Analytics sin cookies: guía completa para medir sin consentimiento

TL;DR — La analítica sin cookies designa los métodos de medición de audiencia que no depositan cookies analíticas sujetas a consentimiento. Existen dos enfoques principales: una exención regulatoria para herramientas de medición de audiencia configuradas de forma estricta (exención de la CNIL en Francia, orientación equivalente de la AEPD en España) y las alternativas cookieless que utilizan otros mecanismos técnicos. Ambos permiten medir el tráfico sin un banner de consentimiento, bajo condiciones específicas.

Medir la audiencia de un sitio web sin cookies analíticas se ha convertido en un reto central desde 2022. Las autoridades de protección de datos europeas endurecieron la aplicación de la Directiva ePrivacy, Google Analytics se enfrentó a decisiones desfavorables en varios países de la UE, y las tasas de rechazo de los banners de cookies aumentaron. Muchos sitios operan ahora con menos del 60 % de cobertura analítica. Esta guía presenta las opciones disponibles, sus condiciones de uso y sus límites reales.

¿Qué es la analítica sin cookies?

La analítica sin cookies engloba todas las técnicas de medición de tráfico web que no se basan en el depósito de cookies persistentes sujetas a consentimiento. Cubre dos grandes familias: las herramientas que se benefician de una exención regulatoria y las alternativas que eluden las cookies de seguimiento mediante otros mecanismos técnicos.

Lo que 'sin cookies' realmente significa

Sin cookies no significa sin datos. Algunas herramientas utilizan tokens de sesión en el servidor; otras agregan datos sin identificar a los individuos. La ausencia de una cookie no elimina una actividad de tratamiento del ámbito del RGPD si se procesan datos personales. La pregunta relevante es si la técnica permite la identificación individual.

Exención regulatoria frente a alternativas cookieless

La primera categoría cubre herramientas con una exención legal (Matomo en modo estricto, algunas soluciones analíticas europeas reconocidas). La segunda categoría cubre soluciones cookieless que utilizan otros métodos de medición no sujetos a consentimiento (registros del servidor, datos agregados, modelización). Ambos enfoques difieren significativamente en condiciones y precisión de datos.

La exención de medición de audiencia

Varias autoridades europeas de protección de datos conceden una exención de consentimiento a las herramientas de medición de audiencia que cumplen condiciones estrictas. En España, la AEPD ha publicado orientaciones equivalentes a las de la CNIL francesa. Una herramienta que cumpla estas condiciones puede desplegarse sin banner de cookies para el componente analítico.

Las cinco condiciones para la exención

1. Finalidad estrictamente limitada: solo medición de audiencia, sin elaboración de perfiles ni cruce con otros datos.
2. Ámbito restringido al sitio: los datos no pueden compartirse con terceros ni utilizarse para otros dominios.
3. Duración limitada: conservación máxima de 13 meses para los datos, 6 meses para la validez del consentimiento asociado.
4. Información a los usuarios: los visitantes deben ser informados y disponer de un mecanismo de exclusión voluntaria.
5. Sin seguimiento entre sitios: no se puede rastrear al mismo usuario entre diferentes dominios.

¿Qué herramientas califican?

Matomo (antes Piwik) es la herramienta de referencia para la exención cuando se configura en modo exento: cookies desactivadas, IP anonimizada, almacenamiento local mínimo, sin compartir datos. La configuración estándar de Matomo instala cookies y no está exenta. Otras soluciones analíticas alojadas en Europa también aspiran a esta exención. Google Analytics 4 en su configuración estándar no cumple las condiciones: los datos se transfieren a servidores estadounidenses y se cruzan potencialmente con otros servicios de Google.

Alternativas cookieless disponibles

Más allá de la exención regulatoria, varios enfoques permiten medir la audiencia sin cookies de seguimiento sujetas a consentimiento.

Análisis de registros del servidor

Los registros de acceso del servidor (Apache, Nginx) registran cada solicitud sin una cookie. Esto es lícito sin consentimiento (datos operativos) y proporciona datos de tráfico globales. Limitaciones: no distingue bots de humanos, no captura el comportamiento en la página (desplazamiento, clics) y es menos preciso que una herramienta analítica moderna. Útil para sitios sencillos o como complemento.

Datos agregados y modelización

Algunas herramientas ofrecen datos agregados y anonimizados sin intentar identificar a los individuos. Estiman tendencias (páginas populares, fuentes de tráfico, tasa de rebote aproximada) usando datos de sesión no persistentes. Estos enfoques son menos precisos pero no requieren consentimiento si no se procesan datos personales en el sentido del RGPD.

Google Consent Mode v2 y modelización de conversiones

Google Consent Mode v2 permite la modelización estadística de conversiones incluso sin consentimiento explícito. En modo básico, GA4 envía señales agregadas sin identificar a los usuarios que rechazan, y Google modela las conversiones perdidas. Este enfoque no reemplaza a la analítica completa pero recupera parte de los datos de conversión perdidos. Requiere una CMP conforme. Consulta la guía de FlowConsent /es/blog/google-consent-mode-v2-guia-implementacion para la configuración.

Errores frecuentes

Confundir 'cookieless' con 'sin necesidad de consentimiento'. Una herramienta puede ser cookieless pero seguir procesando datos personales (huella digital, dirección IP) que requieren una base legal.

Asumir que Matomo está exento por defecto. Matomo en configuración estándar instala cookies y no está exento. La exención requiere una configuración específica y documentada.

Olvidar informar a los usuarios. La exención regulatoria no elimina la obligación de informar a los visitantes en la política de privacidad y ofrecer un mecanismo de exclusión.

Creer que GA4 está exento de consentimiento. GA4 no está exento bajo el RGPD. Requiere una CMP conforme y Consent Mode v2 para su uso lícito en la UE.

Combinar varias herramientas sin auditoría previa. Utilizar una herramienta cookieless junto a GA4 puede crear duplicaciones de datos y dudas sobre la base legal. Documentar cada tratamiento en el registro del RGPD.

Lista de verificación: analítica sin cookies

1. Definir la necesidad: ¿solo medición de audiencia o también seguimiento de conversiones y publicidad?
2. Para medición de audiencia: evaluar Matomo en modo exento o una solución analítica europea reconocida.
3. Verificar todas las condiciones de exención: finalidad, ámbito, duración, información, sin seguimiento entre sitios.
4. Para seguimiento de conversiones: activar Google Consent Mode v2 con una CMP conforme.
5. Documentar todas las actividades de tratamiento analítico en el registro de tratamiento.
6. Informar a los visitantes en la política de privacidad con enlace directo de exclusión.
7. Probar en navegación privada que ningún script analítico sujeto a consentimiento se carga sin acuerdo.
8. Auditar el sitio en /es/scan para identificar todas las cookies analíticas activas.
9. Planificar un nuevo análisis después de cada actualización de la herramienta analítica.
10. Consultar a un DPD si se combinan varias herramientas o si el sitio trata datos sensibles.

La analítica sin cookies implica un equilibrio entre precisión de los datos, cumplimiento normativo y recursos técnicos. La exención regulatoria es la vía más directa para los sitios que buscan eliminar el banner de consentimiento analítico, bajo condiciones estrictas. Para sitios con requisitos de conversión y publicidad, Consent Mode v2 sigue siendo imprescindible como complemento. Escanea tu sitio en /es/scan para ver exactamente qué cookies analíticas están activas.