El banner de cookies se ha convertido en el enemigo número uno de la experiencia de usuario y, para los analistas web, en un agujero negro de datos. El RGPD y la Directiva ePrivacy endurecieron las reglas, los usuarios aprendieron a hacer clic en “Rechazar todo” y el resultado es que entre el 30% y el 50% de los datos de tráfico desaparecen dependiendo del sector y el diseño del banner.
Ante este panorama, la pregunta que se hacen miles de webs en España es: ¿se puede medir el tráfico de una web sin usar cookies cumpliendo la ley? La respuesta corta es sí, pero con matices importantes.
Este es el mito más peligroso del marketing digital actual. Muchas personas asumen que el RGPD solo regula las cookies. Falso.
El RGPD regula el tratamiento de datos personales, independientemente de la tecnología que uses para recopilarlos. Y la Directiva ePrivacy regula el acceso o almacenamiento de cualquier información en el dispositivo del usuario, no solo las cookies.
Esto significa que si sustituyes las cookies por otra tecnología —como el rastreo a través de la dirección IP o la generación de una huella digital única del navegador— para identificar al usuario a lo largo del tiempo, sigues necesitando su consentimiento. La ley persigue la finalidad, no solo la herramienta.
Los dos conceptos clave que debes entender son:
1. La Directiva ePrivacy regula el acceso o almacenamiento de cualquier información en el dispositivo del usuario. Eso incluye cookies, local storage, huellas digitales o fingerprinting.
2. El RGPD regula el tratamiento de datos personales. Una dirección IP puede ser un dato personal si permite identificar a una persona. Un identificador de sesión temporal que se descarta al cerrar el navegador, generalmente no lo es.
Para medir tu web sin mostrar un banner de consentimiento y sin infringir la ley, tu sistema de analítica debe basarse en la anonimización real e irreversible del dato. No interesa saber quién es el usuario, sino qué patrones de comportamiento existen en tu web de forma agregada.
Las herramientas de analítica cookieless que respetan estos principios funcionan bajo estos tres pilares:
1. Identificadores de sesión volátiles: Se genera un código aleatorio que combina datos del navegador y una sal —un código secreto que cambia cada 24 horas—. Al pasar el día, ese usuario es imposible de volver a identificar. No hay recurrencia a largo plazo ni seguimiento entre sesiones.
2. Anonimización de IP: La dirección IP del usuario se corta o se transforma en el servidor antes de guardarse. Una IP completa es un dato de carácter personal según el RGPD; una IP truncada, no.
3. Sin almacenamiento local: No se guarda absolutamente nada en el dispositivo del visitante: ni cookies, ni Session Storage, ni Local Storage. Todo el procesamiento ocurre en el servidor y el resultado es un evento agregado, no un perfil individual.
Para la Agencia Española de Protección de Datos (AEPD), no toda la analítica es igual. La ley hace una distinción muy lógica:
Imagina que tu web es una tienda física. Tienes pleno derecho a contar cuánta gente entra por la puerta cada día para saber si el negocio funciona. Lo que no puedes hacer sin su permiso es ponerles un localizador GPS en la chaqueta para ver a qué otras tiendas van cuando salen de la tuya.
Basándose en esto, la AEPD te permite medir tu web sin pedir permiso en el banner. Esto no es una interpretación libre: la propia AEPD lo formalizó en enero de 2024 en su “Guía de uso de cookies para herramientas de medición de audiencia” (accede al doc aquí), un documento que marcó un antes y un después para miles de webs en España.
La AEPD considera que una herramienta de analítica cookieless es legítima sin consentimiento cuando cumple estas cuatro reglas de oro:
1. Solo cuenta, no espía: Solo mide datos básicos para que la web funcione bien (cuánta gente entra, qué páginas miran y cuántos formularios envían).
2. No persigue al usuario: No puede rastrear qué hace ese visitante cuando se va a otras páginas web.
3. Los datos son tuyos y de nadie más: No puedes compartir esa información con Google, Facebook ni ninguna otra empresa para que te pongan anuncios.
4. Suma, no divide: Los datos deben ser globales (ej. “Hoy han entrado 500 personas”), nunca individuales (ej. “El usuario X ha hecho esto”).
Existe el mito de que al eliminar las cookies todo se vuelve legal automáticamente, pero no es así. Dependiendo de cómo configures tu medición, puedes estar cumpliendo la normativa o cometiendo una infracción:
Finalidad puramente estadística
¿Es legal? Sí.
¿Por qué? Los datos se usan exclusivamente para medir audiencias, rendimiento y optimización propia de la web, sin crear perfiles comerciales.
Anonimización real de la IP
¿Es legal? Sí.
¿Por qué? La dirección IP del usuario se trunca o anonimiza en el servidor antes de guardarse, impidiendo que el dato sea identificable.
Herramienta con control total de datos
¿Es legal? Sí.
¿Por qué? Los datos agregados pertenecen a tu empresa y no se comparten con terceros ni se cruzan con otras plataformas para rastrear al usuario por internet.
Rastreo mediante Fingerprinting
¿Es legal? No.
¿Por qué? No usas cookies, pero creas una “huella digital” del navegador (IP, resolución, extensiones) para identificar al usuario de forma única. La ley lo prohíbe sin permiso.
Uso de IPs completas para geolocalizar
¿Es legal? No.
¿Por qué? Si tu servidor procesa y almacena la IP completa del usuario, estás tratando un dato personal bajo el RGPD, aunque no uses cookies.
Cruzar datos con fines publicitarios
¿Es legal? No.
¿Por qué? Si la herramienta cookieless envía datos de comportamiento a plataformas de anuncios (como Meta o Google) para hacer retargeting, infringe la directiva ePrivacy.
