Saltar al contenido

El dossier de evidencias “a prueba de la AEPD”: lo que de verdad debes documentar

  • Josep 

Muchas empresas creen que cumplir con el RGPD consiste en hacer las cosas bien.
En la práctica, consiste en poder demostrar que las hiciste bien.

Si la Agencia Española de Protección de Datos hace preguntas, no le interesan las buenas intenciones ni las promesas. Tampoco capturas hechas semanas después. Quiere evidencias reales. Qué vio el usuario. Qué se activó. Qué no. Y cuándo.

Este artículo explica cómo montar un dossier de evidencias sencillo y defendible para consentimiento, analítica y publicidad. Sin tratados legales. Solo lo necesario para aguantar una revisión.

Empieza a documentar antes de publicar

Uno de los errores más comunes es arreglar el consentimiento y luego intentar reconstruir pruebas.

Eso casi nunca sale bien.

Las evidencias deben generarse en el momento en que publicas el banner, el CMP y las etiquetas. Si tu documentación empieza semanas después, dependes de la memoria y de suposiciones. Los reguladores no.

Una regla simple:
Si no está registrado o capturado, no ocurrió.

Qué debe incluir tu dossier de evidencias

Piénsalo como un pequeño expediente interno. Cuatro o cinco páginas son suficientes si son claras y concretas.

1. Evidencia del banner de cookies

Hay que mostrar lo que el usuario vio realmente.

Capturas en:

  • Escritorio
  • Móvil

La primera capa debe verse completa:

  • Aceptar
  • Rechazar
  • Configurar o personalizar

Todas las opciones deben tener la misma visibilidad. Si “rechazar” estaba oculto, atenuado o retrasado, documenta el cambio que hiciste. Eso es más valioso que fingir que nunca pasó.

Guarda las imágenes con fecha en el nombre del archivo.

2. Registros de consentimiento del CMP

Exporta o captura registros reales de consentimiento.

Qué importa:

  • Fecha y hora
  • Estado del consentimiento por categoría
  • Método (banner, panel de ajustes, reconsentimiento)
  • Región o idioma, si aplica

No necesitas todos los registros. Una muestra representativa que demuestre que el sistema registra y conserva decisiones es suficiente.

3. Prueba de activación de etiquetas

Aquí es donde muchos montajes fallan sin darse cuenta.

Crea una tabla simple:

  • Nombre de la etiqueta
  • Finalidad
  • Se activa con consentimiento concedido
  • Bloqueada con consentimiento denegado

Usa el modo de vista previa del gestor de etiquetas y registra:

  • Un recorrido con “aceptar todo”
  • Un recorrido con “rechazar todo”

Las capturas donde no se dispara nada son tan importantes como las que muestran disparos.

4. Higiene de configuración en GA4

No hace falta exportar toda la cuenta. Sí demostrar criterio.

Documenta:

  • Que no se envían datos personales en parámetros
  • Que las opciones de anonimización o equivalentes están activas cuando corresponde
  • Que las señales de consentimiento se respetan antes de crear cookies de medición

Una nota breve explicando lo que decides no medir suele jugar a tu favor.

5. Publicidad y medición del lado del servidor

Si usas Meta, Google Ads o server-side tagging, este apartado es clave.

Documenta:

  • Que píxeles o CAPI solo se activan tras consentimiento
  • Si el advanced matching está desactivado hasta consentir
  • Cómo se transmiten las señales de consentimiento en el entorno server-side

Si hay dudas técnicas, documéntalas junto con las medidas adoptadas para limitar riesgos. La honestidad suele pesar más que una seguridad falsa.

Un test de 30 minutos que genera evidencias reales

No necesitas auditorías caras para crear pruebas.

Haz tres pruebas:

  1. Navegador en incógnito, rechazar todo
  2. Navegador en incógnito, aceptar todo
  3. Dispositivo móvil, rechazar todo

En cada una:

  • Captura el banner
  • Captura la vista previa del gestor de etiquetas
  • Guarda la hora y fecha

Con eso ya tienes un rastro defensible.

Fallos habituales que aparecen en inspecciones

Se repiten una y otra vez:

  • Etiquetas que se disparan antes del consentimiento
  • Consentimiento configurado como concedido por defecto
  • Eventos server-side que ignoran el estado del CMP
  • Comportamiento distinto en móvil y escritorio

Si alguno aplica, corrígelo y documenta la corrección. Un fallo corregido y explicado es mejor que un fallo oculto.

Cómo debería verse el documento final

Cuanto más simple, mejor.

Página 1:
Resumen del stack, fechas y responsable.

Página 2:
Capturas del banner y notas de versión.

Página 3:
Registros de consentimiento y matriz de etiquetas.

Página 4:
Breve explicación de decisiones en analítica y publicidad.

Nada más.

Por qué esto importa más de lo que parece

La mayoría de actuaciones no empiezan con una sanción. Empiezan con una solicitud de información.

Si puedes enviar un dossier claro y ordenado en un día, la conversación suele terminar ahí.

Si no, todo escala.

Cumplir no es paranoia. Es estar preparado cuando alguien pregunta:
“¿Puede demostrarnos esto?”

Y poder responder, con calma:
“Sí.”

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *