIL, enero de 2022), Italia (Resolución del Garante, junio de 2022) y otras constataron que usos concretos de Google Analytics implicaban la transferencia de datos personales (direcciones IP, identificadores únicos) a los servidores de Google en EE. UU., y que las CCT en vigor eran insuficientes habida cuenta de la legislación de vigilancia de EE. UU. Estos son hallazgos sobre configuraciones concretas — no una prohibición categórica — pero ilustran la exposición al incumplimiento de utilizar infraestructura de analítica fuera de la UE.

Cómo el alojamiento en la UE reduce esta exposición: cuando la infraestructura de analítica está alojada íntegramente dentro de la UE, la cuestión de las transferencias del Capítulo V no se plantea para los datos de analítica. Los datos recogidos en la UE permanecen en la UE. Esto no elimina todas las obligaciones bajo el RGPD — sigues necesitando una base jurídica, un ATD y prácticas de minimización de datos — pero retira uno de los vectores de cumplimiento más activamente exigidos.

Qué preguntar a tu proveedor: ¿Dónde exactamente se almacenan los datos de analítica? ¿La respuesta especifica un país y un centro de datos concretos, o es vaga ("regiones de la UE")? ¿La empresa matriz está sujeta a legislación de acceso a datos de gobiernos no pertenecientes a la UE (p. ej. la US CLOUD Act)? ¿Qué CCT u otros mecanismos de transferencia aplican si algún subencargado está fuera de la UE?

Requisito 5: derechos de los interesados

Los artículos 15-22 del RGPD reconocen a los individuos derechos sobre sus datos personales, incluido el derecho de acceso (artículo 15), supresión (artículo 17) y oposición (artículo 21). Para la analítica, estos derechos aplican cuando los datos permiten la identificación o reidentificación del individuo.

Cuando la supresión es complicada: las herramientas que almacenan datos a nivel de evento con identificadores de usuario persistentes (cookies, huellas del navegador) pueden recibir solicitudes de eliminación de todos los registros asociados a un usuario concreto. Cumplir esto requiere que la herramienta admita la eliminación por ID de usuario o por valor de cookie.

Cuando la supresión es operativamente menos compleja: las herramientas que utilizan hashes de rotación diaria sin identificadores persistentes no pueden vincular registros a un individuo concreto entre días. Una solicitud de supresión de "el visitante X" no puede atenderse con precisión porque el identificador cambia diariamente y no es reversible a una IP. Esto reduce la complejidad operativa — pero también significa que la herramienta no puede atender una Solicitud de Acceso del Interesado (SAI) con granularidad individual, lo que puede requerir por sí mismo una divulgación en tu política de privacidad.

Qué preguntar a tu proveedor: ¿Retiene tu herramienta algún dato que pueda vincularse a un individuo concreto a lo largo del tiempo? ¿Cuál es el procedimiento para atender una Solicitud de Acceso del Interesado? ¿Pueden eliminarse datos por visitante o por rango de fechas?

Requisito 6: registro de actividades de tratamiento

El artículo 30 del RGPD exige a los responsables del tratamiento que mantengan registros escritos de las actividades de tratamiento. Para una herramienta de analítica, este registro debe incluir:

  • Nombre y contacto del responsable del tratamiento y del DPD (si procede)
  • Finalidad del tratamiento (medición de audiencia, análisis de rendimiento, etc.)
  • Categorías de interesados (visitantes del sitio web)
  • Categorías de datos personales (identificadores de sesión, atributos del dispositivo, región geográfica, URLs de páginas visitadas)
  • Destinatarios (tu proveedor de analítica y sus subencargados)
  • Transferencias a terceros países (si las hay) y garantías
  • Plazos de retención
  • Medidas de seguridad (a alto nivel)

Qué preguntar a tu proveedor: ¿Proporcionas documentación adecuada para un Registro de Actividades de Tratamiento? ¿La plantilla de ATD o la documentación de la política de privacidad se corresponde con los requisitos del artículo 30?

Tabla resumen: requisitos del RGPD para la analítica web

Tabla resumen: requisitos del RGPD para la analítica web
Requisito Pregunta clave para tu proveedor ¿Lo reduce una arquitectura privacy-first?
Base jurídica (art. 6) ¿Tu herramienta requiere consentimiento, o puede aplicarse el interés legítimo? Sí — sin cookies ni identificadores persistentes facilita el interés legítimo
Acuerdo de Tratamiento de Datos (art. 28) ¿Está disponible un ATD? ¿Cubre a todos los subencargados? No — el ATD es obligatorio independientemente
Minimización de datos (art. 5(1)(c)) ¿Se almacena la IP en bruto? ¿Cuál es el período de retención? Sí — el descarte de IP y los hashes de corta duración reducen la huella de datos
Transferencias fuera de la UE (Cap. V) ¿Dónde se almacenan los datos? ¿La empresa matriz está sujeta a legislación no perteneciente a la UE? Sí — la analítica alojada en la UE retira la cuestión de transferencias para los datos de analítica
Derechos de los interesados (arts. 15-22) ¿Puedes eliminar datos de un visitante concreto? ¿Puedes atender una SAI? Parcialmente — los hashes de rotación diaria limitan la reidentificación individual
Registro de actividades de tratamiento (art. 30) ¿Puedes proporcionar documentación para un registro del artículo 30? No — la documentación es obligatoria independientemente

Qué cambia una herramienta de analítica privacy-first en este panorama

Atriqo es una herramienta de analítica web privacy-first y sin cookies, alojada en la UE (Alemania), construida como alternativa RGPD-nativa por diseño a Google Analytics.

