El dilema del consentimiento de las cookies: qué sucede cuando el 97% de sus datos desaparecen

Seamos honestos: pocas cosas han cambiado la analítica web de forma tan drástica (y tan molesta) como el auge del banner de consentimiento de cookies. Lo que comenzó como un aviso cortés de «utilizamos cookies» se ha convertido en una ventana emergente legal a pantalla completa que la mitad de Internet ahora ignora.

Durante los últimos meses, hemos estado utilizando Enzuzo como nuestra plataforma de gestión del consentimiento (CMP) aquí en Milk Moon Studio.

Los números son... brutales. De cada cien visitantes, menos de tres realmente hacen clic Aceptar. Eso es una tasa de consentimiento del 2,75% — inferior al margen de error de la mayoría de las encuestas. Otro golpe del 0,63% Rechazar, más de la mitad (51%) se queda mirando fijamente y no hace nada, y el 45% nunca ve la pancarta gracias a los bloqueadores o a la geolocalización.

En otras palabras, estamos recopilando datos analíticos totalmente compatibles y de alta fidelidad sobre tal vez el tres por ciento de nuestra audiencia.

Todos los demás son invisibles.

Esto nos hizo pensar, investigar y debatir, y tal vez perder un poco de sueño:

¿Cuál es el costo real del cumplimiento?

¿Estamos desperdiciando datos valiosos en aras de los requisitos legales? ¿O los banners de cookies han hecho más daño a los datos que la privacidad?

Si administras un sitio de Webflow (o cualquier otro sitio, en realidad) con herramientas de análisis, marketing o incluso cookies básicas, es probable que hayas tenido los mismos debates nocturnos: ¿Realmente necesitamos un banner de consentimiento de cookies? ¿Deberíamos optar por una CMP completa o simplificarla? ¿Qué pasa realmente, tanto legal como prácticamente, si no lo haces al pie de la letra?

Analicemos los requisitos legales en tres jurisdicciones principales: la UE (GDPR), los EE. UU. y Sudáfrica (POPIA), examinemos los casos reales de cumplimiento, comparemos nuestros datos de consentimiento con las tendencias mundiales y averigüemos qué diablos está sucediendo realmente con el panorama de la analítica web.

Cómo llegamos aquí

La idea original era simple: dar a los usuarios el control sobre cómo se utilizan sus datos. En la práctica, ese noble objetivo chocó con la adicción de Internet a rastrear todo lo que se mueve.

GDPR llegó en 2018 y marcó la pauta: no hay cookies no esenciales sin un consentimiento explícito, informado y de aceptación voluntaria. Sin casillas previamente marcadas. Sin permiso implícito. ¿Quieres rastrear a alguien? Pregunta primero y haz que sea igual de fácil decir que no.

Luego llegó POPIA en Sudáfrica, que tomó prestado gran parte del ADN del GDPR, y el lento auge de las leyes de privacidad estatales de EE. UU., como CCPA/CPRA, de Colorado CPA, y el de Virginia VCDPA. Los detalles son diferentes, pero la esencia es la misma: son las personas las que deciden qué datos recopilas y tú tienes que decírselo cuando lo haces.

Todo suena razonable hasta que te das cuenta de lo que sucede cuando a las personas se les da una opción.

La verificación de la realidad: nuestras estadísticas de Enzuzo frente a la industria

Antes de sumergirnos en el laberinto legal, veamos lo que realmente está sucediendo en nuestro sitio web y cómo se compara con el resto:

Números de Milk Moon Studio:

• ‍Total de páginas vistas: 100%‍
• Consentimiento aceptado: 2,75%‍
• Consentimiento rechazado: 0,63%‍
• Banner ignorado: 51,33%‍
• Banner descartado: 0%‍
• No se muestra el banner: 45,29%

Deja que eso se asiente. Más de la mitad de nuestros visitantes (el 51,33%) ignoran por completo el banner. Otro 45,29% ni siquiera lo ve: es probable que regresen visitantes que ya han hecho una elección, usuarios con determinadas configuraciones de navegador o bloqueadores. Solo el 2,75% lo acepta activamente y menos del 1% lo rechaza activamente.

¿Cómo se compara esto a nivel mundial?

