Una guía práctica de Cómo crear análisis de sitios web compatibles

Esta guía explica Cómo crear análisis de sitios web compatibles de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

El análisis sin cookies no cumple automáticamente con GDPR. Es una dirección de diseño, no una etiqueta mágica.

Una herramienta puede evitar las cookies y aun así recopilar datos personales. Puede codificar direcciones IP de manera que sigan siendo vinculables. Puede tomar huellas dactilares de dispositivos. Puede almacenar seguimientos de eventos detallados que identifican a las personas. Para crear análisis que realmente tengan en cuenta la privacidad, es necesario reducir tanto el almacenamiento como la identificabilidad del navegador.

Empieza con las dos capas legales

La analítica europea suele tocar dos regímenes relacionados pero distintos.

La Directiva ePrivacy, implementada a través de leyes nacionales, regula el almacenamiento de información o el acceso a información desde el equipo terminal de un usuario. Las [Directrices 2/2023 sobre el artículo 5, apartado 3] finales del CEPD (https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202302_technical_scope_art_53_eprivacydirective_v2_en_0.pdf) dejan claro que el alcance es más amplio que las cookies clásicas.

La GDPR regula el tratamiento de datos personales. Una configuración puede evitar las cookies pero aun así procesar datos personales si recopila direcciones IP, identificaciones únicas, ubicación granular, huellas digitales del dispositivo o comportamiento detallado que pueda identificar o seleccionar a una persona.

Entonces el objetivo de la arquitectura es doble:

• Evita el almacenamiento del navegador y el acceso al dispositivo no esenciales
• minimizar o anonimizar los datos personales en el proceso de análisis

Qué no hacer

No reemplace simplemente las cookies con huellas dactilares. La combinación de dirección IP, agente de usuario, zona horaria, tamaño de pantalla, fuentes, idioma y propiedades del dispositivo para crear un identificador estable todavía se está rastreando. Puede ser peor porque los usuarios no pueden verlo ni eliminarlo fácilmente.

No asumas que el hash equivale a anonimización. Un hash de una dirección IP y un agente de usuario aún pueden ser datos personales si la misma entrada produce la misma salida y el controlador puede vincular la actividad a lo largo del tiempo. La guía GDPR del CEPD trata los datos seudonimizados como datos personales cuando la reidentificación sigue siendo razonablemente posible.

No envíe URLs completo sin sanitización. Las cadenas de consulta suelen contener datos personales, tokens, direcciones de correo electrónico, términos de búsqueda o ID de clics en anuncios.

No reutilice los datos de analítica para publicidad. La [guía de medición de audiencia] de CNIL (https://www.cnil.fr/en/sheet-ndeg16-use-analytics-your-websites-and-applications) trata la analítica exentos de manera estricta: propósito limitado, sin seguimiento entre sitios, sin combinación con otros datos y sin divulgación para fines no relacionados.

Una mejor arquitectura sin cookies

Un evento de análisis de privacidad debe ser pequeño:

{
  "type": "pageview",
  "path": "/pricing",
  "referrer_host": "example.com",
  "utm_source": "newsletter",
  "utm_medium": "email",
  "country": "DE",
  "device": "desktop"
}

Evita enviar:

• direcciones IP sin procesar para almacenamiento a largo plazo
• agentes de usuario completos si una categoría aproximada de navegador/dispositivo es suficiente
• cadenas de consulta completas
• correos electrónicos, nombres, ID de cuenta, direcciones de billetera o ID de cliente
• campos de formulario de formato libre
• geolocalización precisa

Utiliza la dirección IP solo de forma transitoria, si es necesario, para derivar un país o región aproximado. Deséchelo antes del almacenamiento persistente. Si necesita detección de bots o limitación de velocidad, mantenga esa canalización separada de los informes de analítica y aplique una retención breve.

Contando visitas sin cookies

Contar páginas vistas es fácil sin identificadores. Contar las visitas es más difícil.

Un patrón común para preservar la privacidad es crear una clave de visita derivada de corta duración a partir de los atributos de la solicitud más una sal secreta rotativa. Por ejemplo, un servidor puede derivar una clave a partir del prefijo de IP, un agente de usuario aproximado, un ID de sitio y un salt que rota diariamente o con mayor frecuencia. Las entradas sin procesar no se almacenan y la clave no se puede utilizar durante períodos prolongados.

Este sigue siendo un enfoque lleno de advertencias. Puede ser seudónimo en lugar de anónimo, según la implementación, la retención y la capacidad del controlador para volver a calcular o vincular registros. Trátelo como una técnica de minimización, no como una prueba de que GDPR ya no se aplica.

Si puedes responder la pregunta empresarial con menos, haz menos. Muchos equipos solo necesitan páginas vistas, páginas principales, referencias, campañas y conversiones. Los recuentos de visitantes únicos son útiles, pero no merecen un seguimiento invasivo.

Análisis sin consentimiento: cuándo es Plausible

El análisis sin consentimiento es más plausible cuando:

• no se utilizan cookies, localStorage o identificadores similares
• no se crea ninguna huella digital del dispositivo
• los datos personales no se almacenan o se anonimizan de forma rápida e irreversible
• los datos solo se utilizan para medir la audiencia agregada
• los datos no se comparten con redes publicitarias ni se reutilizan entre clientes
• la retención es corta
• los usuarios son informados de forma transparente
• Se excluyen las páginas y parámetros sensibles.

Es por eso que muchas herramientas que priorizan la privacidad son más simples que Google Analytics. La simplicidad no es una característica que falta. Es la estrategia de cumplimiento.

Lista de verificación de implementación

Antes del lanzamiento, pruebe el sitio en un perfil de navegador limpio:

1. Abra DevTools y confirme que no haya cookies de análisis configuradas.
2. Verifique localStorage, sessionStorage, IndexedDB y el uso de caché.
3. Inspeccione las solicitudes de red y confirme que las cargas útiles de analítica sean mínimas.
4. Confirma que los parámetros de consulta estén incluidos en la lista de permitidos o eliminados.
5. Verifique que GPC o las opciones de consentimiento deshabiliten las etiquetas publicitarias.
6. Confirma que la configuración de retención coincida con tu aviso de privacidad.
7. Documente la base legal y el análisis ePrivacy con un abogado si opera en mercados regulados.

Verificación de la realidad del cumplimiento

No trates la opción "sin cookies" como una conclusión legal. Antes del lanzamiento, documente cada evento, la decisión que respalda, si está involucrado algún dispositivo de almacenamiento o identificador, qué proveedores reciben los datos y cuándo caducan los registros sin procesar.

Luego pruebe el sitio en un perfil de navegador limpio y compare el resultado con el aviso de privacidad. Si el navegador todavía muestra llamadas de terceros, identificadores persistentes o datos de cadenas de consulta no planificadas, el historial de cumplimiento necesita más trabajo antes de que se publique el reclamo de marketing.

El resultado final

El análisis sin cookies alineado con GDPR es posible, pero solo cuando el sistema está diseñado en torno a la minimización de datos. Evita el almacenamiento en el dispositivo, evite los identificadores entre sitios, evite la reutilización de anuncios y mantenga los informes agregados.

La configuración de análisis de menor riesgo es aquella que responde a la pregunta comercial sin necesidad de saber quién es el visitante.