Iniciativas · Digitales

← Blog /Web corporativa

Cookies y consentimiento RGPD sin destruir tu medición

6 min de lectura

El banner mal montado puede dejar tu Google Analytics sin datos del 60% de los usuarios. Cómo cumplir RGPD y seguir midiendo lo suficiente para decidir.

Composición brutalista: galleta con dos botones de consentimiento, uno con check lima y otro con cruz

El banner de cookies se ha convertido en una pesadilla doble. Por un lado, la AEPD y los tribunales europeos son cada vez más estrictos sobre cómo se pide el consentimiento. Por otro, montar el banner "demasiado bien" deja tu Google Analytics ciego del 50-70% de usuarios, que rechazan o ignoran el banner.

¿Hay un equilibrio? Sí, pero hay que entender bien tres cosas. Vamos a ellas.

Qué exige la AEPD en 2026

Las reglas básicas, simplificadas:

  • Consentimiento explícito antes de instalar cualquier cookie que no sea estrictamente necesaria. No vale "seguir navegando es aceptar".
  • Botón de rechazo igual de visible que el de aceptar. No vale "Aceptar" gigante en lima y "Configurar" minúsculo en gris.
  • Granularidad por categorías: el usuario debe poder aceptar analítica y rechazar marketing, o cualquier combinación.
  • Persistencia razonable de la decisión: no puedes preguntar cada visita; debe recordarse al menos 6 meses si aceptó, y poder revocarse fácilmente.
  • Registro del consentimiento: tienes que poder demostrar quién aceptó qué y cuándo (logs).

Sanciones por incumplimiento: desde 1.000€ (la mayoría de avisos), hasta 30.000€ (incumplimientos graves) en pyme. Multas mayores se reservan para grandes empresas o casos extremos.

Por qué tu medición se destruye con un banner bien hecho

Cuando aplicas todo lo anterior, lo que pasa en la práctica:

  • Aceptación total: 35-55% de usuarios (depende del sector y del tono del banner).
  • Rechazo total: 20-40%.
  • Cierran sin elegir: 10-25% (Google interpreta esto como rechazo en la mayoría de configuraciones).

Resultado: Google Analytics solo "ve" al 35-55% de tus visitantes. Y los rechazos no son aleatorios: suelen ser usuarios más privacy-conscious (perfil más técnico, más viejo, más informado). Te falta justo el segmento que más interesa entender.

Esto no es un fallo del banner; es un efecto colateral inevitable. Lo que puedes hacer es mitigar la pérdida con dos técnicas.

Google introdujo Consent Mode hace unos años, y la versión v2 es obligatoria desde 2024 si quieres mantener funcionalidad completa de Google Ads y Analytics en Europa.

Lo que hace, en simple:

  • Cuando el usuario rechaza cookies analíticas, Google sigue recibiendo "pings" anónimos sin identificador.
  • Esos pings permiten a Google modelar (estimar) el comportamiento agregado sin trackear al usuario individual.
  • Los datos en GA4 y Ads aparecen completos: visitantes "modelados" + visitantes con consentimiento explícito.

Resultado: en lugar de ver solo el 40% del tráfico, ves estimaciones del 80-95%. No es perfecto, pero es enorme diferencia.

Cómo se configura: vía Tag Manager, con etiquetas de tipo "Consent" antes de cualquier otra. La mayoría de CMPs (Cookiebot, Iubenda, Klaro, Onetrust) ya lo integran nativamente — solo hay que activarlo.

Mitigación 2 — Eventos server-side para conversiones críticas

Para conversiones de negocio (envío de formulario, llamada, descarga clave), no dependas solo del píxel cliente. Configura medición server-side:

  • Cuando se envía un formulario en tu web, tu servidor (backend o webhook como n8n/Zapier) envía directamente la conversión a Google Ads y a Meta vía Conversions API.
  • Esto pasa sin importar si el usuario aceptó cookies o no (no se identifica al usuario individual; solo se reporta la conversión agregada).
  • Las plataformas reciben la señal de conversión y pueden optimizar campañas.

Importante: legalmente, la conversión server-side no requiere consentimiento si se trata de datos agregados, no identificables y necesarios para la operación del servicio (legitimate interest). En la práctica, esto te recupera muchas conversiones que el banner mata.

El setup mínimo viable que recomiendo

Para una pyme española en 2026, con web sencilla, GA4, Google Ads y/o Meta:

1. Un CMP (Consent Management Platform) decente

Opciones por orden:

  • Klaro (open source, gratuito, requiere algo de configuración técnica).
  • Iubenda (pago, ~30-50€/mes, fácil de configurar).
  • Cookiebot (pago, ~150€/año para pyme, muy completo).

Lo que no recomiendo: plugins de cookies de WordPress básicos sin gestión de consentimiento real ("Cookie Notice & Compliance" o similares). Cumplen la fachada pero no la profundidad.

2. Consent Mode v2 activo en GTM

Configurado para que las etiquetas de marketing se pausen sin consentimiento, pero las "señales" de Google sigan llegando.

3. Server-side tracking para conversiones de formulario

Envío directo desde el backend (o un webhook intermedio) a Google Ads API y Meta CAPI. Conversión registrada al 100%, independiente del consentimiento del usuario.

4. Logs de consentimiento

El CMP elegido debe guardar registro de quién aceptó qué y cuándo. Si te llega una reclamación de la AEPD, lo tienes que poder demostrar.

5. Revisión periódica

Cada 6 meses: revisar cookies activas, qué consentimiento piden, si hay alguna nueva sin documentar. Suelen aparecer al meter plugins nuevos.

Errores típicos que veo en banners de pyme

  • Banner con un solo botón ("Aceptar"), sin opción de rechazar. Incumple frontalmente.
  • Banner con "Aceptar" gigante en color y "Configurar" minúsculo en gris. Práctica de "dark pattern" cada vez más sancionada.
  • "Seguir navegando es aceptar": ilegal desde hace años, sigue apareciendo en webs.
  • Banner que recarga la web cada vez al cambiar la elección: usabilidad pésima, frustra a los que sí intentan elegir.
  • No tener política de cookies actualizada: el banner es la cara, la política es el contenido. Sin política detallada, el banner cumple solo a medias.

Conclusión

El equilibrio entre cumplimiento RGPD y medición útil es alcanzable, pero no por casualidad. Requiere un CMP bien configurado, Consent Mode v2 activo, server-side tracking para conversiones críticas y revisión periódica.

El coste de hacerlo bien es bajo (entre 0€ y 200€/mes según herramientas) y el retorno es doble: cumples la ley + sigues teniendo datos suficientes para decidir. El coste de hacerlo mal —multas o medición ciega— es muchísimo mayor.

Si tu banner actual es el "Aceptar todas" sin más, este es un buen mes para sustituirlo.

Sigue leyendo