Utilizar una herramienta con las siguientes características reduce — pero no elimina — la superficie del RGPD para la analítica:

  • Sin cookies ni identificadores persistentes en el navegador: diseñado para evitar el detonante clásico de consentimiento del artículo 5(3) de la ePrivacy (dependiente de la jurisdicción — ver nuestra guía sobre el banner de cookies para el matiz de las Directrices 2/2023 del CEPD) y facilita una base de interés legítimo bajo el RGPD.
  • IP descartada tras el hash de privacidad: reduce el conjunto de datos personales almacenados en el momento del evento. El hash es seudónimo; la IP en bruto nunca se escribe en disco.
  • Sin rastreo entre sitios: los datos de cada sitio están en silos separados. Ningún dato de visitante se combina ni se reporta en diferentes sitios web.
  • Sin fingerprinting: ninguna combinación de atributos del navegador para crear un identificador persistente entre sesiones.
  • Alojado en la UE (infraestructura de analítica en Alemania — Hetzner, Falkenstein): retira la cuestión de transferencias del Capítulo V para los datos de analítica.

Lo que una arquitectura privacy-first no cambia:

  • El ATD sigue siendo obligatorio. Atriqo trata datos personales (identificadores de sesión seudónimos) en tu nombre. El artículo 28 aplica.
  • El RGPD sigue requiriendo una base jurídica. La arquitectura sin cookies facilita una base de interés legítimo — no hace que una base jurídica sea innecesaria.
  • Tu política de privacidad debe describir el tratamiento de analítica. Los visitantes tienen derecho a saber qué datos se recogen y con qué finalidad, independientemente de la arquitectura.
  • Las obligaciones de derechos de los interesados permanecen. La arquitectura limita lo que puede recuperarse o eliminarse con precisión individual — esa limitación debe divulgarse con precisión.
  • Otros proveedores de tu sitio tienen obligaciones independientes. La analítica es una actividad de tratamiento entre muchas. Los píxeles publicitarios, las integraciones de redes sociales, las integraciones de CRM y las herramientas de chat de soporte tienen cada una sus propios requisitos bajo el RGPD.

Para la metodología técnica de Atriqo, consulta nuestra documentación de privacidad.

Hechos vs interpretación

Hechos documentados: el artículo 4(1) del RGPD define ampliamente los datos personales. El TJUE confirmó que las direcciones IP son datos personales en el asunto Breyer (C-582/14, 2016). Las APD de Austria, Francia e Italia emitieron resoluciones que declaraban que usos concretos de Google Analytics creaban transferencias UE-EE. UU. ilícitas en 2022-2023 (fuentes citadas arriba). El artículo 28 del RGPD exige un ATD con los encargados del tratamiento. El Capítulo V restringe las transferencias de datos fuera de la UE/EEE. Las Cláusulas Contractuales Tipo adoptadas en junio de 2021 son el actual mecanismo principal de transferencia.

Nuestra interpretación: que una herramienta de analítica sin cookies, alojada en la UE, con descarte de IP y sin identificadores persistentes reduce la fricción de cumplimiento del RGPD para la capa de analítica es la posición comercial de Atriqo. Si esa reducción es suficiente para tu programa de cumplimiento, y si el interés legítimo aplica en tu contexto concreto, son cuestiones jurídicas que dependen de tu jurisdicción, de la totalidad de tus actividades de tratamiento de datos y de las directrices de un profesional jurídico cualificado. Este artículo no constituye asesoramiento jurídico.

Cómo empezar con Atriqo

El plan gratuito — 10.000 eventos facturables al mes (un evento facturable es cualquier evento registrado: página vista, clic saliente, descarga de archivo, error 404 o evento personalizado), sin tarjeta de crédito, sin caducidad — estará disponible en el lanzamiento.

Si quieres acceso anticipado, únete a la lista de espera.

Este artículo tiene únicamente fines informativos y no constituye asesoramiento jurídico. El cumplimiento del RGPD depende de la totalidad de tus actividades de tratamiento de datos, de tu jurisdicción y de las directrices publicadas por las autoridades de protección de datos aplicables a tu organización. Consulta a un profesional jurídico cualificado para obtener asesoramiento específico para tu situación.

Analítica sin el banner de cookies

Privacidad primero, RGPD-nativo, alojado en la UE (Alemania). Únete a la lista de espera.

Apuntarme a la lista Todos los artículos