← Blog 7 min de lectura

Analítica y GDPR: lo que realmente necesitas (y lo que no)

La mayoría de los sitios cumplen en exceso. El GDPR no prohíbe la analítica: regula los datos personales. Esto es lo que exige la ley, explicado sin tecnicismos legales.

El malentendido más frecuente

Cuando el GDPR entró en vigor en 2018, aparecieron banners de cookies por toda la web. La mayoría de los propietarios de sitios interpretaron la normativa como: analítica = cookies = banner de consentimiento. Esto es incorrecto, aunque el error es comprensible: la mayoría de las herramientas de analítica de entonces establecían cookies persistentes, y muchas siguen haciéndolo.

El GDPR no prohíbe la analítica. No exige consentimiento para todo. Regula el tratamiento de datos personales y establece varias bases jurídicas para hacerlo: el consentimiento es solo una de ellas, y a menudo no es la correcta para la analítica.

Qué regula realmente el GDPR

La norma central del GDPR es que los datos personales deben tratarse bajo una base jurídica válida. Las seis bases jurídicas son: consentimiento, contrato, obligación legal, intereses vitales, misión pública e intereses legítimos.

Para la analítica, la pregunta es si lo que recopilas es un dato personal en primer lugar, y si lo es, qué base jurídica aplica.

Qué cuenta como dato personal en analítica

Según el GDPR, los datos personales son cualquier información que se refiera a una persona física identificada o identificable. Esto incluye:

Lo que no cuenta como dato personal:

La base de los intereses legítimos

Los intereses legítimos (artículo 6, apartado 1, letra f) te permiten tratar datos personales sin consentimiento si tienes una razón legítima para hacerlo, el tratamiento es necesario para esa razón y los intereses de la persona no prevalecen sobre los tuyos.

Gestionar un sitio web y entender cómo funciona es un interés legítimo. Tratar datos de analítica agregados —páginas vistas, fuentes de referencia, patrones de tráfico generales— para operar tu sitio se encuadra plenamente en esto. El Comité Europeo de Protección de Datos y múltiples autoridades nacionales de protección de datos lo han confirmado.

El matiz: si almacenas IPs, usas identificadores persistentes o construyes perfiles de usuario, no puedes basarte en los intereses legítimos: necesitas consentimiento, porque el tratamiento va más allá de lo necesario para la operación básica del sitio.

La prueba: ¿podrías responder tus preguntas de analítica sin almacenar nada que identifique a una persona concreta? Si es así, probablemente no necesites consentimiento: lo que necesitas es diseñar tu analítica para que no recopile datos personales desde el principio.

Lo que añade la Directiva ePrivacy (la ley de cookies)

La Directiva ePrivacy (implementada como PECR en el Reino Unido) es independiente del GDPR y cubre específicamente las cookies y tecnologías similares. Su norma: necesitas consentimiento antes de establecer cookies que no sean estrictamente necesarias para el servicio que el usuario ha solicitado.

Por eso las cookies de analítica requieren consentimiento específicamente bajo ePrivacy, incluso si la base de intereses legítimos del GDPR podría cubrir el tratamiento de datos subyacente. Las dos normativas interactúan: ePrivacy cubre el acto de establecer la cookie; el GDPR cubre lo que haces con los datos.

Si no estableces cookies, ePrivacy no se aplica a tu analítica. Sin cookie, sin obligación de ePrivacy, sin banner requerido a ese efecto.

El enfoque práctico: no recopiles lo que no necesitas

La forma más limpia de hacer analítica sin requisitos de consentimiento es no recopilar datos personales en absoluto. Esto significa:

Lo que queda —URLs de página, fuentes de referencia, tipo de navegador, país, tiempo en página— son datos agregados. Pueden decirte todo lo útil sobre el rendimiento de tu sitio sin implicar a ningún individuo.

Bajo este modelo no estás tratando datos personales. El requisito de base jurídica del GDPR no aplica (no hay nada personal que tratar). La ePrivacy no aplica (no hay cookies). Tu política de privacidad sigue necesitando mencionar la analítica, pero es una divulgación, no un formulario de consentimiento.

¿Necesito igualmente una política de privacidad?

Sí. El principio de transparencia del GDPR (artículo 5, apartado 1, letra a) exige que informes a los usuarios sobre qué datos tratas, aunque no se requiera consentimiento. Tu política de privacidad debería mencionar:

Esto es divulgación, no recogida de consentimiento. Un párrafo breve en tu política de privacidad es suficiente.

¿Y las herramientas existentes con anonimización de IP?

GA4 ofrece anonimización de IP, pero anonimiza después de la recopilación: la IP se procesa temporalmente antes de ser truncada. La mayoría de las autoridades de protección de datos consideran que esto es insuficiente para eliminar la clasificación de dato personal del GDPR, porque la IP existe en memoria y en los registros antes de que se produzca la anonimización.

Las herramientas de analítica verdaderamente respetuosas con la privacidad no reciben la IP de una manera que quede almacenada: el país se obtiene en el extremo de la red y la IP nunca llega a la base de datos.

La conclusión

No necesitas un banner de consentimiento para la analítica si tu herramienta no recopila datos personales. El banner es una consecuencia de la herramienta, no un requisito de la ley. Elige una herramienta que no establezca cookies y no almacene IPs, y el requisito de consentimiento desaparece.

No es un vacío legal: es cumplimiento por diseño. No estás evitando el GDPR; estás construyendo un sistema al que los requisitos del GDPR simplemente no aplican.

Analítica sin la carga del cumplimiento

Sin cookies, sin almacenamiento de IP, sin necesidad de banner de consentimiento. Gratis hasta 10.000 páginas vistas al mes.

Empieza gratis →