Analítica Centrada en la Privacidad, Explicada: Qué Significa y Qué Recopilamos Realmente

La analítica centrada en la privacidad consiste en medir cómo se usa un sitio web sin identificar, rastrear ni perfilar a las personas que lo usan. Sin cookies, sin huellas digitales de dispositivo, sin identidad entre sitios. Sigues sabiendo qué páginas funcionan, de dónde vinieron los visitantes y si un cambio dio resultado, pero nunca construyes un expediente sobre un individuo. Esa única restricción de diseño es toda la disciplina.

Construimos y operamos nuestra propia analítica sin cookies para sitios de clientes, y esta es la explicación que nos habría gustado encontrar cuando empezamos. Es también la versión honesta: qué recopilamos, qué descartamos deliberadamente y las concesiones que aceptamos para quedarnos del lado correcto del RGPD sin un banner de consentimiento.

Qué significa realmente "analítica centrada en la privacidad"

La expresión se usa a la ligera, así que aquí va una definición operativa. La analítica centrada en la privacidad es una medición diseñada de modo que los datos recopilados no puedan, por sí solos o en combinación, singularizar a una persona física. La garantía de privacidad es una propiedad del sistema, no una promesa en un documento de política. No puedes filtrar lo que nunca almacenaste.

De esa definición se derivan tres compromisos:

• Sin identificadores persistentes. Sin cookies, sin IDs en localStorage, sin huella de dispositivo generada a partir del tamaño de pantalla, las fuentes y el user agent. Nada que sobreviva entre visitas o siga a una persona entre sitios.
• Agregado por defecto. Los números se cuentan, no se cruzan. Almacenamos "esta página tuvo 412 visualizaciones hoy", no "el visitante X vio la página A, luego la B y después convirtió".
• Minimización de datos como punto de partida. Según el artículo 5.1.c) del RGPD, solo se recopila lo que es adecuado y pertinente. El enfoque centrado en la privacidad invierte el hábito habitual: en lugar de capturarlo todo y podar después, capturas el mínimo y justificas cualquier añadido.

La ventaja práctica es que, en la mayoría de las jurisdicciones, la analítica construida así no es "rastreo" en sentido legal. Las normas de consentimiento de cookies de la Directiva ePrivacy giran en torno al almacenamiento o acceso a información en el dispositivo del usuario. Si no almacenas nada en el dispositivo, la exigencia del banner de cookies prácticamente desaparece, que es exactamente por lo que no mostramos ninguno.

En qué se diferencia de Google Analytics

Google Analytics 4 es la opción por defecto y es el contraste más claro. GA4 está construido para conectar comportamiento con identidad a lo largo del tiempo, porque el negocio de su matriz es la publicidad. Incluso con el modo de consentimiento y la anonimización de IP, el modelo es fundamentalmente evento-e-identidad: un flujo de eventos con marca de tiempo vinculados a un client ID, diseñado para coserse en recorridos y, cuando los términos de Google lo permiten, en el grafo más amplio de Google.

Eso crea tres problemas que una herramienta centrada en la privacidad no tiene:

1. Coste del consentimiento. Como GA4 lee y escribe en el dispositivo, necesita consentimiento explícito y por opción activa en la UE. El banner en el que pulsas "Rechazar todo" existe en gran medida para que herramientas como GA4 sean legales. Los propios banners de consentimiento perjudican de forma medible la conversión y el tiempo de carga.
2. Los datos salen de tu control. GA4 envía datos a la infraestructura de Google. Tras la sentencia Schrems II y una serie de decisiones de autoridades europeas de protección de datos (los reguladores austriaco, francés e italiano declararon ilegales implementaciones concretas de GA), la transferencia de datos analíticos de la UE a EE. UU. lleva años siendo un riesgo legal real.
3. Muestreo y modelado. Para manejar la escala y los huecos de consentimiento, GA4 muestrea y modela los datos. A menudo estás mirando una estimación vestida de recuento.

La analítica centrada en la privacidad cambia alcance por honestidad. No podemos decirte que la misma persona volvió cuatro veces este mes, porque hicimos imposible saberlo. Lo que sí podemos decirte es cierto, completo para el tráfico que vemos, y tuyo.

Las señales exactas que recopilamos

Lo concreto es mejor que lo abstracto, así que aquí está la forma real de lo que llega a nuestro pipeline en una visualización de página. Lo ejecutamos del lado del servidor en PHP 8.3, detrás de Cloudflare, sin ningún script de rastreo del lado del cliente haciendo trabajo de identidad.

{
  "path": "/journal/privacy-first-analytics-explained",
  "locale": "es",
  "referrer_host": "duckduckgo.com",
  "country": "ES",
  "device_class": "mobile",
  "ts_hour": "2026-06-03T14:00:00Z"
}

Fíjate en lo que está y en lo que no está:

• Ruta de la página — qué página, para saber qué contenido se gana la atención.
• Locale — EN, PT o ES, ya que servimos tres mediante prefijos de URL (/pt/, /es/) y queremos saber qué públicos leen qué.
• Solo el host del referente — guardamos duckduckgo.com, no la URL referente completa con su query string, que puede llevar términos de búsqueda o tokens de sesión.
• País — derivado de la geolocalización en el borde de Cloudflare, nunca almacenado junto a algo que pudiera reidentificar. País, no ciudad, no coordenadas.
• Clase de dispositivo — el cubo mobile / desktop / tablet, no la cadena completa del user agent y nunca una huella montada a partir de ella.
• Cubo horario — la marca de tiempo se redondea a la hora. La precisión al minuto y segundo es un identificador sorprendentemente fuerte cuando se combina con otros campos, así que la descartamos.

