Legal Cookies
Metodologia

Algoritmo de Puntuacion

Como Legal Cookies calcula la puntuacion de cumplimiento de 5 a 100 y determina las zonas de veredicto.

El algoritmo de puntuacion V2.1 calcula un score de 5 a 100 en el algoritmo actual que representa el grado de cumplimiento observado de un sitio web con la normativa de cookies. Este score se traduce en una de tres zonas de veredicto que facilitan la interpretacion.

Principio fundamental

El score V2.1 no es solo una resta lineal. Parte de una base de 65 puntos y ajusta el resultado con señales positivas y negativas detectadas durante la captura automatizada.

Score = 65 + señales positivas - señales de riesgo

Si no se detecta ningún elemento de cookies, storage o requests de terceros, el resultado es 100. En el resto de casos el score final se limita entre 5 y 100 para evitar conclusiones absolutas cuando la evidencia procede de una captura automatizada.

Tabla de penalizaciones

Cada tipo de elemento tiene una penalizacion asociada basada en su impacto potencial en la privacidad:

Cookies

CategoriaPenalizacionRazon
Marketing third-party-15 ptsTracking cross-site, perfilado publicitario
Analytics third-party-10 ptsTransferencia de datos a terceros
Analytics first-party-5 ptsMenor riesgo pero requiere consentimiento
Functional third-party-5 ptsFuncionalidad via terceros
Unknown (high risk)-3 ptsIncertidumbre, potencial tracking
Strictly necessary0 ptsExentas de consentimiento

Requests a terceros

TipoPenalizacionRazon
Tracker conocido-8 ptsScripts de tracking activo
Pixel de marketing-8 ptsSeguimiento de conversiones
Analytics script-5 ptsCarga de SDK de analitica
CDN esencial0 ptsRecursos tecnicos necesarios

Storage (localStorage/sessionStorage)

TipoPenalizacionRazon
ID persistente sospechoso-5 ptsPosible fingerprinting
Datos de terceros-3 ptsAlmacenamiento para tracking
Datos funcionales0 ptsPreferencias legitimas

Zonas de veredicto

El score se traduce en una de tres zonas:

Zona Verde (80-100): "Podria cumplir"

┌─────────────────────────────────────┐
│  VERDE  │  80-100 puntos            │
│─────────│───────────────────────────│
│ Estado  │ No se detectaron          │
│         │ elementos que requieran   │
│         │ consentimiento previo     │
└─────────────────────────────────────┘

Significado: El analisis no detecto elementos problematicos activos antes del consentimiento. Esto es un buen indicador, pero no garantiza cumplimiento total.

Recomendacion: Verificar manualmente que el CMP funciona correctamente y mantener documentacion actualizada.

Zona Amarilla (50-79): "Requiere revision"

┌─────────────────────────────────────┐
│ AMARILLO │  50-79 puntos            │
│──────────│──────────────────────────│
│ Estado   │ Se detectaron algunos    │
│          │ elementos que podrian    │
│          │ requerir consentimiento  │
└─────────────────────────────────────┘

Significado: El sitio tiene elementos que probablemente requieren consentimiento pero se activan antes de obtenerlo. Puede ser un problema de configuracion del CMP.

Recomendacion: Revisar la configuracion del CMP para asegurar que bloquea scripts y cookies hasta obtener consentimiento valido.

Zona Roja (5-49): "Podria no cumplir"

┌─────────────────────────────────────┐
│  ROJO   │  5-49 puntos              │
│─────────│───────────────────────────│
│ Estado  │ Se detectaron multiples   │
│         │ elementos de tracking     │
│         │ activos sin consentimiento│
└─────────────────────────────────────┘

Significado: Alta probabilidad de incumplimiento. Se detectaron multiples cookies de tracking, scripts de analitica o marketing activos antes de cualquier consentimiento.

Recomendacion: Accion urgente requerida. Revisar completamente la implementacion de cookies y el CMP.

Ejemplos de interpretación

Ejemplo 1: Sitio bien configurado

EvidenciaEfecto
Cookies estrictamente necesariasSeñal positiva o neutra
CMP detectado y reconocidoBonificación de configuración
Sin requests de tracking relevantesMantiene el score en zona verde

Resultado esperado: zona verde si no hay elementos que requieran consentimiento previo.

Ejemplo 2: Sitio con analytics sin bloquear

EvidenciaEfecto
Cookies de analítica antes del consentimientoPenalización por categoría y riesgo
Requests a proveedores de analyticsPenalización adicional
CMP presentePuede mejorar el score, pero no elimina la incidencia

Resultado esperado: zona ámbar si el volumen/riesgo es moderado y existe algún mecanismo de consentimiento que debe revisarse.

Ejemplo 3: Sitio con tracking activo

EvidenciaEfecto
Cookies de marketing antes del consentimientoPenalización alta
Varios dominios publicitarios o pixelsPenalización por riesgo acumulado
Ausencia de CMP o CMP no efectivoPenalización contextual

Resultado esperado: zona roja cuando la evidencia técnica muestra tracking relevante activo antes de una acción afirmativa del usuario.

Modificadores contextuales

El algoritmo aplica modificadores en situaciones especificas:

Sin CMP detectado

Si no se detecta ninguna plataforma de gestion de consentimiento y hay una proporción relevante de elementos problemáticos:

Penalización adicional proporcional: hasta -10 puntos

Razon: sin CMP visible no hay evidencia técnica de un mecanismo para obtener consentimiento válido antes de activar elementos no necesarios.

Server-side tagging detectado

Si se detectan indicios de server-side tagging (ver seccion dedicada):

No modifica el score directamente, pero se incluye
una advertencia destacada en el informe.

Razon: SST no exime del requisito de consentimiento, pero dificulta la deteccion automatizada.

Limitaciones del algoritmo

El score es una metrica orientativa, no una evaluacion legal definitiva.

LimitacionDescripcion
Falsos positivosAlgunas cookies legitimas pueden penalizar incorrectamente
Falsos negativosCookies ofuscadas o dinamicas pueden no detectarse
Contexto desconocidoNo podemos saber si el CMP realmente bloquea scripts
Una paginaEl score solo refleja la URL analizada

Interpretacion correcta

El score NO indica:

  • Cumplimiento legal garantizado
  • Ausencia de riesgos de sancion
  • Validez del consentimiento obtenido

El score SI indica:

  • Presencia de elementos que requieren consentimiento
  • Nivel de riesgo potencial detectado automaticamente
  • Puntos de mejora especificos

Evolucion del algoritmo

El algoritmo V2.1 es la version actual. Cambios principales respecto a versiones anteriores:

VersionCambio
V2.1Deteccion de server-side tagging
V2.0Deteccion de cookies HttpOnly via CDP
V1.5Captura de requests post-load (10s)
V1.0Algoritmo inicial basado en categorias

Las penalizaciones se ajustan periodicamente basandose en:

  • Cambios en la normativa
  • Jurisprudencia relevante
  • Feedback de auditores profesionales