RGPD y analytics: medir sin renunciar a la privacidad

Publicado el

← Volver
Laptop displaying a profile page with a plant.
Foto de Gabre Cameron en Unsplash

Quieres saber cuántas visitas tiene tu web, qué páginas funcionan y de dónde vienen los usuarios. Es una necesidad legítima. El problema es que la mayoría de las implementaciones de analytics no están bien configuradas desde el punto de vista legal, y eso expone a multa a cualquier responsable del tratamiento, independientemente del tamaño de la empresa.

Este artículo no es asesoramiento jurídico. Es una guía técnica y operativa para que desarrolladores y product managers entiendan las reglas del juego, tomen decisiones informadas y documenten su cumplimiento correctamente.

1. El punto de partida: ¿estás procesando datos personales?

Antes de hablar de consentimiento o bases jurídicas, hay que responder una pregunta más básica: ¿lo que recoge tu sistema de analytics son datos personales?

Los datos anonimizados no se consideran datos personales y, por tanto, no les es de aplicación la normativa de protección de datos. Esto es el principio clave. Si tu implementación de analytics solo recoge métricas verdaderamente anonimizadas —sin ninguna posibilidad de reidentificar al usuario—, el RGPD no aplica a esos datos.

La anonimización es el proceso por el que se produce una ruptura total de los datos con su información identificativa, de forma que no se puedan asociar de ninguna manera con la persona titular de los mismos. Es un proceso irreversible. Si hay cualquier vía técnica de reidentificar al usuario, no estamos ante anonimización: estamos ante seudonimización, que sí queda bajo el paraguas del RGPD.

El problema con la mayoría de herramientas estándar:

La dirección IP es un dato personal, y es uno de los datos que Google Analytics recaba, aunque no aparezca expuesta en los informes: la herramienta la usa para proporcionar datos de geolocalización. A esto se suma que las cookies ayudan a Google Analytics a identificar a un mismo usuario en distintas visitas. Aunque el operador de la web no tenga acceso a datos personales directamente, Google dispone de datos suficientes para identificar a los usuarios.

La conclusión práctica: cualquier herramienta que use cookies de seguimiento o almacene IPs sin truncar completamente procesa datos personales. Necesitas base jurídica.

2. Las bases jurídicas disponibles para analytics

El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime, y esas bases deben documentarse e identificarse claramente.

Para analytics web, las más relevantes son dos:

Consentimiento (Art. 6.1.a)

La opción más conocida. Pero también la más frágil operativamente: si eliges el consentimiento, debes recopilarlo de forma válida —libremente prestado, específico, informado, inequívoco— y estar preparado para gestionar su eventual retirada.

Además, en España y en la UE en general, las cookies de analytics no son necesarias para el funcionamiento del sitio, por lo que requieren consentimiento previo. Ese consentimiento debe renovarse de manera anual.

El consentimiento es la base correcta cuando usas herramientas que depositan cookies persistentes o recogen datos comportamentales detallados (segmentación demográfica, intereses, remarketing).

Interés legítimo (Art. 6.1.f)

Bajo el RGPD, el interés legítimo es una de las bases jurídicas para procesar datos personales: tu organización puede tratar datos sin consentimiento explícito si tiene una razón genuina y justificable, siempre que los intereses o derechos y libertades del interesado no prevalezcan.

Para analytics estadísticas básicas —sin perfilado de usuario, sin cruce con terceros, con datos mínimos—, el interés legítimo puede ser aplicable. Pero no es automático: se requiere un test de tres partes: el test de propósito (¿persigues un interés legítimo?), el de necesidad (¿el tratamiento es necesario para ese propósito?) y el de ponderación (¿ese interés no vulnera los derechos del interesado?).

El tratamiento debe estar debidamente registrado, incluyendo la mención expresa del interés legítimo como base jurídica y el resumen del análisis de ponderación, garantizando la transparencia informativa frente a los interesados.

Regla práctica: el interés legítimo puede funcionar para estadísticas propias simples con datos anonimizados o pseudoanonimizados, bien documentado. No funciona para análisis comportamental, remarketing ni cruce de datos con terceros.

