Qué significa la Directiva ePrivacy para la analítica de tu web
Cuando la gente habla de banners de consentimiento de cookies y RGPD, normalmente está culpando a la ley equivocada. La normativa que realmente exige consentimiento para las cookies no es el RGPD — es la Directiva ePrivacy (2002/58/CE), una ley europea independiente sobre comunicaciones electrónicas.
Entender la diferencia importa porque cambia lo que necesitas hacer. El RGPD regula los datos personales. La Directiva ePrivacy regula lo que se almacena o se lee del dispositivo del visitante. Se solapan, pero no son lo mismo — y tu configuración de analítica debe cumplir con ambas.
Qué dice realmente el Artículo 5(3)
La disposición clave es el Artículo 5(3), modificado en 2009 por la llamada "Directiva de Cookies" (2009/136/CE). La regla es sencilla:
Almacenar información en, o acceder a información desde, el dispositivo de un usuario requiere consentimiento previo e informado — salvo que se aplique una de las dos excepciones.
Tres cosas a tener en cuenta:
-
Cubre más que las cookies. El EDPB confirmó en las Directrices 2/2023 (finalizadas en octubre de 2024) que el Artículo 5(3) se aplica a píxeles de seguimiento, parámetros de seguimiento en URLs, almacenamiento local y cualquier identificador único accedido desde un dispositivo.
-
Se aplica a toda información, no solo a datos personales. Incluso si una cookie no contiene datos personales, necesitas consentimiento para establecerla. Esto es más amplio que el RGPD.
-
El consentimiento debe ser real. El TJUE dictaminó en el caso Planet49 (C-673/17, octubre de 2019) que las casillas premarcadas no cuentan. El consentimiento debe ser libre, específico, informado e inequívoco.
Las dos excepciones
El Artículo 5(3) permite dos situaciones donde no se requiere consentimiento:
Excepción 1: Transmisión técnica. El almacenamiento es únicamente para realizar la transmisión de una comunicación a través de una red. Ejemplo: datos de enrutamiento.
Excepción 2: Servicio solicitado explícitamente. El almacenamiento es "estrictamente necesario" para proporcionar un servicio que el usuario solicitó explícitamente.
Qué cuenta como estrictamente necesario:
- Cookies de sesión/autenticación (mantener la sesión iniciada)
- Cookies del carrito de compras
- Cookies de seguridad (detectar intentos fallidos de inicio de sesión)
- Cookies de balanceo de carga
- Cookies de preferencia de idioma que el usuario estableció activamente
Qué no cuenta:
- Cookies de analítica — incluso de primera parte, incluso "respetuosas con la privacidad"
- Cookies publicitarias
- Cookies de botones para compartir en redes sociales
- Cualquier cookie que sirva a los intereses del propietario del sitio y no a un servicio solicitado por el usuario
Este es el punto crítico: la analítica sirve al operador del sitio web, no a un servicio que el visitante solicitó. Bajo una lectura estricta del Artículo 5(3), las cookies de analítica siempre requieren consentimiento.
Diferencias con el RGPD
La gente confunde estas dos leyes constantemente. He aquí por qué la distinción importa:
| Directiva ePrivacy | RGPD | |
|---|---|---|
| Tipo | Directiva (cada país la implementa de forma diferente) | Reglamento (uniforme en toda la UE) |
| Ámbito | Cualquier información en el dispositivo del usuario | Solo datos personales |
| Bases legales | Consentimiento o estrictamente necesario — nada más | Seis opciones incluyendo interés legítimo |
| Reglas sobre cookies | Reglas específicas y explícitas en el Artículo 5(3) | No menciona las cookies |
| Relación | Prevalece para comunicaciones electrónicas (lex specialis) | Marco general de protección de datos |
La diferencia clave para la analítica: el RGPD permite el "interés legítimo" como base legal para analítica básica. La Directiva ePrivacy no — si estableces una cookie, necesitas consentimiento, punto. No hay excepción de interés legítimo para el almacenamiento en dispositivos.
Esto significa que una herramienta puede cumplir con el RGPD bajo interés legítimo y aun así violar la Directiva ePrivacy al establecer cookies sin consentimiento.
Cómo lo implementan diferentes países
Como la Directiva ePrivacy es una directiva (no un reglamento), cada Estado miembro la transpuso a su legislación nacional de forma diferente. Esto crea variaciones reales:
Francia (CNIL): El regulador más estricto. Exige que "rechazar todo" sea tan fácil como "aceptar todo" — nada de patrones oscuros. En 2025, la CNIL impuso 486,8 millones de euros en multas, incluyendo 325 millones contra Google por infracciones de cookies y 150 millones contra SHEIN por establecer cookies publicitarias antes de que los usuarios pudieran interactuar con el banner.
Alemania (TTDSG/TDDDG): Solo dos bases legales para cookies — consentimiento o estrictamente necesario. Sin test de ponderación, sin zonas grises. Algunas autoridades supervisoras alemanas afirman que el consentimiento es obligatorio para toda la analítica, sin excepciones.
Países Bajos: Más permisivo. La ley holandesa permite explícitamente cookies de analítica sin consentimiento si tienen "poco o ningún impacto en la privacidad". Las cookies de seguimiento siempre requieren consentimiento.
