Una guía práctica de consentimiento para el rastreo

Esta guía explica consentimiento para el rastreo de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

El consentimiento de seguimiento es válido según el RGPD solo cuando la persona tiene una elección real e informada. Un banner que empuja, confunde, oculta el rechazo o agrupa finalidades no relacionadas puede recopilar clics, pero puede que no recopile un consentimiento válido.

Esto importa para la analítica porque muchas herramientas de seguimiento web dependen de cookies o tecnologías similares. En Europa y el Reino Unido, las tecnologías de analítica y publicidad no esenciales suelen requerir consentimiento antes de ejecutarse.

El estándar de consentimiento del RGPD

El EDPB explica que el consentimiento válido debe ser libre, específico, informado e inequívoco, con la posibilidad de retirar el consentimiento posteriormente (Preguntas frecuentes del EDPB sobre consentimiento). Sus directrices sobre consentimiento ofrecen una interpretación más profunda (Directrices 05/2020 del EDPB).

Para el seguimiento, eso significa:

• Libre: Los usuarios deben poder rechazar sin presión injusta.
• Específico: Las finalidades separadas necesitan elecciones separadas.
• Informado: Los usuarios necesitan información clara sobre qué datos se recopilan, quién los recibe y por qué.
• Inequívoco: El consentimiento requiere una acción afirmativa clara.
• Revocable: La retirada debe ser posible en cualquier momento y debería ser tan fácil como otorgar el consentimiento.

Las casillas premarcadas, el silencio, la inactividad o «al seguir navegando» no son mecanismos de consentimiento fiables.

El consentimiento no es lo mismo que el aviso

Una política de privacidad por sí sola no crea consentimiento. El aviso informa a las personas sobre lo que haces. El consentimiento pide permiso antes de una actividad concreta de tratamiento.

Para analítica, un flujo de consentimiento válido debería explicar:

• Qué herramientas de analítica se ejecutarán.
• Si se utilizan cookies o tecnologías similares.
• Qué finalidades aplican: analítica, publicidad, personalización, pruebas A/B, session replay.
• Si los datos se comparten con terceros.
• Si los datos se transfieren internacionalmente.
• Cómo la persona puede rechazar o retirar.

Si el banner dice «usamos cookies para mejorar tu experiencia» mientras también carga píxeles publicitarios, perfilado conductual y APIs de conversión, es poco probable que el consentimiento sea informado o específico.

Errores en banners de cookies

Los problemas comunes incluyen:

• Mostrar solo «Aceptar» en la primera capa.
• Ocultar «Rechazar» dentro de ajustes.
• Usar botones de rechazo con bajo contraste.
• Preseleccionar interruptores de analítica o publicidad.
• Agrupar analítica y publicidad en un solo interruptor.
• Cargar rastreadores antes del consentimiento.
• Hacer que retirar sea más difícil que aceptar.
• Tratar el interés legítimo como un atajo para cookies que requieren consentimiento.

El Grupo de trabajo sobre banners de cookies del EDPB informó preocupaciones sobre prácticas como casillas premarcadas y opciones de rechazo más difíciles de encontrar que las de aceptación (Informe en PDF del EDPB).

Consentimiento para analítica en la práctica

Una configuración de analítica conforme empieza antes del diseño del banner:

1. Inventariar todas las etiquetas, cookies, SDKs, píxeles y scripts.
2. Clasificar cada finalidad.
3. Decidir qué herramientas son estrictamente necesarias y cuáles son opcionales.
4. Bloquear las herramientas opcionales hasta que se otorgue el consentimiento requerido.
5. Almacenar el estado del consentimiento sin usarlo para seguimiento adicional.
6. Proporcionar una forma persistente de cambiar preferencias.
7. Registrar evidencia suficiente del consentimiento para demostrar cumplimiento.

