Saltar al contenido

¿Que dice la AEPD sobre cookies analíticas y consentimiento?

  • Josep 

Octubre de 2023. Abro GA4. Y casi me da un infarto.

Los eventos clave: CERO.

Dos semanas en el proyecto y de repente… ¡PUM! Nada. Sin datos. Sin pruebas de que mi trabajo funcionaba. Y lo peor: el cliente ya me había pagado. Por adelantado.

Parte del trato era que mi equipo configurara Google Tag Manager. Medir conversiones al milímetro. Pero ahí estaba yo. Mirando la pantalla. Sintiéndome como un jugador de póker que acaba de perder la última ficha.

Si estás aquí, igual te ha pasado algo parecido.

Y apuesto a que hay tres razones por las que sigues leyendo sobre cookies analíticas y consentimiento en España:

  • Eres marketer. Como yo. Y necesitas demostrar resultados con GA4 y GTM.
  • Eres desarrollador web. Y buscas una implementación RGPD-friendly.
  • Eres ejecutivo de marketing. Y estás harto de que marketer y desarrollador discutan en cada reunión.

La guerra del RGPD: marketers vs desarrolladores

Escena: llamada de Zoom. Yo, el desarrollador de mi cliente y la ejecutiva de marketing.

—A ver, entiendo lo del RGPD. Pero sin datos, ¿cómo sabemos qué canal trae los leads? —suelto, midiendo mis palabras.

—Josep, la UE exige consentimiento explícito. En dos meses, GA4 modelará datos, pero ahora… nada de datos sin permiso. —El desarrollador, tajante.

Me dejó seco.

Silencio.

La ejecutiva se mete en la conversación.

—A ver, ¿no podemos activar las cookies analíticas por defecto? Necesito saber de dónde vienen las ventas. Google Ads, SEO, redes sociales, referidos… —dice, frustrada.

—No —el desarrollador junta los dedos en triángulo, como si estuviera planeando un golpe maestro—. Es ilegal.

—Nos pueden cascar una multa de hasta 20 millones de euros.

Jaque mate.

Sin datos, no podía demostrar mi ROI. Tenía que encontrar otra vía. Y rápido.

¿Qué dice la AEPD sobre las cookies analíticas?

Enero de 2024. Nueva directriz de la AEPD. Me bebo cada palabra como si fuera un café después de una mala noche.

Pregunta clave:

—¿Es ilegal disparar cookies analíticas antes del consentimiento?

Si la respuesta era sí, estaba en problemas:

  • Usuarios que rechazan cookies = datos perdidos.
  • Usuarios que ignoran el banner = datos perdidos.

Pero si encontraba una forma de dispararlas sin consentimiento explícito… todavía tenía una oportunidad.

Y ahí estaba. En negro sobre blanco.

«Las cookies usadas para medir audiencia pueden estar exentas de consentimiento bajo ciertas condiciones…»

¿O sea que SÍ se puede?

Sí. Pero con una gran limitación:

Solo puedes rastrear datos página por página.

¿Qué significa eso? Vamos con un ejemplo:

  • Un usuario hace clic en un anuncio de Facebook.
  • Llega a la landing.
  • Rechaza cookies.
  • Visita la página de «Sobre Nosotros».
  • Vuelve a la landing.
  • Rellena el formulario.

¿Qué veríamos en GA4 siguiendo el RGPD?

  • Número de visitas desde Facebook.
  • Número de leads generados.
  • Datos por página: tasa de rebote, tiempo en página, dispositivo, ubicación.

¿Qué NO veríamos?

  • El recorrido del usuario. Si pasa de una página a otra, se pierde la trazabilidad.
  • Si convirtió otro día. Los datos solo se almacenan diariamente.

Entonces…Nadie ganó.

El desarrollador no ganaba. Se pueden disparar cookies analíticas sin consentimiento.

Pero yo tampoco. Porque los datos que obtenemos son un puzzle incompleto.

Victoria pírrica.

NOTA: Si vas a activar cookies analíticas sin consentimiento en España, hazlo bien. Hay requisitos específicos. Lee la directriz. O mejor aún, habla con un abogado.

Aqui os dejo las partes clave:

Las cookies utilizadas con el fin de obtener estadísticas de tráfico o de rendimiento podrían estar exentas de consentimiento bajo ciertas condiciones. Para limitarse a lo estrictamente necesario para la prestación del servicio y, por tanto, estar exentos del consentimiento de conformidad con el artículo 22.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, estas cookies, o tecnologías similares, deben tener una finalidad estrictamente limitada a la medición exclusiva de la audiencia del sitio o de la aplicación. Este tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente.

Y más abajo:

Por ello, y en general, la AEPD considera que para la correcta administración de un sitio de Internet únicamente son estrictamente necesarias las siguientes mediciones:

  • Medición de audiencia, página por página;
  • La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada “referente”), ya sea interna o externa al sitio, por página y agregada diariamente;
  • Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente;
  • Estadísticas de tiempo de carga de la página, por página y agregadas por hora;
  • Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente;
  • Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente;
  • Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *