El coste oculto de los banners de consentimiento
Los banners de consentimiento no son solo un problema de UX. Son un problema de datos. En los mercados europeos con plataformas de gestión del consentimiento activas, entre el 30 y el 50 % de los visitantes rechazan o ignoran el banner. Ese tráfico desaparece completamente de tu analítica. Los datos sobre los que tomas decisiones no son una muestra representativa de tu audiencia real.
Si necesitas un banner de consentimiento depende completamente de lo que hace técnicamente tu herramienta de analítica, no del hecho de que estés haciendo analítica.
Qué activa realmente el requisito de consentimiento
El requisito legal de banners de consentimiento en Europa proviene de dos textos separados que a menudo se confunden:
- La Directiva ePrivacy (2002/58/CE), Artículo 5(3): Requiere consentimiento antes de almacenar cualquier información en el dispositivo de un usuario o acceder a ella. Esto cubre las cookies, el localStorage y cualquier forma de persistencia del lado del cliente.
- El RGPD: Requiere una base legal para el tratamiento de datos personales, de la cual el consentimiento es una opción pero no la única.
El banner de consentimiento para analítica es principalmente un requisito de ePrivacy, no del RGPD. Si tu herramienta de analítica coloca una cookie en el navegador del visitante, el Artículo 5(3) se aplica y se requiere consentimiento antes de que se establezca esa cookie.
Si tu herramienta no almacena nada en el dispositivo del visitante, el Artículo 5(3) no se aplica. El requisito del banner de consentimiento desaparece en su raíz legal.
Cómo la analítica sin cookies evita el requisito
Las herramientas de analítica sin cookies funcionan de manera diferente a nivel técnico. En lugar de colocar un identificador en el dispositivo del visitante y leerlo en cada visita posterior, procesan señales disponibles en el lado del servidor: la dirección IP, la cadena de agente de usuario, el encabezado de referencia y la ruta de la página.
A partir de estas señales, la herramienta deriva la fuente de tráfico, el tipo de dispositivo, el país y los datos de sesión sin almacenar nada en el navegador del visitante. No se establece ninguna cookie. No se escribe ninguna clave de localStorage. El Artículo 5(3) de la Directiva ePrivacy simplemente no se aplica.
Esto no es un vacío regulatorio. Es la consecuencia directa de cómo está redactada la ley. El requisito de consentimiento está vinculado al almacenamiento en el equipo terminal, no a la analítica como categoría.
El RGPD sigue aplicándose: por qué no es un problema
Incluso sin cookies, las direcciones IP son datos personales según el RGPD. Una herramienta sin cookies sigue procesando datos personales cuando recibe una solicitud de un navegador. La pregunta es qué base legal se aplica.
Para herramientas de analítica que:
- anonimizan o hashean las direcciones IP inmediatamente al recibirlas
- no crean perfiles de usuarios individuales
- no comparten datos con terceros
- almacenan datos exclusivamente dentro de la UE
- usan los datos solo para la medición de audiencia agregada
El interés legítimo (Artículo 6(1)(f) del RGPD) es una base legal válida. El tratamiento es proporcionado, el impacto en el individuo es mínimo y el propósito es legítimo. No se requiere consentimiento.
Los criterios de la CNIL: la guía más detallada de la UE
La CNIL publicó criterios específicos para herramientas de analítica que pueden operar sin consentimiento. Para calificar, una herramienta de analítica debe:
Por qué Google Analytics no cumple estos criterios
- Cookies: GA4 establece cookies de origen que persisten entre sesiones:
_ga(identificador único del navegador, guardado durante 2 años),_gid(identificador de sesión, 24 horas). Esto activa inmediatamente el requisito de consentimiento del Artículo 5(3). - Uso propio de los datos por parte de Google: Los términos de servicio de Google permiten a Google usar los datos de analítica para su propia mejora de productos. Los datos se comparten con un tercero que tiene sus propios propósitos de tratamiento.
La resolución de la CNIL no dice «la analítica requiere consentimiento». Dice «Google Analytics requiere consentimiento por cómo funciona Google Analytics». El requisito es específico de la herramienta, no de la categoría.
| Google Analytics 4 Ver comparación → |
Sublim Analytics Probar gratis → |
|
|---|---|---|
| Banner de consentimiento requerido | Sí | No |
| Completitud de los datos | ~60 % | 100 % |
| Datos alojados en la UE | No | Sí |
| Compartición de datos con terceros | Ninguna |
Implicaciones prácticas para tu configuración de analítica
Ves el 100 % de tu tráfico. No hay embudo de consentimiento por el que perder visitantes. El visitante que llega, lee una página y se va se cuenta. Tus datos coinciden con tu audiencia real.
Tu sitio no tiene banner de consentimiento para analítica. Puede que aún necesites uno para otros propósitos (cookies publicitarias, píxeles de marketing, incrustaciones de terceros). Pero si la analítica es la razón principal por la que muestras un banner, esa razón desaparece.
Para una comparación de herramientas que califican, consulta nuestra comparación de herramientas de analítica web.
Lo que hay que hacer bien en tu política de privacidad
Operar sin banner de consentimiento no significa operar sin transparencia. Incluso bajo interés legítimo, el RGPD requiere informar a los usuarios sobre el tratamiento de datos. Tu política de privacidad debe describir:
- Qué datos se recopilan (ruta de página, referencia, país, tipo de dispositivo)
- La base legal (interés legítimo para la medición de audiencia)
- El período de retención
- Cómo los usuarios pueden darse de baja
