¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Matomo (anteriormente Piwik) es una plataforma de análisis web de código abierto que le otorga plena soberanía sobre sus datos. Disponible como solución autoalojada, servicio en la nube o plugin de WordPress, Matomo rastrea el comportamiento de los visitantes mediante cookies de origen y admite el seguimiento sin cookies. Aprobada por la CNIL para la exención de consentimiento cuando se configura correctamente.
Matomo (anteriormente conocido como Piwik) es una plataforma de análisis web de código abierto que ofrece soberanía total sobre los datos. A diferencia de servicios en la nube como Google Analytics, Matomo puede alojarse en servidores propios, lo que otorga control completo sobre todos los datos de usuario recopilados. Con más de 1,4 millones de sitios web en todo el mundo, Matomo es la alternativa más respetuosa con la privacidad frente a las soluciones de análisis comerciales.
Matomo utiliza cookies de origen para el seguimiento de visitantes. Las principales cookies son _pk_id (ID del visitante, duración 13 meses), _pk_ses (cookie de sesión, duración 30 minutos) y _pk_ref (información del referente, duración 6 meses). Matomo recopila direcciones IP, tipo de navegador, sistema operativo, páginas vistas, tiempo de permanencia y fuentes de referencia.
El uso de Matomo está sujeto al RGPD y a la Directiva ePrivacy. Dado que Matomo procesa datos personales como direcciones IP e identificadores en línea, se requiere una base jurídica conforme al artículo 6 del RGPD. La Directiva ePrivacy exige el consentimiento previo para las cookies de seguimiento. Existen excepciones en Francia bajo condiciones de la CNIL, siempre que no se compartan datos con terceros.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
En la mayoría de los Estados miembros de la UE se requiere el consentimiento explícito para las cookies de Matomo. La base jurídica aplicable es el artículo 6, apartado 1, letra a) del RGPD (consentimiento) o el artículo 6, apartado 1, letra f) del RGPD (interés legítimo). Si se invoca el interés legítimo, debe documentarse un análisis de ponderación. Matomo ofrece una función de exclusión voluntaria integrada y compatibilidad con plataformas de gestión del consentimiento.
Una ventaja fundamental de Matomo es la posibilidad de almacenar todos los datos en servidores propios. En un despliegue local no se producen transferencias a terceros países. Matomo Cloud almacena los datos exclusivamente en la UE (Alemania y Francia). Esto elimina el problema de la transferencia de datos personales a Estados Unidos que existe con Google Analytics.
Para una implementación de Matomo conforme al RGPD se recomiendan los siguientes pasos: activar la anonimización de IP, suscribir un contrato de encargado del tratamiento con Matomo Cloud, incluir Matomo en el registro de actividades de tratamiento, integrar una CMP y realizar auditorías de privacidad periódicas. Informe a los usuarios de forma completa sobre el uso de Matomo en su política de privacidad.
Websites using Matomo Analytics must obtain user consent under GDPR regulations.
DPIA considerations
Por lo general no se requiere una EIPD para los despliegues estándar de Matomo con la configuración de privacidad predeterminada, ya que la herramienta está diseñada con privacidad por defecto. Sin embargo, se recomienda una EIPD cuando se activan Heatmaps y Session Recordings, se procesan datos de grupos vulnerables, se combinan datos de Matomo con otras fuentes de datos personales, o se utiliza el seguimiento por ID de usuario. La naturaleza autoalojada y la ausencia de transferencias a terceros países reducen considerablemente el perfil de riesgo.
Sample consent text
Utilizamos Matomo Analytics para analizar el tráfico de nuestro sitio web. Matomo utiliza cookies de origen (_pk_id, _pk_ses) para distinguir visitantes únicos y realizar seguimiento de sesiones. Todos los datos se almacenan en nuestros propios servidores y nunca se comparten con terceros. Puede optar por no ser rastreado en cualquier momento. ¿Acepta el uso de cookies de Matomo Analytics con fines estadísticos?
