Requisitos del RGPD para analitica web explicados en lenguaje sencillo

Has leido que el RGPD afecta a tu analitica web. Has visto las historias de terror sobre multas. Pero cuando intentas averiguar que necesitas hacer realmente, encuentras articulos legales de 4.000 palabras que te dejan mas confundido que al principio.

Aqui tienes la version corta: el RGPD no prohibe la analitica. Solo tiene reglas sobre como recopilas y procesas los datos de los visitantes. Dependiendo de la herramienta de analitica que uses, el cumplimiento es una carga significativa o practicamente automatico.

Lo que realmente dice el RGPD sobre analitica

El RGPD (Reglamento General de Proteccion de Datos) se aplica cuando procesas datos personales de personas en la UE. Datos personales significa cualquier informacion que pueda identificar a una persona — directa o indirectamente.

Para la analitica web, los datos personales relevantes tipicamente incluyen:

• Direcciones IP. Si, las direcciones IP son datos personales segun el RGPD. El Tribunal de Justicia de la UE lo confirmo en 2016 (Breyer contra Alemania).
• Cookies e identificadores de dispositivos. Cualquier identificador unico almacenado en el dispositivo del visitante.
• Datos de ubicacion derivados de direcciones IP.
• Datos de comportamiento que podrian combinarse con otros datos para identificar a alguien (patrones de navegacion, historial de visitas entre paginas).

Si tu herramienta de analitica recopila alguno de estos, el RGPD se aplica a ese procesamiento.

Los seis requisitos que importan

El RGPD tiene 99 articulos y 173 considerandos. Para analitica, solo un punado de requisitos importan en la practica:

1. Necesitas una base legal

No puedes simplemente recopilar datos porque quieras. Necesitas una de las seis bases legales definidas en el Articulo 6. Para analitica, solo dos son realistas:

Consentimiento (Articulo 6(1)(a)): El visitante acepta explicitamente ser rastreado. Esto es lo que hacen los banners de consentimiento de cookies. Es juridicamente solido pero practicamente doloroso — la mayoria de visitantes rechazan las cookies, asi que pierdes del 30 al 70% de tus datos.

Interes legitimo (Articulo 6(1)(f)): Argumentas que la analitica web basica es una necesidad empresarial razonable que no prevalece sobre los derechos de privacidad de los visitantes. Esto puede funcionar para analitica basica y agregada — pero no para herramientas que crean perfiles individuales de visitantes o rastrean entre sitios.

La mayoria de herramientas de analitica centradas en la privacidad se basan en interes legitimo o argumentan que no procesan datos personales en absoluto (haciendo que los requisitos del RGPD no sean aplicables).

2. Necesitas una politica de privacidad

El Articulo 13 te exige informar a los visitantes sobre:

• Que datos recopilas
• Por que los recopilas (finalidad)
• Que base legal utilizas
• Quien procesa los datos (tu, tu proveedor de analitica)
• Cuanto tiempo los conservas
• Que derechos tienen los visitantes (acceso, supresion, etc.)
• Si los datos se transfieren fuera de la UE

Esto se aplica independientemente de la herramienta de analitica que uses. Incluso si tu analitica cumple totalmente con el RGPD, necesitas mencionarla en tu politica de privacidad.

3. Puede que necesites consentimiento (la regla de las cookies)

Aqui es donde la gente se confunde. El requisito de consentimiento de cookies realmente viene de la Directiva ePrivacy (2002/58/CE), no directamente del RGPD. Pero funcionan juntos.

La regla: Si almacenas o accedes a informacion en el dispositivo del usuario, necesitas consentimiento — a menos que sea "estrictamente necesario" para el servicio que el usuario solicito.

• Google Analytics usa cookies → consentimiento requerido
• Matomo usa cookies por defecto → consentimiento requerido (a menos que actives el modo sin cookies)
• Plausible, Fathom, Fairlytics no usan cookies → no se requiere consentimiento bajo ePrivacy

Varias autoridades de proteccion de datos de la UE, incluida la CNIL francesa, han declarado explicitamente que las herramientas de medicion de audiencia sin cookies pueden operar sin consentimiento si cumplen criterios especificos: sin seguimiento entre sitios, sin perfilado individual, datos utilizados solo para estadisticas agregadas.