Aquí es donde se pone interesante (o deprimente, según tu perspectiva). Según estudios recientes del sector y proveedores de CMP:

• ‍Promedio de la UE (suscripción estricta): Entre el 3 y el 7% de aceptación explícita de los banners bien diseñados, y algunos sitios llegan hasta el 15% cuando los usuarios realmente confían en la marca‍
• Tasas de rechazo: Cuando a los usuarios se les presenta una opción clara de «Aceptar» o «Rechazar» (como exige el RGPD), las tasas de rechazo suelen oscilar entre ** 50-60% ** o incluso más‍
• Promedio estadounidense: Aceptación del 10 al 20% (más porque muchos sitios utilizan el consentimiento implícito o un bloqueo menos agresivo)‍
• Promedio global: 5-10% de aceptación explícita‍
• Tasa de omisión: En todo el sector, entre el 40 y el 60% de los usuarios simplemente no interactúan en absoluto con los banners de cookies

¿Qué nos dice esto?

Nuestra tasa de aceptación del 2,75% es baja, pero no está muy fuera del rango para una implementación estricta de suscripción voluntaria. De hecho, estamos a la par (o quizás ligeramente por debajo) de la media de la UE. Así que nuestras estadísticas de Enzuzo son malas, pero también son perfectamente normales. Todos vuelan a ciegas juntos.

No es un problema de «nosotros». Se trata de un cambio en la forma en que funciona la analítica web en todo el sector.

El gran apagón de la analítica: qué significa esto para la calidad de los datos

Estos son los cálculos brutales: si cumplimos plenamente con el GDPR y la POPIA, estamos trabajando con datos precisos sobre menos del 3% de nuestro tráfico de visitantes de la UE y Sudáfrica.

Esa ceguera tiene consecuencias. Dado que el 97% de los visitantes no son rastreados, tus tasas de conversión son falsas, tus embudos no funcionan y tus «estadísticas de audiencia» son más parecidas lecturas del horóscopo más que datos duros.

Las implicaciones son asombrosas:

1. ‍Datos masivamente incompletos: Nos faltan datos sobre más del 97% de los visitantes‍
2. Métricas tremendamente inexactas: Tasas de conversión, tasas de rebote, tiempo en el sitio, fuentes de tráfico: todo está sesgado‍
3. Inútil para la toma de decisiones: No puedes tomar decisiones empresariales informadas basadas en datos del 3% de tu audiencia‍
4. Muestra sesgada: El 2,75% que da su consentimiento no es una muestra aleatoria, sino un subconjunto específico de usuarios que pueden estar más comprometidos, tener más confianza o tener diferentes grupos demográficos‍
5. Subregistro de conversiones: Sus conversiones reales pueden ser mucho más altas de lo que muestra Analytics‍
6. Asignación incorrecta de recursos: Podrías invertir demasiado en canales que producen tasas de consentimiento más altas y, al mismo tiempo, ignorar los canales con un consentimiento más bajo pero con un mejor ROI real.

Para la publicidad, es aún peor:

Para cualquiera que publique anuncios, el dolor se duplica. Sin señales de consentimiento, Google Ads desactiva por completo el remarketing y las audiencias personalizadas. Con la segmentación genérica te quedas con la segmentación genérica y buena suerte optimizando las campañas cuando tus conversiones no incluyen la mitad de sus datos de atribución:

• Audiencias de remarketing muy limitadas (solo se puede remarketing al 2,75%)
• Seguimiento de conversiones degradado (no se puede rastrear qué anuncios generaron conversiones si los usuarios no dieron su consentimiento)
• Optimización deficiente (los algoritmos de Google no pueden optimizar sin las señales de consentimiento de la mayoría de los usuarios)
• Inversión publicitaria desperdiciada (mostrar anuncios a personas que ya han realizado conversiones o faltan personas que deberían verlos)

Y esta es la cuestión: incluso si te inclinas hacia atrás con Modo de consentimiento v2 de Google, todo lo que se obtiene es un modelo estadístico. GA4 intenta llenar los espacios en blanco con «modelos de comportamiento» y «modelos de conversión», pero eso es realmente adivinanzas sofisticadas. Mejor que volar completamente a ciegas, pero ni siquiera cerca de tener datos reales.