3. El problema específico con GA4: transferencias internacionales

GA4 añade una capa adicional de riesgo que va más allá del consentimiento: las transferencias de datos a servidores fuera del Espacio Económico Europeo.

Las autoridades de protección de datos austriaca y francesa han declarado que las transferencias de datos de Google Analytics hacia EEUU violan el Reglamento Europeo de Protección de Datos. La razón de fondo es la sentencia Schrems II del TJUE.

La autoridad francesa (CNIL), teniendo en cuenta la resolución Schrems II, concluyó que la transferencia de datos a Estados Unidos constituye una infracción de los artículos 44 y siguientes del RGPD, concediendo un plazo de un mes al administrador del sitio web para adecuarse, si es necesario dejando de usar Google Analytics o usando una herramienta que no conduzca a la transferencia fuera de la UE.

Varias autoridades de protección de datos de la UE han emitido resoluciones en contra de implementaciones de GA4, haciendo que alternativas como Plausible o Matomo sean opciones más seguras para negocios con usuarios europeos.

Esto no significa que GA4 sea ilegal en toda circunstancia. Significa que usarlo correctamente exige: (a) Consent Mode v2 bien implementado, (b) un DPA (acuerdo de tratamiento de datos) firmado con Google, (c) configuración correcta de retención de datos y señales de Google desactivadas salvo consentimiento explícito.

4. Arquitectura mínima de analytics conforme a RGPD

Dependiendo de tu caso de uso, hay dos arquitecturas posibles:

Opción A — Analytics cookieless, sin banner

Si no necesitas datos individuales ni seguimiento cross-session, puedes eliminar el banner de cookies completamente usando herramientas que no depositan cookies y trabajan solo con datos agregados.

Plausible, por diseño, no usa cookies ni rastrea ninguna información personal identificable.

Con el tracking sin cookies activado, ya no necesitas mostrar banners de consentimiento disruptivos.

Las opciones más contrastadas en este segmento:

  • Plausible — Open-source, con opción de alojamiento cloud en servidores europeos, donde los datos de usuarios permanecen dentro de la UE. Script ligero, sin impacto significativo en rendimiento.
  • Matomo — Puede operar sin cookies si se configura correctamente, y en autoalojamiento eres el propietario de todos los datos crudos. Más complejo, pero más potente.
  • Umami — Open-source, datos anonimizados, sin datos personales almacenados, compatible con RGPD sin banner de consentimiento. Tiene nivel gratuito.

Opción B — Analytics completo con Consent Mode

Si necesitas GA4 con remarketing, conversiones avanzadas o atribución de campañas, el flujo correcto es:

  1. Bloquear todo script de analytics hasta que el usuario tome una decisión explícita.
  2. Implementar un CMP certificado (Consent Management Platform) por Google para Consent Mode v2.
  3. Configurar GA4 con retención de datos al mínimo, Google Signals desactivadas, sin datos demográficos salvo consentimiento.
  4. Firmar el DPA con Google desde la consola de Analytics.
  5. Documentarlo todo en tu Registro de Actividades de Tratamiento.

5. Los cinco errores que exponen a multa

Error 1: Banner de cookies que no bloquea

El error más frecuente y más peligrosamente invisible. Las últimas modificaciones del RGPD implican tener mayor control sobre las cookies y asegurar no solo que se informa a los usuarios, sino que se recaba su consentimiento explícito antes de que se instalen en el navegador. Las cookies deben estar bloqueadas hasta que el usuario dé su consentimiento o las rechace.

Un banner que carga GA4 en el mismo request que la página, antes de que el usuario haga clic en nada, es una infracción directa, independientemente de lo que diga el texto del banner.

Error 2: Rechazar cookies requiere más clics que aceptar

Google y Facebook fueron sancionadas por ofrecer botones para aceptar cookies de forma inmediata, sin una solución equivalente para rechazarlas con la misma facilidad. Se requirieron varios clics para rechazar todas las cookies, en contraste con un solo clic para aceptarlas. El estándar exigido es simetría: aceptar y rechazar deben tener el mismo coste de interacción para el usuario.