¿Buscas una solución cookieless que cumpla con la ley? Echa un vistazo a este artículo sobre de las 6 herramientas de analítica cookieless para medir tu web en 2026
Sí, vale la pena. Medir sin cookies es el futuro de la analítica web ética y funcional. No solo recuperas la visibilidad sobre todas esas visitas que antes se perdían cuando un usuario rechazaba el banner, sino que además mejoras la velocidad de carga de tu página web y ofreces una navegación limpia y sin interrupciones a tus usuarios.
Eso sí: si haces el cambio, asegúrate de que tu equipo de marketing entiende que perderás métricas de retención a largo plazo (como saber si un usuario específico regresó a los 30 días). En el ecosistema actual, el precio de la privacidad es aprender a optimizar tu negocio con datos agregados en lugar de individuales.
¿Quieres implementar una analítica web que sea legal por diseño y no dependa del consentimiento? En la página de Soluciones Cookieless te explico cómo funciona el proceso paso a paso.
¿Quieres dejar de perder datos porque tus usuarios rechazan las cookies?
Solicita una auditoría gratuita y pásate a la nueva era cookieless
Depende de qué herramientas tengas instaladas. Si tu web usa Google Analytics, píxeles de publicidad, herramientas de remarketing o cualquier tecnología que almacene cookies o rastree usuarios, no tener banner es una infracción del RGPD y la Directiva ePrivacy.
Si en cambio tu única herramienta de analítica es cookieless y cumple los criterios de la AEPD, no necesitas banner para la parte de medición. La obligación del banner no es universal: existe cuando hay tecnologías que lo requieren, no por el simple hecho de tener una web.
No. Es uno de los errores más frecuentes en webs españolas y uno de los que más expedientes genera. Frases como “si continúas navegando, aceptas el uso de cookies” no constituyen consentimiento válido según el RGPD.
El consentimiento válido debe ser libre, específico, informado e inequívoco, manifestado mediante una acción afirmativa clara. Eso significa que el usuario tiene que hacer algo activo para aceptar: hacer clic en un botón de aceptación, no simplemente seguir navegando. Además, rechazar las cookies tiene que ser igual de fácil que aceptarlas. Un banner que tiene un botón de “Aceptar” visible y el rechazo escondido en tres clics tampoco cumple con los requisitos.
El formulario de contacto en sí mismo no necesita consentimiento de cookies. Recoger un nombre y un email a través de un formulario es un tratamiento de datos personales que se rige por el RGPD, no por la normativa de cookies. Para eso necesitas informar al usuario de cómo vas a usar sus datos y tener una base legal, que en este caso suele ser el interés legítimo o el propio consentimiento del usuario al enviarte el formulario.
Lo que sí puede requerir consentimiento de cookies es lo que tengas instalado alrededor del formulario. Si en esa página tienes GA4, un píxel de Meta o cualquier herramienta que instale cookies, esas tecnologías sí requieren consentimiento previo antes de activarse, aunque el formulario en sí no lo necesite.
Depende de cómo se trate. Una dirección IP completa sí puede considerarse dato personal según el RGPD, porque en determinadas circunstancias permite identificar a una persona, especialmente cuando se combina con otros datos o cuando el proveedor de internet puede asociarla a un usuario concreto.
Sin embargo, una IP anonimizada o truncada antes de almacenarse deja de ser un dato personal, porque ya no permite identificar a nadie. Por eso las herramientas de analítica cookieless aplican anonimización de IP en el servidor antes de guardar cualquier dato: cortan los últimos octetos de la dirección IP en el momento en que llega, de modo que lo que se almacena nunca puede vincularse a una persona concreta.
Este es uno de los criterios que la AEPD evalúa para determinar si una herramienta de analítica puede funcionar sin consentimiento o no.
No. Es uno de los errores más peligrosos que puede cometer una web que intenta cumplir con la normativa eliminando cookies. El fingerprinting consiste en generar una huella única del navegador del usuario combinando datos como el sistema operativo, la resolución de pantalla, los plugins instalados o la fuente tipográfica, y es tan intrusivo como las cookies desde el punto de vista legal.
La Directiva ePrivacy no regula solo las cookies: regula cualquier acceso o almacenamiento de información en el dispositivo del usuario. El fingerprinting accede al dispositivo para recopilar esa información, por lo que requiere consentimiento exactamente igual que las cookies. Sustituir cookies por fingerprinting no es una solución legal, es cambiar una infracción por otra.
Son dos normas distintas que regulan aspectos diferentes pero complementarios de la privacidad digital, y entender la diferencia es clave para saber qué obligaciones aplican a tu web.
El RGPD regula el tratamiento de datos personales en general: cómo se recogen, almacenan, usan y protegen los datos de las personas. Se aplica a cualquier empresa que trate datos personales de ciudadanos europeos, independientemente de la tecnología que use.
La Directiva ePrivacy, conocida también como la ley de cookies, regula específicamente el acceso o almacenamiento de información en el dispositivo del usuario. Es la norma que obliga a pedir consentimiento antes de instalar cookies, usar local storage o aplicar fingerprinting, independientemente de si esos datos son personales o no. En España se transpone a través de la Ley de Servicios de la Sociedad de la Información (LSSI).
La diferencia práctica más importante: el RGPD se activa cuando tratas datos personales. La Directiva ePrivacy se activa en el momento en que accedes al dispositivo del usuario, aunque el dato no sea personal. Por eso el fingerprinting requiere consentimiento aunque no uses cookies: porque accede al dispositivo.
¿Tienes alguna pregunta que no aparece en el listado? Ponte en contacto conmigo y la vemos sin compromiso.