Mientras tanto, los reguladores no juegan: el GDPR gobierna la UE

Lo que dice realmente la ley

El Reglamento General de Protección de Datos (GDPR) ha estado en vigor desde el 25 de mayo de 2018 y no es un lío. Si estás procesando datos personales de cualquier persona de la Unión Europea, debes cumplirla, independientemente de dónde se encuentre realmente tu empresa.

Requisitos clave para el consentimiento de cookies:

1. ‍Consentimiento explícito e informado: Los usuarios deben suscribirse activamente delante de colocas cookies no esenciales en su dispositivo. Las casillas previamente marcadas no cuentan. El «consentimiento implícito» no existe en virtud del RGPD. Sin consentimiento = sin seguimiento.‍
2. Control granular: Los usuarios deben poder aceptar o rechazar diferentes categorías de cookies por separado (analíticas, de marketing, funcionales, etc.). No puedes incluir la opción «Aceptar todas» como única opción.‍
3. Información clara: Debes explicar qué datos recopilas, por qué los recopilas, con quién los compartes y durante cuánto tiempo los guardas. La Directiva de privacidad electrónica y el RGPD, en conjunto, exigen esta transparencia.‍
4. Retiro fácil: Los usuarios deben poder retirar el consentimiento con la misma facilidad con la que lo dieron. Si aceptar requiere un clic, rechazarlo o retirarlo también debería hacerlo.‍
5. Sin paredes de galletas: Por lo general, no puedes denegar el acceso a tu sitio web si alguien rechaza las cookies no esenciales. (Hay excepciones limitadas, pero son difíciles de justificar).‍
6. Consentimiento documentado: ** Debe mantener registros que demuestren que se obtuvo el consentimiento, cuándo y con qué fines. Si alguien presenta una queja, debe presentar pruebas.‍
7. No hay casillas premarcadas: La histórica decisión del TJUE en *Planeta 49* aclaró que, incluso en el caso de las cookies, las casillas previamente marcadas infringen la ley. El consentimiento debe ser una acción afirmativa.‍
8. El interés legítimo no se aplica: Las tendencias recientes en materia de cumplimiento lo dejan muy claro: no se puede utilizar el «interés legítimo» como base legal para las cookies no esenciales, como las de análisis o de marketing.

¿Qué se considera información personal?

Aquí es donde se pone difícil. Google Analytics (incluso GA4) recopila datos que pueden considerarse personales según el RGPD:

• Direcciones IP (incluso cuando están «anonimizadas», Google recibe la IP completa antes de truncarla)
• ID de cliente e ID de usuario
• Identificadores de dispositivos
• Comportamiento de navegación que puede crear una «huella digital»

El Consejo Europeo de Protección de Datos (EDPB) ha sido muy claro: Google Analytics requiere el consentimiento según el RGPD.

Aplicación de la ley en el mundo real: no están fanfarroneando

De todos modos, la razón por la que no podemos simplemente encogernos de hombros y recopilar datos es que los reguladores tienen fuerza y la han utilizado. Veamos algunos casos reales en los que las empresas fueron atacadas por no cumplir con las cookies:

Google contra Francia (septiembre de 2025): La autoridad francesa de protección de datos (CNIL) abofeteó a Google con un Multa de 325 millones de euros por insertar anuncios en Gmail sin el debido consentimiento del usuario y por obligar a los usuarios a aceptar cookies mediante patrones oscuros. Esta es una de las mayores multas del RGPD relacionadas específicamente con el consentimiento de las cookies.

IAB Europe (febrero de 2022): La Autoridad de Protección de Datos de Bélgica descubrió que el Marco de Transparencia y Consentimiento de IAB Europe no cumplía con el RGPD y ordenó cambios importantes en la forma en que las empresas de tecnología publicitaria obtienen el consentimiento. Multa: 250.000€ además de órdenes para eliminar cantidades masivas de datos recopilados indebidamente.

Decisiones de Google Analytics (2022): Las autoridades de protección de datos de Austria, Francia, Italia, Dinamarca, Finlandia, Noruega y Suecia dictaminaron que el uso de Google Analytics infringe el RGPD debido a las transferencias de datos a los EE. UU., incluso con el consentimiento. Algunos sitios web exigían que dejaran de usar GA por completo.

Las empresas más pequeñas también se ven afectadas: No se trata solo de gigantes tecnológicos. En 2023, una pequeña empresa alemana fue multada 10.000€ por usar Google Fonts sin consentimiento (lo que carga recursos de los servidores de Google y transmite direcciones IP). Se ha multado a empresas francesas por publicar anuncios con cookies que no permitían rechazarlos fácilmente.

Los patrones oscuros están siendo atacados: La Agencia de Protección de la Privacidad de California y un nuevo consorcio de reguladores de la privacidad de varios estados de EE. UU. ahora están atacando activamente los banners de cookies que utilizan «patrones oscuros», haciendo que la palabra «Aceptar» aparezca de forma brillante y prominente, mientras que la palabra «Rechazar» en texto gris o requiere varios clics.

Por lo tanto, incluso si la aplicación es inconsistente, el patrón es claro: las leyes de privacidad no son una fase. Son un trinquete unidireccional.

Lo que está en juego

Las infracciones del RGPD pueden costarte:

• Hasta **20 millones de euros** O ** 4% de los ingresos globales anuales**, el que sea mayor
• Honorarios legales, costos de auditoría y gastos de remediación
• Daño reputacional
• Recibir la orden de detener por completo el procesamiento de datos
• Reclamaciones civiles de personas afectadas
• Denuncias activas de grupos de defensa de la privacidad como NOYB (que busca activamente las violaciones)

Para una agencia pequeña como la nuestra, incluso una multa «pequeña» en virtud del RGPD pondría fin a su negocio.

El factor Google: cuando las plataformas se convierten en policías

Aquí es donde se trata menos de la ley y más de la practicidad.

Incluso si fueras lo suficientemente valiente como para ignorar el cumplimiento, Google no te dejará. A partir de marzo de 2024, todos los sitios que utilicen Analytics o Ads en el EEE y el Reino Unido deberán implementarlo Modo de consentimiento v2.

Si no envías señales de consentimiento válidas a Google:

• GA4 deja de recopilar datos completos para los usuarios que no dan su consentimiento
• Las listas de remarketing de anuncios no se rellenarán
• El seguimiento de conversiones se vuelve confuso
• La personalización de anuncios se cierra
• El rendimiento de tu campaña cae en picado

Así que sí, tú *podría* elimina el banner, pero tus análisis y anuncios pasarían a funcionar a medias al instante, en el mejor de los casos. Básicamente, Google se ha convertido en el brazo de aplicación de facto del GDPR. Esta es una aplicación que no puedes ignorar.

Nivel de riesgo de incumplimiento: ALTO

Incluso las pequeñas empresas están siendo atrapadas. Los usuarios pueden presentar quejas. Los grupos de defensa de la privacidad buscan activamente las infracciones. Las autoridades de protección de datos imponen multas multimillonarias, investigan activamente las infracciones del consentimiento en materia de cookies, responden a las quejas y coordinan la aplicación transfronteriza.

POPIA: Sudáfrica sigue el ejemplo de la UE

Lo que dice la ley

La Ley de Protección de la Información Personal (POPIA) entró en vigor el 1 de julio de 2021 y comparte muchos principios con el GDPR. Si procesa la información personal de los interesados sudafricanos, la POPIA se aplica a usted.

Requisitos clave:

1. ‍El consentimiento debe ser voluntario, específico e informado: ** El mismo estándar que el RGPD: necesita un consentimiento activo y claro antes de procesar los datos personales. Se requiere un consentimiento previo e informado antes de configurar las cookies de análisis o marketing.‍
2. Especificación de propósito: Solo puede recopilar datos para fines legales y definidos explícitamente. Debe comunicar estos propósitos con claridad.‍
3. Minimización de datos: Recopile solo lo que sea necesario para el propósito declarado.‍
4. Garantías de seguridad: Debe proteger los datos personales contra el acceso no autorizado, la pérdida o el daño.‍
5. Derechos del sujeto de datos: Las personas pueden solicitar acceso a sus datos, solicitar correcciones u oponerse al procesamiento.‍
6. Transferencias transfronterizas: La POPIA regula el envío de datos fuera de Sudáfrica: necesitas medidas de protección cuando transfieres datos a los servidores de Google en el extranjero (como las cláusulas contractuales estándar).

¿Qué se considera información personal según la POPIA?