4. Necesitas un acuerdo de procesamiento de datos

Si usas un servicio de analitica de terceros (cualquier herramienta alojada en la nube), ese proveedor es tu encargado del tratamiento segun el Articulo 28. Necesitas un Acuerdo de Procesamiento de Datos (DPA) que cubra:

• Que datos procesan y por que
• Las medidas de seguridad que implementan
• Que ocurre con los datos cuando dejas de usar el servicio
• Sus obligaciones respecto a subencargados
• Procedimientos de notificacion de brechas de datos

La mayoria de herramientas de analitica reputadas proporcionan un DPA. Si la tuya no lo hace, es una senal de alarma.

Este requisito no se aplica si autoalojas (ya que no hay un tercero encargado del tratamiento).

5. Las transferencias internacionales de datos necesitan un mecanismo

Si tu proveedor de analitica almacena datos fuera de la UE, necesitas un mecanismo legal para esa transferencia (Capitulo V del RGPD):

• Marco de Privacidad de Datos UE-EEUU: Si el proveedor esta certificado, las transferencias a EEUU estan permitidas.
• Clausulas Contractuales Tipo (CCT): Salvaguardas contractuales aprobadas por la Comision Europea.
• Decisiones de adecuacion: Algunos paises (Reino Unido, Japon, Corea del Sur, etc.) se consideran con proteccion de datos adecuada.

Esto es exactamente por lo que Google Analytics tuvo problemas. Tras la sentencia Schrems II que invalido el Privacy Shield en 2020, no habia mecanismo de transferencia valido para datos de GA yendo a servidores de EEUU. El Marco de Privacidad de Datos UE-EEUU (adoptado en julio de 2023) lo arreglo para empresas certificadas, pero el panorama legal sigue siendo incierto.

La solucion mas facil: Usa una herramienta de analitica que almacene datos en la UE. Esto elimina la cuestion de la transferencia por completo.

6. Minimizacion de datos y limitacion del almacenamiento

El Articulo 5 requiere que:

• Recopiles solo los datos que realmente necesitas (minimizacion de datos)
• Los conserves solo el tiempo necesario (limitacion del almacenamiento)

Google Analytics recopila mas de 40 datos por visitante. Si todo lo que necesitas son conteos de visitas y fuentes de trafico, recopilar datos de huella digital, datos demograficos, intereses y comportamiento entre sitios viola el principio de minimizacion.

Define un periodo de retencion y cumplelo. 24 meses es una opcion comun para datos de analitica — suficiente para ver tendencias interanuales, suficientemente corto para ser defendible.

Lo que esto significa en la practica

Aqui tienes un arbol de decisiones:

Si usas Google Analytics:

• Necesitas un banner de consentimiento de cookies (Directiva ePrivacy)
• Necesitas consentimiento como base legal (RGPD Articulo 6(1)(a))
• Necesitas una politica de privacidad mencionando la recopilacion de datos de GA
• Necesitas verificar que la certificacion DPF de Google cubre GA
• Perderas del 30 al 70% de tus datos de trafico por rechazo del consentimiento
• Necesitas configurar los ajustes de retencion de datos
• Necesitas documentar esto en un Registro de Actividades de Tratamiento

Si usas Matomo (autoalojado, modo sin cookies):

• No necesitas banner de consentimiento (si esta configurado correctamente)
• Puedes usar interes legitimo como base legal
• Necesitas una politica de privacidad mencionando tu instalacion de Matomo
• No necesitas DPA (tu controlas los datos)
• Necesitas mantener el servidor y mantenerlo seguro
• Necesitas configurar la anonimizacion de IP manualmente

Si usas una herramienta en la nube sin cookies (Plausible, Fathom, Fairlytics):

• No necesitas banner de consentimiento
• Interes legitimo como base legal (o directamente no se procesan datos personales)
• Necesitas una politica de privacidad mencionando la herramienta
• Necesitas un DPA con el proveedor (deberian proporcionarte uno)
• Verifica que los datos se almacenan en la UE (o que existe un mecanismo de transferencia valido)
• Eso es todo

Conceptos erroneos comunes

"El RGPD significa que necesito un banner de cookies." No. El RGPD no menciona las cookies. La Directiva ePrivacy requiere consentimiento para cookies no esenciales. Si tu herramienta de analitica no usa cookies, no necesitas banner.