Austria, Chipre, Finlandia: Las autoridades supervisoras han declarado que se requiere consentimiento para toda analítica que entre en el ámbito del Artículo 5(3), independientemente del impacto en la privacidad.
Reino Unido (PECR): Post-Brexit, las regulaciones PECR del Reino Unido replican la Directiva ePrivacy. La ICO exige consentimiento para cookies de analítica.
Este mosaico es exactamente la razón por la que el Reglamento ePrivacy debía reemplazar a la Directiva — para crear un conjunto uniforme de reglas. Eso no ocurrió.
La exención de medición de audiencias de la CNIL
La CNIL francesa creó una excepción importante: las herramientas de analítica pueden operar sin consentimiento si cumplen todos estos criterios:
- Propósito limitado estrictamente a la medición de audiencia solo para el editor
- Sin seguimiento o medición entre sitios
- Sin combinar datos con otras operaciones de tratamiento
- Duración máxima de cookies de 13 meses
- Retención máxima de datos de 25 meses
- El resultado debe ser anónimo — tanto en visualización como en exportación
- Datos utilizados exclusivamente por el editor, no compartidos con terceros
La CNIL señala explícitamente que "la mayoría de las grandes ofertas de medición de audiencia no entran en el ámbito de la exención, independientemente de su configuración". Google Analytics no cualifica. Matomo puede cualificar si es autoalojado y está configurado correctamente. Piano Analytics (anteriormente AT Internet) ha sido reconocido.
Esta exención no es para toda la UE — es una interpretación francesa. Pero ha sido influyente, y varias otras autoridades de protección de datos apuntan a criterios similares.
¿Qué pasó con el Reglamento ePrivacy?
El Reglamento ePrivacy se propuso en enero de 2017 para reemplazar la Directiva de 2002 con un reglamento directamente aplicable — reglas uniformes en todos los Estados miembros de la UE. Quedó atascado en negociaciones legislativas durante ocho años.
En febrero de 2025, la Comisión Europea retiró formalmente la propuesta. La razón: "ningún acuerdo previsible" y la propuesta se había vuelto "obsoleta en vista de la legislación reciente y el panorama tecnológico."
En su lugar, la Comisión propuso modificaciones específicas mediante el Reglamento Digital Omnibus a finales de 2025. Esto incluiría:
- Mover algunos requisitos del Artículo 5(3) al RGPD como un nuevo Artículo 88a
- Introducir señales automatizadas de preferencia (consentimiento basado en el navegador) para reducir la "fatiga del consentimiento"
- La Comisión estima que los usuarios de la UE pasan ~334 millones de horas al año haciendo clic en banners de cookies, con un coste aproximado de 11.200 millones de euros en productividad perdida
Por ahora, la Directiva de 2002 (modificada en 2009) sigue vigente indefinidamente. No hay reemplazo a la vista.
Qué significa esto para tu analítica
Aquí va el desglose práctico:
Si tu herramienta de analítica establece cookies (Google Analytics, configuración por defecto de Matomo):
- Necesitas un banner de consentimiento — requerido por el Artículo 5(3), sin excepción
- Debes ofrecer "rechazar todo" tan visiblemente como "aceptar todo"
- Perderás entre el 30-70% de tus datos por visitantes que rechazan
- Debes cumplir con la implementación nacional que aplique
- La aplicación de la ley está aumentando, no disminuyendo — 2025 vio multas récord
Si tu herramienta de analítica no usa cookies y no almacena nada en el dispositivo (Plausible, Fathom, Fairlytics):
- El Artículo 5(3) no se aplica — no hay almacenamiento en dispositivo que consentir
- No se necesita banner de consentimiento para la analítica
- Aún necesitas cumplir con el RGPD (política de privacidad, DPA si usas un proveedor en la nube)
- Ninguna autoridad de protección de datos ha actuado contra herramientas de analítica verdaderamente sin cookies
El matiz legal: Algunos juristas argumentan que incluso leer el User-Agent o la dirección IP constituye "acceder a información del equipo terminal". En la práctica, ningún regulador ha aplicado el Artículo 5(3) de forma tan amplia, y los criterios de exención de la CNIL sugieren que los reguladores aceptan que la recopilación mínima de datos del lado del servidor queda fuera del ámbito de la Directiva.
Por qué esto importa más ahora
Con el Reglamento ePrivacy retirado y la Directiva de 2002 manteniéndose vigente, las reglas actuales no van a cambiar. El mosaico de implementaciones nacionales persistirá. La aplicación de la ley se está acelerando — solo la CNIL impuso casi 9 veces más en multas en 2025 que en 2024.
La forma más sencilla de gestionar esto: no activar el Artículo 5(3) en primer lugar. Si tu herramienta de analítica no almacena nada en el dispositivo del visitante, el requisito de consentimiento de la Directiva ePrivacy simplemente no se te aplica.
Fairlytics adopta este enfoque — un script de 510 bytes que no establece cookies, no usa almacenamiento local y no recopila datos personales. Gratis para sitios con menos de 10K visitas mensuales. Puedes eliminar tu banner de cookies y seguir sabiendo cómo rinde tu web.
Este artículo es solo informativo y no constituye asesoramiento legal. Para consultas específicas sobre cumplimiento, consulta a un profesional en protección de datos.