Transparencia en el análisis

Metodología de análisis

Explicamos cómo funciona nuestro motor de análisis, qué tecnologías detectamos, cómo clasificamos los elementos y cómo calculamos la puntuación de cumplimiento.

Qué analizamos

Cookies

Detectamos todas las cookies, incluyendo las HttpOnly que no son visibles a JavaScript, usando Chrome DevTools Protocol (CDP) para interceptar cabeceras Set-Cookie.

LocalStorage / SessionStorage

Extraemos todos los elementos almacenados en el navegador via Web Storage API, que también pueden contener identificadores de seguimiento.

Requests a terceros

Interceptamos las peticiones observadas a dominios externos (scripts, pixeles, iframes) durante la carga inicial, 10 segundos adicionales y el scroll técnico acotado.

Motor de análisis

Navegador Chromium automatizado

Usamos Puppeteer con Chromium headless para simular una visita real. Cada análisis se ejecuta como una sesión limpia controlada que:

  • Evita contaminación entre análisis (sin cookies previas)
  • Limpia cookies y cache al cerrar, y separa las navegaciones de evidencia avanzada
  • Simula un usuario que visita por primera vez sin consentimiento previo

CDP (Chrome DevTools Protocol)

Activamos una sesión CDP para interceptar cabeceras HTTP de respuesta. Esto nos permite detectar cookies HttpOnly que JavaScript no puede ver, parseando los headers Set-Cookie de cada respuesta.

Detección de CMP híbrida

Detectamos plataformas de consentimiento (CMP) con 3 capas:
1) 25+ CMPs conocidos por firmas DOM
2) IAB TCF v2.0 API (window.__tcfapi)
3) Heurística visual por palabras clave

Clasificación híbrida

Usamos un sistema de clasificación en dos fases para maximizar precisión y velocidad:

FASE 1

Base de datos local

Primero consultamos nuestra base de datos con +500 cookies conocidas, dominios de tracking y patrones de storage. Si encontramos coincidencia, la clasificación es instantánea sin coste de IA.

FASE 2

Clasificación con IA

Los elementos no reconocidos se envían a un LLM (via Ollama Cloud) con un prompt especializado en normativa GDPR/ePrivacy. El modelo determina categoría, nivel de riesgo y base legal con explicación jurídica.

Categorías de clasificación

Estrictamente necesarias
Funcionales
Analítica
Marketing
Desconocidas

Algoritmo de puntuación V2.1

La puntuación actual se expresa en una escala de 5 a 100: parte de una base de 65, suma señales positivas y resta riesgo por elementos activos antes del consentimiento.

Factores del score V2.1

CMP detectado y reconocidobonus
Ratio de elementos segurosbonus
Analítica first-partybonus
Marketing y analítica third-partyriesgo
Elementos high/medium riskriesgo
Ausencia de CMP con riesgo relevanterevisión

Si no se detecta ningún elemento, el score es 100. En el resto de casos el algoritmo actual limita el score entre 5 y 100.

80-100VERDE

Podría cumplir

No se detectaron elementos que requieran consentimiento antes de aceptar. Puede existir cumplimiento, pero se recomienda verificación manual.

50-79ÁMBAR

Requiere revisión

Se detectaron algunos elementos que podrían requerir consentimiento. Se recomienda revisar la configuración del CMP.

5-49ROJO

Podría no cumplir

Se detectaron múltiples elementos de tracking activos sin consentimiento. Alta probabilidad de incumplimiento de ePrivacy.

Detección de Server-Side Tagging

Server-side tagging (GTM server-side, analytics proxy) hace que servicios de terceros parezcan first-party. Sin embargo, bajo la Directiva ePrivacy, el requisito de consentimiento se basa en el propósito del tratamiento, no en la implementación técnica.

Detectamos indicios de server-side tagging mediante heurística:

  • 1Cookies _ga/_gid en first-party sin requests directos a Google Analytics
  • 2Subdominios sospechosos: gtm.dominio.com, analytics.dominio.com, collect.dominio.com
  • 3Cookies de marketing (_fbp, _ttp) en dominio first-party
  • 4Rutas de analitica en first-party: /collect, /g/collect, /analytics

Marco legal aplicable

Directiva ePrivacy 2002/58/CE

Art. 5.3: Requiere consentimiento previo e informado para almacenar información en el dispositivo del usuario, excepto si es estrictamente necesario para un servicio solicitado expresamente.

RGPD 2016/679

Art. 4(11), 6 y 7: Define consentimiento como manifestación libre, específica, informada e inequívoca. Recital 32: no mediante casillas pre-marcadas.

LOPDGDD 3/2018 (España)

Art. 22.2: Excepción para analítica first-party propia bajo condiciones estrictas (sin cruzar datos con terceros, sin compartir con plataformas publicitarias).

Jurisprudencia TJUE

Planet49 (C-673/17): Casillas pre-marcadas = consentimiento inválido.
Orange Romania (C-61/19): Consentimiento debe ser específico por finalidad.

Limitaciones del análisis

  • Análisis de una sola página: Solo analizamos la URL proporcionada. Otras páginas del sitio pueden tener comportamientos diferentes.
  • Verificación de CMP: SÍ intentamos rechazar el consentimiento en CMPs conocidos y comparamos cookies antes/después para verificar si realmente bloquean.
  • Geolocation: Analizamos desde un servidor en Europa. Sitios con geo-targeting pueden mostrar comportamientos diferentes en otras regiones.
  • No es auditoría legal: Este análisis es orientativo. Para cumplimiento legal completo, consulte con un profesional jurídico especializado en protección de datos.
  • Cookies dinámicas: Ejecutamos un scroll técnico limitado antes del consentimiento, pero no simulamos login, formularios, compras ni navegación profunda.

Analiza tu sitio web

Comprueba el estado de cumplimiento de cookies de tu sitio web de forma gratuita.

Iniciar análisis