Telemetría invisible: medir el tráfico web respetando la LSSI (sin banners)
Analítica web sin cookies y alternativas a Google Analytics conformes con el RGPD: la exención del Art. 22.2 LSSI y las propiedades técnicas que eliminan la obligación de consentimiento.
Sunt mala quae libas, ipse venena bibas.
La Acusación
Existe una creencia extendida entre titulares de webs corporativas que une dos cosas que no tienen por qué estar unidas: medir el tráfico del sitio y mostrar un banner de cookies. La primera parece imponer la segunda de forma inevitable. Si quieres saber cuántas visitas recibes, de dónde vienen y qué páginas leen, necesitas una herramienta de analítica. Y esa herramienta necesita, por definición, instalar identificadores en el navegador del visitante y declararlo en un aviso de consentimiento.
No es verdad. Es el resultado de haber normalizado un modelo concreto de analítica —el de las plataformas que reutilizan los datos de tus visitantes para sus propias finalidades publicitarias— como si fuera la única forma técnicamente posible de obtener estadísticas de tráfico.
La AEPD lo documentó con precisión. En enero de 2024, la agencia publicó una guía específica sobre herramientas de medición de audiencia que establece algo que el mercado ha tardado en procesar: determinadas herramientas de analítica pueden quedar exentas del consentimiento bajo el artículo 22.2 de la LSSI. No como excepción generosa, sino porque cumplen técnicamente el requisito que el propio artículo establece: que el tratamiento sea estrictamente necesario para la prestación del servicio, sin reutilización de datos para finalidades distintas.
La misma guía excluye implícitamente a las herramientas más extendidas del mercado de esa exención, porque sus proveedores reutilizan los datos recogidos en tu web para finalidades propias. El mercado lleva dos décadas pagando por un banner de consentimiento que solo existe porque eligió la herramienta equivocada.
El Cuerpo del Delito
Las cinco condiciones que la AEPD exige para la exención
La Guía sobre uso de cookies para herramientas de medición de audiencia, publicada por la AEPD el 11 de enero de 2024, establece que las herramientas de analítica pueden considerarse exentas del consentimiento si cumplen cinco condiciones acumulativas:
Finalidad exclusivamente limitada a la medición de audiencia con fines de administración del sitio —páginas vistas, referente de entrada, duración de sesión—, sin reutilización para ningún otro fin, incluyendo fines publicitarios o de perfilado.
Tratamiento realizado en nombre exclusivo del editor: la herramienta opera como encargada del tratamiento del titular del dominio, no como responsable independiente que usa esos datos para sus propias finalidades.
Datos estadísticos anónimos que no se cotejan con otros datos ni se cruzan entre sitios web distintos para construir perfiles de usuario.
Vida útil limitada a un periodo que permita comparación significativa de audiencias —la guía cita trece meses— sin extensión automática en nuevas visitas.
Información al usuario de la existencia de estas herramientas, aunque sea mediante la política de privacidad, sin necesidad de banner ni panel de gestión de preferencias.
La consecuencia lógica de esas cinco condiciones es que cualquier herramienta cuyo proveedor sea responsable independiente del tratamiento y use los datos recogidos en tu web para su propio ecosistema —publicitario, estadístico o de cualquier otra finalidad propia— no puede cumplirlas. La exención no es para todas las analíticas. Es para las analíticas que no transfieren datos a terceros con finalidades propias.
La propiedad técnica que desactiva la obligación
El artículo 22.2 de la LSSI obliga a informar y obtener consentimiento cuando se utilizan "dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios". La obligación nace en el momento en que algo se deposita en el navegador del visitante: una cookie, un identificador persistente, cualquier mecanismo de almacenamiento local.
Una herramienta de analítica que registre las visitas exclusivamente en el servidor, sin depositar ningún identificador en el equipo terminal del visitante, no activa ese supuesto de hecho. No hay dispositivo en el equipo del destinatario. No hay obligación de informar sobre él. No hay consentimiento que solicitar. El banner de cookies no existe porque el mecanismo legal que lo exige no se ha activado.
Esto no es una interpretación favorable ni una zona gris. Es la lectura literal del artículo. Lo que la guía de enero de 2024 añade es la confirmación de que incluso cuando sí se usan cookies con fines analíticos, pueden quedar exentas si cumplen las cinco condiciones anteriores. Pero la exención más robusta —la que no depende del cumplimiento de ninguna condición adicional— es la que resulta de no depositar nada en el equipo del visitante en primer lugar.
