Analítica y GDPR: lo que realmente necesitas (y lo que no)
La mayoría de los sitios cumplen en exceso. El GDPR no prohíbe la analítica: regula los datos personales. Esto es lo que exige la ley, explicado sin tecnicismos legales.
El malentendido más frecuente
Cuando el GDPR entró en vigor en 2018, aparecieron banners de cookies por toda la web. La mayoría de los propietarios de sitios interpretaron la normativa como: analítica = cookies = banner de consentimiento. Esto es incorrecto, aunque el error es comprensible: la mayoría de las herramientas de analítica de entonces establecían cookies persistentes, y muchas siguen haciéndolo.
El GDPR no prohíbe la analítica. No exige consentimiento para todo. Regula el tratamiento de datos personales y establece varias bases jurídicas para hacerlo: el consentimiento es solo una de ellas, y a menudo no es la correcta para la analítica.
Qué regula realmente el GDPR
La norma central del GDPR es que los datos personales deben tratarse bajo una base jurídica válida. Las seis bases jurídicas son: consentimiento, contrato, obligación legal, intereses vitales, misión pública e intereses legítimos.
Para la analítica, la pregunta es si lo que recopilas es un dato personal en primer lugar, y si lo es, qué base jurídica aplica.
Qué cuenta como dato personal en analítica
Según el GDPR, los datos personales son cualquier información que se refiera a una persona física identificada o identificable. Esto incluye:
- Direcciones IP: consideradas datos personales por el TJUE y la mayoría de las autoridades de protección de datos de la UE
- Cookies persistentes: una cookie que rastrea el mismo navegador entre sesiones vincula datos a un dispositivo identificable
- IDs de usuario: cualquier identificador que pueda vincularse a una persona real
- Huellas digitales del dispositivo: una combinación de características del navegador que identifica probabilísticamente un dispositivo
Lo que no cuenta como dato personal:
- Recuentos agregados ("347 personas visitaron esta página hoy")
- Datos completamente anonimizados en los que la reidentificación no es posible
- Datos que no pueden vincularse a ningún individuo concreto, ni siquiera de forma indirecta
La base de los intereses legítimos
Los intereses legítimos (artículo 6, apartado 1, letra f) te permiten tratar datos personales sin consentimiento si tienes una razón legítima para hacerlo, el tratamiento es necesario para esa razón y los intereses de la persona no prevalecen sobre los tuyos.
Gestionar un sitio web y entender cómo funciona es un interés legítimo. Tratar datos de analítica agregados —páginas vistas, fuentes de referencia, patrones de tráfico generales— para operar tu sitio se encuadra plenamente en esto. El Comité Europeo de Protección de Datos y múltiples autoridades nacionales de protección de datos lo han confirmado.
El matiz: si almacenas IPs, usas identificadores persistentes o construyes perfiles de usuario, no puedes basarte en los intereses legítimos: necesitas consentimiento, porque el tratamiento va más allá de lo necesario para la operación básica del sitio.
La prueba: ¿podrías responder tus preguntas de analítica sin almacenar nada que identifique a una persona concreta? Si es así, probablemente no necesites consentimiento: lo que necesitas es diseñar tu analítica para que no recopile datos personales desde el principio.
Lo que añade la Directiva ePrivacy (la ley de cookies)
La Directiva ePrivacy (implementada como PECR en el Reino Unido) es independiente del GDPR y cubre específicamente las cookies y tecnologías similares. Su norma: necesitas consentimiento antes de establecer cookies que no sean estrictamente necesarias para el servicio que el usuario ha solicitado.
Por eso las cookies de analítica requieren consentimiento específicamente bajo ePrivacy, incluso si la base de intereses legítimos del GDPR podría cubrir el tratamiento de datos subyacente. Las dos normativas interactúan: ePrivacy cubre el acto de establecer la cookie; el GDPR cubre lo que haces con los datos.
Si no estableces cookies, ePrivacy no se aplica a tu analítica. Sin cookie, sin obligación de ePrivacy, sin banner requerido a ese efecto.
El enfoque práctico: no recopiles lo que no necesitas
La forma más limpia de hacer analítica sin requisitos de consentimiento es no recopilar datos personales en absoluto. Esto significa:
- Sin cookies: ninguna obligación de ePrivacy
- Sin almacenamiento de IP: obtén el país de la IP y descártala inmediatamente
- Sin identificadores entre sesiones: cada sesión es independiente
- Sin huella digital: no generes ni almacenes huellas de dispositivos
Lo que queda —URLs de página, fuentes de referencia, tipo de navegador, país, tiempo en página— son datos agregados. Pueden decirte todo lo útil sobre el rendimiento de tu sitio sin implicar a ningún individuo.
Bajo este modelo no estás tratando datos personales. El requisito de base jurídica del GDPR no aplica (no hay nada personal que tratar). La ePrivacy no aplica (no hay cookies). Tu política de privacidad sigue necesitando mencionar la analítica, pero es una divulgación, no un formulario de consentimiento.
¿Necesito igualmente una política de privacidad?
Sí. El principio de transparencia del GDPR (artículo 5, apartado 1, letra a) exige que informes a los usuarios sobre qué datos tratas, aunque no se requiera consentimiento. Tu política de privacidad debería mencionar:
- Que usas analítica y qué herramienta
- Qué datos se recopilan (páginas vistas, fuentes de referencia, país, tipo de dispositivo)
- Que no se usan datos personales ni cookies para la analítica
- La base jurídica si hay algún otro tratamiento de datos personales en tu sitio
Esto es divulgación, no recogida de consentimiento. Un párrafo breve en tu política de privacidad es suficiente.
¿Y las herramientas existentes con anonimización de IP?
GA4 ofrece anonimización de IP, pero anonimiza después de la recopilación: la IP se procesa temporalmente antes de ser truncada. La mayoría de las autoridades de protección de datos consideran que esto es insuficiente para eliminar la clasificación de dato personal del GDPR, porque la IP existe en memoria y en los registros antes de que se produzca la anonimización.
Las herramientas de analítica verdaderamente respetuosas con la privacidad no reciben la IP de una manera que quede almacenada: el país se obtiene en el extremo de la red y la IP nunca llega a la base de datos.
La conclusión
No necesitas un banner de consentimiento para la analítica si tu herramienta no recopila datos personales. El banner es una consecuencia de la herramienta, no un requisito de la ley. Elige una herramienta que no establezca cookies y no almacene IPs, y el requisito de consentimiento desaparece.
No es un vacío legal: es cumplimiento por diseño. No estás evitando el GDPR; estás construyendo un sistema al que los requisitos del GDPR simplemente no aplican.
Analítica sin la carga del cumplimiento
Sin cookies, sin almacenamiento de IP, sin necesidad de banner de consentimiento. Gratis hasta 10.000 páginas vistas al mes.
Empieza gratis →