¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Umami es una plataforma de analítica web de código abierto orientada a la privacidad, distribuida bajo licencia MIT. No escribe cookies, no almacena datos personales en disco e identifica a los visitantes únicamente mediante un hash con salt rotativo diario, lo que hace imposible la reidentificación entre días. Disponible como pila Docker autoalojada o como Umami Cloud con residencia de datos en la UE opcional, es una de las herramientas analíticas más sencillas de desplegar sin banner de consentimiento en la UE.
Umami es una herramienta de analítica web de código abierto publicada en 2020 bajo licencia MIT. Está construida en torno a un único principio de diseño: recopilar estadísticas de tráfico sin identificar a ningún visitante. Umami se ejecuta como una aplicación Node.js respaldada por Postgres o MySQL y se distribuye en imágenes Docker que pueden desplegarse en un VPS pequeño, en Kubernetes o en una PaaS gestionada. Umami Software Inc., una empresa estadounidense, también opera Umami Cloud, una versión alojada del mismo código con residencia de datos en la UE opcional en los planes de pago. El producto reporta el conjunto estándar de dimensiones analíticas (páginas vistas, sesiones, dispositivos, navegadores, países, referers, eventos personalizados) sin escribir cookies ni almacenar IPs en bruto.
Umami no escribe ninguna cookie ni entrada en localStorage. Las sesiones de visitantes se calculan en el servidor a partir de un hash SHA de (salt rotativo diario + IP del visitante + agente de usuario + nombre de host). El salt se regenera cada 24 horas, por lo que el mismo visitante en dos días distintos aparece como dos sesiones sin relación y resulta imposible rastrear a una persona entre días. La IP en bruto nunca se persiste en disco; solo se conservan el identificador hasheado y los metadatos agregados (país derivado de la geolocalización IP, navegador, sistema operativo, tipo de dispositivo, tamaño de pantalla, idioma). Los eventos personalizados pueden transportar contadores numéricos o cadenas cortas si el operador los añade.
Como Umami no escribe cookies y no almacena datos personales de forma identificable, no activa el artículo 5(3) de la Directiva ePrivacy (que exige consentimiento para almacenar o acceder a información en el terminal). Los criterios de exención para herramientas analíticas, sin finalidad publicitaria, sin seguimiento entre sitios, sin enriquecimiento con otros datos, anonimización, se cumplen por defecto. Bajo el RGPD el riesgo residual es muy bajo: las métricas agregadas que no pueden vincularse a una persona quedan fuera del ámbito de los datos personales tras la rotación diaria del salt. El operador sigue siendo responsable del tratamiento por las decisiones de configuración.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Umami puede cargarse sin un consentimiento de la CMP cuando se usa en su configuración predeterminada sin cookies. La AEPD, la CNIL y el BfDI aceptan soluciones analíticas de este tipo bajo la exención de consentimiento, siempre que los datos no se enriquezcan con fuentes de perfilado y la finalidad se limite a la medición de audiencia. Si el operador añade eventos personalizados que capturan datos personales, esos eventos específicos deben condicionarse al consentimiento o trasladarse a un tratamiento separado, pero el rastreador básico de Umami sigue funcionando sin consentimiento.
Umami autoalojado no transfiere datos fuera de la región elegida por el operador. En Umami Cloud, el operador escoge entre las regiones UE (Fráncfort) y EE. UU.: para audiencias europeas, elija UE y la ruta de los datos permanece dentro del EEE. Como Umami Software Inc. es una empresa estadounidense, la relación contractual implica un pequeño volumen de metadatos hacia EE. UU. (facturación, soporte), cubierto por Cláusulas Contractuales Tipo con clientes europeos. Para la mayoría de sitios europeos, el autohospedaje en un VPS pequeño en la UE o Umami Cloud UE es la vía recomendada.
Añada Umami a su registro de actividades de tratamiento bajo Medición de audiencia con interés legítimo como base legal. Si utiliza Umami Cloud, firme el DPA publicado por Umami Software Inc. y seleccione la región UE. Establezca un plazo de conservación razonable para los eventos (12 a 25 meses bastan para las comparativas interanuales). Evite enviar datos personales mediante propiedades de eventos personalizados. Indique a Umami en la política de privacidad con una nota breve explicando que no se usan cookies y que el visitante no puede ser reidentificado entre días. El sitio puede servirse normalmente sin banner de consentimiento.