La dirección IP es la decisión estructural. La usamos de forma transitoria para derivar el país en el borde y luego no la almacenamos: ni con hash, ni truncada, ni "anonimizada". Una IP con hash sigue siendo dato personal porque es reversible con una rainbow table sobre el espacio IPv4. Por eso nunca llega a la base de datos. La fila de arriba es lo que persiste, y describe una visualización de página, no un visitante.

Qué nos negamos a recopilar

La disciplina se define sobre todo por la lista de "no". No recopilamos, y no tenemos ningún mecanismo para recopilar:

• Cookies ni ningún identificador almacenado en el dispositivo. No hay cookie de analítica de origen ni clave en localStorage. Por eso no hay banner de consentimiento.
• Huellas digitales de dispositivo. Sin hashing de canvas, sin enumeración de fuentes, sin concatenar resolución de pantalla + zona horaria + GPU para fabricar un pseudo-ID. La huella digital es rastreo sin consentimiento por otros medios, y la tratamos como vetada.
• Identidad entre sitios o entre sesiones. No podemos vincular una visita en el sitio de un cliente con una visita en ningún otro lugar, incluido el nuestro. No hay grafo compartido.
• Recorridos individuales de usuario. Almacenamos recuentos agregados por página, no flujos de eventos ordenados vinculados a una persona.
• Direcciones IP en bruto, cadenas completas de user agent o geolocalización precisa. Cada una se descarta en el borde o nunca se solicita.

Si un dato pudiera usarse para reconocer a la misma persona dos veces, nuestra respuesta por defecto es que no lo guardamos. Las excepciones reciben una justificación escrita y un límite de retención, no un encogimiento de hombros.

Las concesiones, dichas con claridad

Esto no es gratis. Aprendimos los costes por las malas y creemos que deberías conocerlos antes de adoptar el enfoque.

Pierdes los embudos por usuario y la retención por cohorte. Si tu producto necesita genuinamente saber que la misma cuenta hizo A, luego B y luego se fue, la analítica agregada sin cookies no te lo dará, y deberías recurrir a una analítica de producto de origen y con consentimiento. Para nuestro sitio y la mayoría de los sitios de marketing, la pregunta es "qué contenido y canales funcionan", y los agregados responden a eso con limpieza.

Pierdes los visitantes únicos deduplicados en sentido estricto. Reportamos una estimación que preserva la privacidad de únicos por página y por día, derivada sin almacenar identificadores, y somos claros en que es una estimación. Una imprecisión honesta vale más que una vigilancia precisa.

Lo que ganas: ningún banner, páginas más rápidas (sin una etiqueta pesada de terceros), residencia de datos que controlas y un relato de medición que puedes defender ante un regulador o el equipo legal de un cliente en un solo párrafo. Para un proyecto como Delicious Diamonds, donde la promesa de marca es sabor y confianza, entregar un sitio que no grava en silencio a los visitantes con rastreo forma parte del oficio, no es una ocurrencia tardía de cumplimiento.

La versión corta

La analítica centrada en la privacidad responde a "¿funciona el sitio?" sin responder a "¿quién es esta persona?". Cuenta páginas, no personas. Los datos son agregados, sin cookies y sin huellas digitales por construcción, y por eso normalmente quedan fuera de la ley de consentimiento de cookies. Renuncias al rastreo a nivel individual; conservas la velocidad, la soberanía y la conciencia tranquila.

Preguntas frecuentes

¿La analítica centrada en la privacidad cumple el RGPD?

Bien hecha, minimiza o elimina el tratamiento de datos personales. No almacenamos IPs, cookies ni huellas digitales, así que, para la medición típica de un sitio, hay poco o ningún dato personal en tratamiento. El cumplimiento depende siempre de tu configuración completa, pero partir de "no recopilar nada identificable" facilita mucho el resto.

¿Necesita un banner de consentimiento de cookies?

Si no almacena nada en el dispositivo del visitante ni lee nada de él —sin cookies, sin localStorage— entonces el disparador de consentimiento de cookies de ePrivacy generalmente no aplica. La nuestra no almacena nada, así que no usamos banner.

¿En qué se diferencia de Google Analytics?

GA4 vincula eventos a una identidad de cliente persistente, exige consentimiento en la UE y envía datos a Google. La analítica centrada en la privacidad cuenta de forma agregada, no usa identificador persistente y mantiene los datos contigo. Cambias el rastreo individual y el alcance por legalidad, velocidad y control.

¿Aún puedes ver de dónde viene el tráfico?

Sí. Guardamos el host del referente (p. ej. duckduckgo.com) y un país derivado en el borde, así que el reporte de canal y geografía funciona bien. Simplemente no guardamos los identificadores precisos que lo convertirían en vigilancia.

¿Y los visitantes únicos?

Reportamos una estimación que preserva la privacidad, derivada sin almacenar identificadores, y la etiquetamos como estimación. Si necesitas datos exactos, deduplicados y por usuario, eso requiere analítica de producto con consentimiento: una elección deliberada y separada.