Analítica sin cookies: ¿sigues necesitando un banner de consentimiento?
Has sustituido Google Analytics por algo sin cookies. Plausible, quizá, o Fathom, o un equivalente autoalojado. Las páginas cargan más rápido, el script ocupa alrededor de un kilobyte y el panel se lee con una claridad que se agradece.
Entonces llega la pregunta, normalmente con el segundo café: ¿sigo necesitando ese banner de cookies? Y ya puestos, ¿he resuelto de verdad mi problema con el RGPD o solo lo he movido de sitio?
La respuesta corta es: sin banner, pero con una línea en tu política de privacidad. La respuesta larga merece ocho minutos, porque casi toda la confusión que circula viene de tratar dos leyes distintas como si fueran una.
La trampa: dos leyes, no una
Casi cualquier discusión sobre banners de cookies son en realidad dos discusiones con el mismo abrigo. Sepáralas y el tema entero se vuelve tranquilo.
La Directiva ePrivacy (eso que la gente llama “la ley de cookies”) regula el almacenamiento o la lectura de información en el dispositivo del usuario. Cookies, localStorage, huellas de dispositivo, cualquier cosa que pongas o saques de su máquina. Esta es la ley que dispara el banner de consentimiento. Si no almacenas nada en el dispositivo, no tiene sobre qué actuar.
El RGPD es un instrumento distinto. Regula el tratamiento de datos personales, donde sea y como sea, haya banner o no. Su preocupación no es “¿pusiste una cookie?” sino “¿estás tratando datos de una persona identificable y has sido transparente y lícito al hacerlo?”.
Mantén ambas cosas separadas y la regla aparece sola. Un banner de consentimiento trata sobre el almacenamiento en el dispositivo. No es, pese a años de folclore, un aviso genérico de “tenemos analítica”. Así que la pregunta real no es “¿tengo analítica?” sino “¿mi analítica escribe algo en el dispositivo del visitante?”.
Por qué Plausible no necesita banner
Plausible, incluida la edición autoalojada Community Edition, está diseñada sin cookies. No pone cookies. No usa localStorage ni sessionStorage. No escribe absolutamente nada en el dispositivo del visitante.
Eso lo deja de inmediato fuera del supuesto que activa la Directiva ePrivacy. Sin almacenamiento en el dispositivo no hace falta consentimiento para ese almacenamiento, lo que significa que no hace falta banner. No es un truco; es simplemente lo que dice la ley cuando la lees literalmente.
La objeción natural es: entonces, ¿cómo cuenta a los visitantes recurrentes sin una cookie? La respuesta es un hash que rota a diario. A grandes rasgos, calcula un hash de la dirección IP del visitante, su user agent, tu dominio y una sal del lado del servidor que se regenera cada 24 horas y luego se descarta. La IP en bruto nunca se almacena. En cuanto la sal rota, los hashes de ayer no pueden vincularse con los de hoy, así que no hay un identificador persistente siguiendo a nadie.
Ese diseño es deliberado. Es lo que permite contar visitantes únicos manteniendo el tratamiento transitorio y no identificativo, que es también por lo que encaja con comodidad en el lado correcto del RGPD. Autoalojar la Community Edition se comporta de forma idéntica; la diferencia está en dónde viven los datos, no en cómo se recogen.
Lo que sí sigues debiendo: una línea en tu política de privacidad
Aquí viene la parte que internet suele saltarse, normalmente con las prisas por celebrar la eliminación del banner.
Sin cookies no significa invisible. Sigues, aunque sea brevemente, tratando datos de la petición para producir esos recuentos de visitantes. El principio de transparencia del RGPD (artículo 13) te pide que cuentes a la gente qué estás haciendo. Así que, aun sin banner y sin consentimiento necesario, deberías mencionar tu analítica en tu política de privacidad.
No necesita ser elaborada. Una frase honesta lo cubre:
Usamos Plausible Analytics, una herramienta sin cookies y respetuosa con la privacidad que alojamos en nuestro propio servidor en la UE. No pone cookies ni recoge datos personales.
Esa es toda la obligación. Sin ventana emergente, sin botón de “Aceptar todo”, sin fricción para el visitante. Solo una línea precisa en un documento que de todos modos deberías tener.