La identificación de visitas únicas sin cookies es técnicamente posible mediante un hash no identificable, calculado a partir de datos volátiles —IP, agente de usuario, una sal aleatoria renovada cada veinticuatro horas— que permite distinguir visitas dentro de una sesión sin crear ningún identificador persistente ni vinculable a un individuo concreto a lo largo del tiempo. El resultado son estadísticas de tráfico útiles —páginas más visitadas, referentes, distribución geográfica aproximada, tipos de navegador— sin que exista en ningún momento un dato personal persistente asociado a ningún visitante.
Herramientas con estas propiedades existen, son de código abierto y auditables, y pueden desplegarse en servidor propio dentro del EEE. No son una categoría experimental. Son el modelo que la guía de la AEPD describe como compatible con la exención del artículo 22.2.
El problema no es solo la analítica
La analítica es el caso más visible, pero la misma lógica se aplica a cada capa funcional de la web que establece una conexión con un servidor externo en el momento en que el visitante carga la página.
Los formularios de contacto que envían los datos a un endpoint de un proveedor externo transfieren los datos personales que el visitante introduce —nombre, correo electrónico, mensaje— a servidores de ese tercero antes de que lleguen al titular del dominio. La transferencia se produce en el momento del envío. Si ese proveedor tiene sede fuera del EEE, es una transferencia internacional de datos personales que exige base jurídica independiente. Si tiene sede dentro del EEE pero opera como encargado del tratamiento, exige contrato de encargado formalizado. Un formulario cuyo procesamiento ocurre íntegramente en el servidor propio del titular, sin intermediario externo, no genera ninguna de esas dos obligaciones.
Los sistemas de reserva de citas embebidos mediante widget o iframe establecen una conexión con el servidor del proveedor en el momento en que el visitante carga la página que contiene el widget, antes de que haya interactuado con ningún elemento. La dirección IP del visitante viaja a ese servidor —exactamente el mecanismo que el Landgericht München sancionó en el caso Google Fonts—. Si el proveedor tiene sede fuera del EEE, la transferencia se produce sin que el visitante haya tomado ninguna decisión. Un sistema de reservas que opere desde el propio dominio o desde infraestructura dentro del EEE no genera esa petición externa.
Los mapas embebidos mediante iframe de un proveedor americano ejecutan scripts de terceros que transfieren la IP del visitante al cargar el elemento cartográfico, independientemente de si el visitante interactúa con el mapa o no. En un sitio cuya única finalidad de ese mapa es indicar una dirección postal, la alternativa es una imagen estática generada una sola vez y servida desde el propio servidor: sin scripts, sin conexión externa, sin transferencia de ningún dato. Misma función informativa. Cero pasivo jurídico.
Los sistemas de comentarios de terceros —el tipo de componente que se instala en blogs corporativos porque "permite la participación"— cargan en el momento en que la página se renderiza, independientemente de si el visitante tiene intención de comentar. Muchos de los más extendidos incluyen rastreadores publicitarios propios que operan sin relación alguna con la función de comentarios. En la mayoría de webs corporativas con blog, esta sección lleva meses o años sin actividad. El componente sigue ejecutándose. La superficie de ataque y la obligación de consentimiento permanecen activas para un blog que nadie actualiza y una sección de comentarios que nadie usa.
La ausencia del banner no es el resultado de una configuración más cuidadosa del mismo sistema. Es la consecuencia de haber eliminado los componentes que hacían necesario ese banner. Cuando el código no deposita nada en el equipo del visitante y no llama a ningún servidor externo, la obligación del artículo 22.2 de la LSSI no nace. No se gestiona. No existe.
La Sentencia
Lo que emerge de revisar el ecosistema completo no es una lista de sustituciones técnicas. Es un principio de diseño que la propia AEPD formuló en enero de 2024: la herramienta que no reutiliza datos para finalidades propias, no los transfiere a terceros con jurisdicción sobre ellos y no deposita nada en el equipo del visitante no genera las obligaciones que el mercado ha normalizado como inevitables.
El banner de cookies no es un requisito de la ley. Es un requisito del modelo de negocio de las herramientas que la web decidió instalar. Cuando esas herramientas se sustituyen por implementaciones que no operan sobre ese modelo —porque el código vive en el servidor propio, porque los datos no viajan a ningún tercero, porque nada persiste en el navegador del visitante— la obligación desaparece junto con los componentes que la generaban.
Una web corporativa cuya única función es describir servicios, mostrar una dirección y recibir consultas no necesita transferir ningún dato a ningún servidor externo para cumplir esa función. La telemetría que describe quién la visita puede vivir en el mismo servidor que la sirve. El formulario que recibe mensajes puede procesarlos sin pasar por ningún intermediario. El mapa que muestra la oficina puede ser una imagen que no sabe quién la está mirando.
Cuando el código no viaja, los datos tampoco.
El Cuervo es el archivo de diagnóstico de PRIBECY_