Una guía práctica de Análisis web compatible con GDPR sin consentimiento

Esta guía explica Análisis web compatible con GDPR sin consentimiento de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

En algunos casos es posible realizar análisis web sin consentimiento, pero las condiciones son más estrictas de lo que sugieren muchas publicaciones de blogs. La pregunta no es si la herramienta se autodenomina sin cookies. La pregunta es si evita el acceso no esencial al dispositivo y evita el procesamiento de datos personales, o si tiene otra base legal válida para el procesamiento limitado.

Esta es una descripción general del riesgo legal, no un asesoramiento legal. Los equipos que operan en sectores regulados o en varios países de la UE deben validar su configuración con un asesor.

Las dos preguntas de consentimiento

Hay dos preguntas separadas:

1. ¿La herramienta de análisis almacena información o accede a información desde el dispositivo del visitante?
2. ¿La herramienta de análisis procesa datos personales?

La primera pregunta proviene de las reglas ePrivacy. El artículo 5, apartado 3, de la Directiva ePrivacy exige el consentimiento para almacenar o acceder a información en equipos terminales, a menos que se aplique una exención. Las Directrices 2/2023 finales del EDPB dejan claro que esto no se limita a las cookies.

La segunda pregunta proviene de GDPR. Si Analytics procesa datos personales, necesita una base legal, transparencia, minimización, límites de retención y procesos de derechos de los interesados. El consentimiento es una base legal, pero no la única. Sin embargo, cuando ePrivacy requiere consentimiento para el mecanismo de recopilación, ese consentimiento a menudo también impulsa el análisis posterior de GDPR.

Cuando el análisis sin consentimiento es más plausible

El análisis sin consentimiento es más defendible cuando la herramienta:

• no establece cookies
• no utiliza localStorage, sessionStorage, IndexedDB o almacenamiento similar
• no toma huellas dactilares de los dispositivos
• no utiliza identificadores de usuario persistentes
• no recopila direcciones IP sin procesar en informes
• parámetros de consulta de tiras o listas permitidas
• utiliza solo informes agregados
• no comparte datos con redes publicitarias
• no combina datos analíticos entre clientes
• mantiene la retención corta

La guía de medición de audiencia de la CNIL es un punto de referencia útil para este tipo de configuración. Permite exenciones limitadas de medición de audiencia solo bajo condiciones estrictas y dice que la mayoría de las grandes ofertas de medición de audiencia no califican independientemente de la configuración.

Los intereses legítimos no son una solución alternativa a las cookies

Algunos equipos dicen: "Nos basamos en intereses legítimos para el análisis". Esto puede ser relevante según GDPR para procesamiento limitado, pero no anula los requisitos de consentimiento ePrivacy cuando la herramienta almacena o accede a información en el dispositivo del usuario.

En otras palabras: si sus análisis requieren una cookie no esencial, normalmente no puede evitar el consentimiento de las cookies señalando intereses legítimos.

¿Qué pasa con los registros del servidor?

Los registros básicos del servidor pueden ser necesarios para la seguridad, la depuración y la prestación de servicios. La analítica creada a partir de registros puede tener un riesgo menor que el seguimiento basado en navegador, pero no es automáticamente anónima. Las direcciones IP pueden ser datos personales según la legislación de la UE y los registros detallados pueden revelar el comportamiento.

Si utiliza registros para análisis:

• registros de seguridad separados de los informes analíticos
• truncar o anonimizar direcciones IP rápidamente
• excluir rutas sensibles
• limitar la retención
• restringir el acceso
• agregar antes de informar

No convierta silenciosamente los registros de seguridad en un producto de análisis de comportamiento.

¿Qué pasa con los identificadores hash?

Hashing no anonimiza automáticamente los datos. Si la misma entrada produce el mismo resultado y puede vincular las visitas a lo largo del tiempo, el resultado puede seguir siendo datos personales seudónimos. Las sales rotativas, las ventanas cortas y la derivación unidireccional reducen el riesgo, pero no excusan el seguimiento ilimitado.

Utilice claves de visita derivadas solo cuando sea necesario, rótelas con frecuencia y evite usarlas en varios sitios o durante períodos prolongados.

Un árbol de decisiones práctico

Haga estas preguntas:

1. ¿La herramienta configura o lee algo en el dispositivo del usuario?
   • En caso afirmativo, marque el consentimiento ePrivacy o una exención limitada.
2. ¿La herramienta crea un identificador estable?
   • En caso afirmativo, trátelo como seguimiento y evalúe el riesgo GDPR.
3. ¿La herramienta envía datos a un tercero?
   • En caso afirmativo, revise la función, el propósito, las transferencias y la reutilización del proveedor.
4. ¿Se utilizan los datos para publicidad, personalización o elaboración de perfiles?
   • En caso afirmativo, es probable que se requiera consentimiento y el riesgo de privacidad sea alto.
5. ¿Se puede responder la misma pregunta empresarial con datos agregados?
   • Si es así, cobra menos.

Qué poner en su aviso de privacidad

Incluso si no necesita un banner de consentimiento, sea transparente. Explique:

• qué herramienta de análisis utilizas
• qué datos se recopilan
• si se utilizan cookies
• si los datos se comparten con terceros
• período de retención
• cómo los usuarios pueden objetar o hacer preguntas

La enfoque de privacidad no significa invisible.

Lista de verificación de pruebas sin consentimiento

Antes de decir que el análisis no requiere consentimiento, conserve evidencia de cuatro afirmaciones: no hay almacenamiento o acceso al dispositivo no esencial, no hay identificador de visitante o huella digital estable, no hay publicidad ni reutilización entre sitios, y no hay datos personales más allá de lo necesario para la medición agregada. Agregue al registro capturas de pantalla del almacenamiento del navegador, muestras de carga útil de la red, configuraciones de retención y documentación del proveedor.

Luego, vuelva a realizar la prueba después de los cambios de marketing o del administrador de etiquetas. El estado sin consentimiento no es permanente si alguien agrega un píxel, una identificación persistente, una exportación a nivel de usuario o un nuevo destino.

El resultado final

El caso más sólido de análisis sin consentimiento es simple: sin almacenamiento en el navegador, sin huellas dactilares, sin identificadores personales en los informes, sin reutilización de anuncios, retención breve y medición agregada con un propósito limitado.

Si su herramienta de análisis necesita reconocer personas a lo largo del tiempo, enriquecer las audiencias de anuncios o combinar datos entre sitios, no es lo mismo. Puede que aún sea legal con el consentimiento y los controles adecuados, pero no se trata de un análisis sin consentimiento que prioriza la privacidad.

Documentar el caso sin consentimiento

Si decide que la analítica se puede ejecutar sin consentimiento, documente el razonamiento en una página. Incluya si la herramienta almacena o lee información del dispositivo, si las direcciones IP se recopilan o truncan, si los identificadores son estables, si los informes son agregados, dónde se procesan los datos, quién los recibe y el período de retención.

Adjunte evidencia técnica: capturas de pantalla de almacenamiento del navegador, solicitudes de red de muestra, ejemplos de carga útil de eventos y documentación del proveedor. Luego programe una nueva verificación después de cambios en el producto. El estado sin consentimiento se puede perder si alguien agrega huellas dactilares, identificaciones de usuario, exportaciones de publicidad o una integración de administrador de etiquetas. La cuestión no es crear papeleo por sí mismo; es para evitar que una implementación limitada se convierta silenciosamente en un seguimiento ordinario.