Third-party domains contacted
matomo.org*.matomo.cloudplugins.matomo.orgCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _pk_id | first-party | 13 months | Stores a unique visitor ID to recognise new and returning visitors and build visitor profiles including visit count, timestamps, eCommerce orders, and goal conversions. |
| _pk_ses | first-party | 30 minutes | Used to link actions performed during a session (page views, downloads, events) to a unique visit, enabling accurate session attribution. |
| _pk_ref | first-party | 6 months | Stores referrer attribution data including the source (search engine, social media, external website, or campaign URL) that brought the visitor to the site. |
| _pk_cvar | first-party | 30 minutes (session) | Stores custom variables in key-value pairs to define additional metadata about the visitor or their actions during a session. |
| mtm_consent | first-party | Until withdrawn (default: 30 years) | Records that the visitor has given consent to be tracked. Set when using Matomo's built-in consent management or a CMP integration. |
| mtm_consent_removed | first-party | Until withdrawn (default: 30 years) | Records that the visitor has opted out of being tracked. Used when the visitor withdraws previously given consent. |
| _pk_hsr | first-party | Session | Used by Heatmap and Session Recording features to track which areas of a webpage visitors interact with and to capture session recording data. |
Matomo Analytics recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Matomo instala cuatro cookies principales de origen: _pk_id (identificador único del visitante, 13 meses), _pk_ses (seguimiento de sesión, 30 minutos), _pk_ref (atribución de origen de referencia, 6 meses) y _pk_cvar (variables personalizadas de sesión, 30 minutos). Las cookies opcionales incluyen mtm_consent y mtm_consent_removed para la gestión del consentimiento, y _pk_hsr para Heatmaps y Session Recordings. Matomo también puede configurarse para funcionar completamente sin cookies.
En la mayoría de los países de la UE, el consentimiento es obligatorio conforme a las normas ePrivacy antes de cualquier seguimiento analítico, incluido Matomo. Sin embargo, en Francia (CNIL), España, Italia y los Países Bajos, Matomo puede acogerse a una exención de consentimiento cuando se configura con ajustes específicos de privacidad: modo sin cookies, anonimización de IP, sin seguimiento entre sitios y retención de datos limitada. En jurisdicciones estrictas como Alemania, Austria e Irlanda, el consentimiento es siempre obligatorio independientemente de la configuración.
Para Matomo se aplican dos bases jurídicas: el consentimiento o el interés legítimo. El consentimiento es la opción más segura y es obligatorio en la mayoría de las jurisdicciones de la UE. El interés legítimo puede utilizarse si se realiza una Evaluación de Intereses Legítimos (EIL) que documente el propósito, la necesidad y la prueba de ponderación. Al acogerse a la exención de la CNIL, la base jurídica para el cumplimiento ePrivacy es la exención de estricta necesidad, aunque los requisitos del RGPD siguen aplicándose cuando se tratan datos personales.
No. Con Matomo On-Premise, todos los datos permanecen en sus propios servidores en la ubicación que usted elija. Con Matomo Cloud, los datos se almacenan exclusivamente en centros de datos de la UE (Alemania y Francia). Matomo nunca comparte datos con terceros ni los utiliza para sus propios fines. Esta es una ventaja de cumplimiento fundamental frente a herramientas como Google Analytics, que ha sido declarada ilegal por varias autoridades europeas de protección de datos debido a las transferencias de datos a EE. UU.
Por lo general no se requiere una EIPD para los despliegues estándar de Matomo con la configuración de privacidad predeterminada, ya que la herramienta está diseñada con privacidad por defecto y sin transferencias a terceros países. Sin embargo, se recomienda una EIPD cuando se activan Heatmaps y Session Recordings, se procesan datos de grupos vulnerables, se combinan datos de Matomo con otras fuentes de datos personales, o se utiliza el seguimiento por ID de usuario para vincular sesiones con personas identificadas.
Pasos clave: elegir On-Premise o Matomo Cloud para control total de los datos. Activar la anonimización de IP (2 o 3 bytes). Establecer políticas de retención de datos adecuadas. Documentar Matomo en el Registro de Actividades de Tratamiento (RAT). Actualizar la política de privacidad. Integrar un CMP o utilizar la API de consentimiento integrada de Matomo. Para la exención de la CNIL, seguir la guía de configuración oficial. Proporcionar un mecanismo de exclusión voluntaria mediante el iframe de exclusión de Matomo o un formulario personalizado en la página de privacidad.
Las alternativas de análisis orientadas a la privacidad incluyen: Plausible Analytics (sin cookies, ligero, alojado en la UE), Fathom Analytics (sin cookies, sencillo, orientado a la privacidad), GoatCounter (código abierto, seguimiento mínimo) y Umami (código abierto, autoalojado). Para las organizaciones que necesitan paridad completa de funciones con Google Analytics, Matomo sigue siendo la opción más completa y respetuosa con la privacidad gracias a su modelo autoalojado y la aprobación de la CNIL.
La política de cookies debe listar cada cookie de Matomo por nombre, tipo, finalidad y duración: _pk_id (persistente, identificación del visitante, 13 meses), _pk_ses (sesión, seguimiento de sesión, 30 minutos), _pk_ref (persistente, atribución de referencia, 6 meses), _pk_cvar (sesión, variables personalizadas, 30 minutos). Si se utiliza gestión del consentimiento, listar también mtm_consent y mtm_consent_removed. Indicar que Matomo utiliza únicamente cookies de origen, que los datos se almacenan en los propios servidores o en la UE y que no se comparten datos con terceros.