Que es, en voz baja, el quid de todo el ejercicio. Quitar el banner es fácil. Mantener una política de privacidad que sea realmente precisa, y que siga siéndolo a medida que añades Stripe, o un nuevo proveedor de correo, o un widget de soporte, es la parte que se queda desactualizada en cuanto dejas de prestarle atención. Ese mantenimiento es exactamente lo que GDPR.Direct existe para resolver: páginas de privacidad alojadas que actualizas en minutos en lugar de redescubrir durante una auditoría.
¿Autoalojado o gestionado? Un pequeño desvío
Si dudas entre Plausible gestionado y autoalojar la Community Edition, la respuesta de cumplimiento es la misma en ambos casos. Sin cookies es sin cookies. Las diferencias son operativas:
- Residencia de los datos. Autoalojar en un servidor de la UE mantiene los datos bajo tu control y dentro de la UE, lo que elimina las preguntas de transferencia internacional que persiguen a las herramientas con sede en EE. UU.
- Coste. Autoalojar cuesta básicamente lo que un servidor pequeño. Gestionado es una suscripción que escala con las visitas.
- Esfuerzo. Gestionado es un registro. Autoalojar es un servidor que ahora es tuyo, con las copias de seguridad y la disponibilidad que eso implica.
Elige según cuánta infraestructura quieras cuidar. Nada de esto cambia si necesitas o no un banner. (Un tutorial en condiciones de autoalojamiento es otro artículo; este va sobre la ley, no sobre el fichero de Docker.)
Lo único que hace volver el banner
Hay una manera de deshacer todo esto sin darte cuenta, así que conviene decirlo con claridad.
En el momento en que cargas también Google Analytics, o un script gtag, o el píxel de Meta, el banner vuelve de inmediato. GA4 pone cookies (_ga y compañía). Eso es almacenamiento en el dispositivo, eso es el supuesto de ePrivacy, y eso exige consentimiento previo con un “Rechazar todo” auténtico, tan fácil de pulsar como “Aceptar todo”.
Esto importa porque los montajes de analítica que priorizan la privacidad suelen estar diseñados para ser agnósticos respecto al proveedor, el nuestro incluido: una sola llamada a trackEvent puede despachar tanto a una herramienta sin cookies como a gtag si resulta que está presente. Esa flexibilidad es útil, por ejemplo si más adelante añades medición de conversiones de Google Ads. Pero significa que la decisión de añadir gtag es también la decisión de reintroducir un banner de consentimiento en ese sitio. Tómala a conciencia, no copiando y pegando un fragmento que encontraste en un tutorial de marketing.
Todo en una sola tarjeta
| Montaje | ¿Pone cookies? | ¿Banner de consentimiento? | ¿Mención en política de privacidad? |
|---|---|---|---|
| Solo analítica sin cookies (p. ej. Plausible) | No | No | Sí, una línea |
| Sin cookies + Google Analytics / gtag / píxel | Sí | Sí, con Rechazar todo real | Sí |
Si estás en la fila de arriba, has terminado: quita el banner, añade la frase y sigue con lo tuyo. Si en algún momento pisas la fila de abajo, te has apuntado de nuevo a la gestión del consentimiento, así que hazlo a propósito.
Una pequeña advertencia, dicha en serio
Esta es la lectura estándar y ampliamente aceptada de cómo tratan la Directiva ePrivacy y el RGPD la analítica sin cookies, y es la interpretación que las autoridades de control de la UE han mantenido de forma consistente. No es asesoramiento jurídico formal, y tu situación puede tener matices que la mía no tiene. Si operas en un sector sensible, comenta el tema con quien dé el visto bueno a tu cumplimiento. Para el caso normal de “tengo una web y quiero números de visitas honestos”, la posición de sin cookies y sin banner pisa terreno firme.
Y si lo que te inquieta es la política de privacidad más que la analítica, ese es el instinto correcto. La parte del seguimiento era la decisión fácil. Consigue tu política de privacidad redactada y mantenida al día en unos cinco minutos, y luego puedes volver a leer tu bonito panel limpio.