"El RGPD solo se aplica a empresas con sede en la UE." No. Se aplica a cualquiera que procese datos personales de personas que estan en la UE. Si tu sitio web es accesible en Europa (lo es), el RGPD se aplica a tu analitica.

"Soy demasiado pequeno para que a nadie le importe." Las multas son proporcionales al tamano de la empresa, pero la aplicacion no se limita a grandes empresas. Las autoridades de proteccion de datos de Austria, Francia e Italia han emitido decisiones contra sitios web pequenos que usan Google Analytics. Y lo mas importante, el cumplimiento del RGPD es una obligacion legal, no un calculo de riesgo.

"Anonimizar las direcciones IP hace que GA sea compatible." La anonimizacion de IP de Google trunca el ultimo octeto (ej., 192.168.1.xxx). La parte restante sigue siendo datos personales segun varias autoridades de proteccion de datos de la UE. Ademas, GA sigue estableciendo cookies, lo que requiere consentimiento independientemente del manejo de IP.

"Puedo simplemente bloquear a los visitantes de la UE." Tecnicamente posible, pero impracticable. Necesitarias geolocalizacion fiable, perderias trafico de la UE y es una mala experiencia de usuario. Arreglar tu configuracion de analitica es mas simple que geobloquear un continente entero.

El camino mas sencillo hacia el cumplimiento

Si el cumplimiento del RGPD en analitica te parece abrumador, aqui tienes el camino minimo:

1. Cambia a una herramienta de analitica sin cookies y centrada en la privacidad. Esto elimina el requisito del banner de consentimiento, la complejidad de gestion de cookies y la mayoria de preocupaciones de proteccion de datos.

2. Anade una seccion a tu politica de privacidad. Menciona que herramienta de analitica usas, que datos recopila, tu base legal y donde se almacenan los datos. Esto lleva 15 minutos.

3. Firma el DPA del proveedor. Descargalo, firmalo, guardalo en archivo. Cinco minutos.

4. Establece un periodo de retencion de datos. La mayoria de herramientas centradas en la privacidad lo gestionan automaticamente.

Eso es genuinamente todo. Cuatro pasos, menos de una hora, y puedes dejar de preocuparte por el cumplimiento de analitica.

Que pasa con el Reglamento ePrivacy?

La Directiva ePrivacy esta siendo reemplazada por el Reglamento ePrivacy, que esta en borrador desde 2017. Se sigue retrasando. Cuando finalmente se apruebe, probablemente:

• Mantenga el requisito de consentimiento para cookies de seguimiento
• Potencialmente cree una exencion mas clara para la medicion de audiencia
• Se aplique directamente como reglamento (como el RGPD) en lugar de requerir implementacion nacional

Por ahora, sigue las reglas actuales de la Directiva ePrivacy. Si usas analitica sin cookies, el cambio de regulacion es improbable que te afecte negativamente — de hecho, podria facilitar las cosas al estandarizar la exencion de medicion de audiencia en todos los estados miembros de la UE.

Conclusion

El cumplimiento del RGPD en analitica no es tan complicado como la industria legal lo hace parecer. La complejidad viene de usar herramientas que no fueron disenadas con la privacidad en mente. Si tu herramienta de analitica recopila datos personales, establece cookies y transfiere datos internacionalmente, necesitas banners de consentimiento, DPAs, evaluaciones de impacto de transferencia y avisos de privacidad detallados.

Si tu herramienta de analitica no recopila datos personales, no usa cookies y almacena datos en la UE — el cumplimiento es un parrafo en la politica de privacidad y un DPA firmado.

Fairlytics esta construido para este segundo escenario. Un script de 510 bytes, sin cookies, sin datos personales, alojado en la UE, con un plan gratuito para sitios con menos de 10K visitas mensuales. Puedes cumplir completamente con el RGPD en 30 segundos.

Este articulo es solo informativo y no constituye asesoramiento legal. Para preguntas especificas de cumplimiento, consulta con un profesional de proteccion de datos.