Websites using Umami must obtain user consent under GDPR regulations.
DPIA considerations
Por lo general, no se requiere una EIPD para un despliegue Umami por defecto, ya que no se escriben cookies, la rotación diaria del salt impide la reidentificación entre días y no hay seguimiento entre sitios. La EIPD pasa a ser relevante únicamente si el operador amplía Umami con eventos personalizados que contienen datos personales (correo, ID de usuario, campos libres) o si Umami se combina con otras herramientas para reconstruir perfiles completos. Documente la rotación del salt, el plazo de conservación, la ubicación del hosting (autoalojado vs Umami Cloud UE/EE. UU.) y el papel de Umami Software Inc. como encargado en los planes Cloud.
Sample consent text
Utilizamos Umami Analytics para entender el uso de nuestro sitio. Umami no escribe cookies, no almacena direcciones IP y no puede reidentificarle entre días. Las estadísticas agregadas se almacenan en nuestros propios servidores [o en Umami Cloud UE]. Como Umami no recoge datos personales por defecto, no se requiere banner de consentimiento, pero puede oponerse en cualquier momento.
Third-party domains contacted
umami.iscloud.umami.isanalytics.umami.isapi.umami.isCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| No cookies | none | n/a | Umami is a privacy focused analytics platform that does not use cookies or any client side persistent identifier. Sessions are derived server side from a hashed combination of IP address, user agent and a daily rotating salt. |
Umami recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Ninguna. Umami es totalmente sin cookies. No escribe ninguna cookie ni entrada de localStorage en el navegador del visitante. Las sesiones de visitantes se calculan en el servidor mediante un hash SHA de (salt diario + IP + agente de usuario + nombre de host) y el salt rota cada 24 horas, lo que hace imposible la reidentificación entre días.
No en su configuración predeterminada. Como Umami no escribe cookies ni almacenamiento local ni guarda datos personales identificables, no activa el artículo 5(3) de la Directiva ePrivacy. La AEPD, la CNIL y el BfDI aceptan esta analítica sin cookies bajo la exención de consentimiento, siempre que no haya finalidad publicitaria, ni seguimiento entre sitios, ni enriquecimiento con otros datos.
El interés legítimo (artículo 6.1.f del RGPD) es la base legal habitual, con una evaluación de interés legítimo documentada que destaca el reducido volumen de datos, la rotación diaria del salt y la ausencia de seguimiento entre sitios. En algunas implementaciones los datos están tan agregados que quedan fuera del ámbito de los datos personales tras la rotación del salt.
No cuando Umami se autoaloja en la UE, y tampoco cuando Umami Cloud se configura en la región UE. Como Umami Software Inc. es una empresa estadounidense, una pequeña cantidad de metadatos (facturación, soporte) fluye a EE. UU. mediante CCT, pero los datos analíticos permanecen en la región elegida.
En general no. La combinación de seguimiento sin cookies, rotación diaria del salt, ausencia de seguimiento entre sitios y dimensiones limitadas mantiene el riesgo residual muy bajo. Una EIPD solo se recomienda si amplía Umami con propiedades personalizadas que contengan datos personales o si lo combina con otras herramientas para construir perfiles.
Autoalojar en un servidor de la UE o elegir la región UE en Umami Cloud. Mantener la configuración predeterminada sin cookies, fijar un plazo de conservación razonable (12 a 25 meses), evitar enviar datos personales mediante eventos personalizados, indicar Umami en la política de privacidad con la nota "sin cookies" e incluirlo en el registro de actividades de tratamiento bajo Medición de audiencia con interés legítimo.
Sí. Plausible Analytics (sin cookies, cloud UE), Fathom Analytics (sin cookies, cloud UE), Pirsch (sin cookies, Alemania), Simple Analytics (sin cookies, Países Bajos), Matomo en modo sin cookies (exención de la CNIL) y Counter (open source, autoalojado) comparten un enfoque de privacidad similar.
Indique de forma explícita que Umami es sin cookies, que no se almacenan datos personales en disco y que el visitante no puede ser reidentificado entre días. Mencione la rotación diaria del salt como salvaguarda técnica. Si utiliza Umami Cloud, indique a Umami Software Inc. como encargado y la región UE. No es necesario divulgar cookies de terceros porque no se instala ninguna.