Error 3: IP sin anonimizar en herramientas propias

Si usas Matomo autoalojado u otra herramienta propia y almacenas IPs completas, estás procesando datos personales. Para evitar problemas con la normativa, es recomendable anonimizar la dirección IP. En Matomo esto se configura activando la opción de truncado de IP en el panel de privacidad.

Error 4: Interés legítimo sin documentación

Muchos sitios declaran interés legítimo como base para analytics en su política de privacidad, pero no tienen ningún análisis de ponderación documentado. Ante una eventual solicitud de la AEPD, el responsable debe estar en disposición de aportar el análisis de interés legítimo (LIA), los protocolos internos, los registros de tratamiento y los informes de evaluación de impacto cuando procedan.

Error 5: Compartir datos con herramientas de terceros fuera de la UE sin garantías

El alojamiento en la UE significa que tus datos se almacenan en servidores dentro del Espacio Económico Europeo, lo que satisface los requisitos de residencia de datos del RGPD. El tracking sin cookies elimina la necesidad de banners de consentimiento. Son soluciones a problemas diferentes: puedes necesitar ambas, o solo una, dependiendo de tus necesidades de cumplimiento.

6. Qué documentar y dónde

El RGPD exige “responsabilidad proactiva”: no basta con hacer las cosas bien, hay que poder demostrarlo.

Documentación mínima recomendada:

DocumentoQué incluye
Registro de Actividades de TratamientoFinalidad del analytics, base jurídica, datos recogidos, encargados (Google, Matomo, etc.), transferencias internacionales
LIA (Legitimate Interest Assessment)Solo si usas interés legítimo: test de propósito, necesidad y ponderación
DPA con proveedoresAcuerdo de tratamiento de datos firmado con cada proveedor externo
Política de cookiesCategorías, finalidades, duración, opciones de rechazo
Política de privacidadBase jurídica del analytics, derechos del usuario, datos de contacto del responsable

De acuerdo con la exigencia de responsabilidad proactiva, se deben documentar e identificar claramente las legitimaciones sobre las que se fundamentan los tratamientos. Hay que incluir la base legal al proporcionar información en el momento de recoger los datos, así como especificar y documentar los intereses legítimos en determinadas operaciones.

7. Checklist operativa

Antes de considerar tu implementación conforme, verifica estos puntos:

Herramienta y configuración

  • Identificado si la herramienta deposita cookies o no
  • IP anonimizada o truncada (si aplica)
  • Retención de datos configurada al mínimo necesario
  • Google Signals desactivadas (si usas GA4) salvo consentimiento
  • Datos demográficos desactivados salvo consentimiento

Base jurídica

  • Definida la base jurídica (consentimiento o interés legítimo)
  • Si es interés legítimo: LIA documentado y archivado
  • Si es consentimiento: banner bloquea los scripts antes del clic

Banner de consentimiento

  • Scripts de analytics bloqueados por defecto
  • Aceptar y rechazar tienen el mismo número de clics
  • Se registra la fecha y versión del consentimiento
  • Hay mecanismo para retirar el consentimiento en cualquier momento

Documentación

  • Registro de Actividades de Tratamiento actualizado
  • DPA firmado con cada proveedor externo
  • Política de privacidad refleja la base jurídica real
  • Política de cookies con todas las cookies activas listadas

Transferencias internacionales

  • Verificado si los datos salen del EEE
  • Si salen: garantías adecuadas documentadas (cláusulas contractuales tipo, decisión de adecuación)

Conclusión

Medir no es incompatible con respetar la privacidad. Lo que sí es incompatible con el RGPD es medir sin haber tomado decisiones conscientes sobre qué datos recoges, con qué base jurídica, y cómo lo documentas.

La arquitectura más sencilla y más robusta legalmente es analytics cookieless con una herramienta alojada en la UE: Plausible, Umami o Matomo autoalojado bien configurado. Sin banner, sin complejidad jurídica, sin riesgo de transferencias internacionales.

Si necesitas GA4 por razones de negocio —atribución publicitaria, integración con Google Ads—, la inversión en un CMP certificado y la documentación correcta son el coste de entrada. No es opcional.

Si tienes un proyecto en producción y quieres revisar cómo está configurado tu analytics, escríbeme y lo revisamos juntos.