Para algunas herramientas de medición de audiencia de bajo riesgo, ciertos reguladores permiten exenciones limitadas cuando se cumplen condiciones estrictas. CNIL, por ejemplo, describe condiciones para rastreadores de medición de audiencia que pueden estar exentos de consentimiento cuando se limitan a medir la audiencia en nombre del editor (CNIL). No asumas que toda herramienta de analítica califica.

La retirada debe ser real

La retirada suele ser donde fallan los programas de consentimiento. Si aceptar requiere un clic, rechazar o retirar no debería exigir buscar en el pie de página, iniciar sesión en una cuenta, enviar un correo a soporte o navegar por un laberinto de interruptores.

Buena práctica:

• Mantener un enlace visible de cookies o preferencias de privacidad.
• Permitir a los usuarios desactivar categorías de forma individual.
• Detener el seguimiento futuro tras la retirada.
• Evitar dark patterns en el panel de ajustes.
• Explicar si los datos recopilados previamente se conservarán o eliminarán.

Alternativa con privacidad

El banner de consentimiento más limpio es el que no necesitas porque tu sitio no usa rastreadores opcionales. La analítica sin cookies y con privacidad puede responder con frecuencia a preguntas clave de negocio con datos agregados, sin identificadores publicitarios, sin seguimiento entre sitios, sin almacenamiento completo de IP y sin perfilado.

Aun así, debes revisar las normas locales de ePrivacy y tu implementación exacta. Pero reducir el seguimiento es más fiable que intentar hacer legalmente aceptable una interfaz de consentimiento manipuladora.

El consentimiento no es un growth hack. Es una elección del usuario. Si tu estrategia de analítica solo funciona cuando se empuja a los usuarios a aceptar, la estrategia ya te está diciendo algo.

Evidencia del consentimiento

Si te basas en el consentimiento, conserva evidencia suficiente para demostrar qué ocurrió sin crear un nuevo problema de seguimiento. Los registros útiles incluyen la versión del consentimiento, la marca temporal, las categorías aceptadas o rechazadas, el idioma de la interfaz y el mecanismo utilizado para cambiar preferencias. Evita almacenar identificadores innecesarios solo para probar el consentimiento.

Revisa también el consentimiento después de cambios importantes. Añadir un nuevo proveedor publicitario, una herramienta de session replay o una nueva finalidad de analítica puede requerir una nueva elección porque el consentimiento anterior puede no cubrir el nuevo tratamiento.

QA de consentimiento antes del lanzamiento

Prueba el consentimiento como una funcionalidad de producto. En un perfil de navegador limpio, carga el sitio y confirma que los scripts opcionales de analítica, publicidad, replay y personalización no se ejecutan antes de una elección. Haz clic en rechazar y verifica que siguen bloqueados. Haz clic en aceptar para una categoría y verifica que solo se carga esa categoría. Luego retira el consentimiento y confirma que las cargas de página futuras respetan el nuevo estado.

Guarda capturas de pantalla o logs para cada estado. Esto ofrece la misma evidencia a ingeniería, legal y marketing. También detecta errores sutiles, como un tag manager que dispara un píxel antes de que se inicialice el gestor de consentimiento o un evento del lado servidor que continúa después de que se retiró el consentimiento en el navegador.

Checklist de verificación de consentimiento

Prueba el consentimiento en el navegador, no solo en los ajustes del banner. Antes de cualquier elección, después del rechazo, después del consentimiento solo de analítica, después del consentimiento de marketing y después de la retirada, inspecciona llamadas de red, cookies, local storage, píxeles, disparadores del tag manager, SDKs y eventos del lado servidor.

Si te basas en una exención limitada de analítica, documenta la configuración exacta: finalidad de medición de audiencia, sin reutilización publicitaria, sin seguimiento entre sitios, identificadores limitados, retención corta, acceso solo del editor e información clara al usuario. Si las etiquetas opcionales siguen disparándose antes de una elección válida, la capa de consentimiento es cosmética.