POPIA define la información personal de manera amplia:

• direcciones IP
• Identificadores de dispositivos
• Cookies que pueden identificar o relacionarse con una persona identificable
• Comportamiento de navegación vinculado a una persona

Sí, Google Analytics entra en esta definición. Si bien POPIA aún no proporciona regulaciones específicas sobre las cookies, los comentarios legales generalmente tratan las cookies como un procesamiento de información personal.

Aplicación de la ley en el mundo real: en sus primeros días, pero se está volviendo serio

La aplicación de la POPIA sigue aumentando en comparación con el GDPR, pero el regulador de la información (la DPA de Sudáfrica) está tomando medidas.

En Sudáfrica, la aplicación de la ley es más reciente, pero está aumentando. El regulador de información ha comenzado a emitir sanciones multimillonarias para errores de consentimiento y manejo de datos descuidado:

Multa a un proveedor de atención médica en 2023:Multaron a una empresa sanitaria privada 5 millones ZAR por no implementar las medidas de seguridad adecuadas y no obtener el consentimiento adecuado para el procesamiento de datos.

Investigación minorista de 2024: Un importante minorista sudafricano fue investigado por rastrear a los clientes en la tienda sin la debida señalización de consentimiento.

Reclamaciones múltiples presentadas: La oficina del regulador de la información ha informado que ha recibido miles de quejas, muchas de ellas relacionadas con el seguimiento digital, las comunicaciones de marketing y la falta de mecanismos de consentimiento.

La aplicación es más lenta que en Europa, pero está sucediendo. Y las sanciones son graves.

Lo que está en juego

Las infracciones de la POPIA pueden provocar:

• Multas de hasta ZAR 10 millones (aproximadamente 550.000 USD)‍
• Encarcelamiento de hasta 10 años por infracciones graves e intencionales
• Reclamaciones civiles por daños
• Pedidos para dejar de tramitar
• Daño a la reputación en el mercado sudafricano

Para las empresas que hacen negocios en Sudáfrica, el cumplimiento de la POPIA no es opcional; es solo cuestión de tiempo antes de que la aplicación de la ley alcance a los infractores.

Requisitos de Google

Igual que el RGPD: Google exige señales de consentimiento de los usuarios de Sudáfrica. Si no implementas una CMP que funcione con el modo de consentimiento, te enfrentarás a brechas de datos y a funciones limitadas en Google Analytics y Ads.

Nivel de riesgo de incumplimiento: MEDIO (pero en aumento)

El regulador de la información tiene recursos limitados en comparación con los DPA de la UE, está dando prioridad a los casos atroces (violaciones de datos, infracciones maliciosas) y responde a las quejas, pero con lentitud. Sin embargo, el riesgo es real y va en aumento. Si tiene negocios importantes en Sudáfrica, no apueste por esto.

EE. UU.: El enfoque de retazos (o: El tío distraído de la ley de privacidad)

Esta es una forma útil de pensar en las jurisdicciones:

Europa es el padre estricto: «Pregunte antes de tocar cualquier cosa».

EE. UU. es el tío distraído: «Simplemente no lo vendas y probablemente estarás bien».

Sudáfrica es el hermano menor: observa los errores de la UE y se arma poco a poco con las mismas normas.

Ley federal: básicamente nada (por ahora)

A diferencia de la UE y Sudáfrica, los Estados Unidos no tienen una ley federal de privacidad integral. No hay equivalente en el RGPD. No hay equivalente a POPIA.

Sin embargo, existen leyes federales para sectores específicos:

• ‍COPA: Ley de protección de la privacidad infantil en línea (se aplica a los sitios dirigidos a niños menores de 13 años)‍
• HIPAA: Ley de Portabilidad y Responsabilidad del Seguro Médico (datos de atención médica)‍
• GLOBAL: Ley Gramm-Leach-Bliley (datos financieros)‍
• Sección 5 de la Ley de la FTC: Otorga a la FTC autoridad para perseguir prácticas «injustas o engañosas», incluidas las violaciones de la privacidad

Para la mayoría de los sitios web, la ley federal no exigirá un banner de cookies. ¿Pero leyes estatales? Esa es una historia diferente.

Leyes estatales: una lista creciente

Varios estados de EE. UU. han promulgado leyes de privacidad, cada uno con requisitos ligeramente diferentes:

California - CCPA/CPRA (2020/2023):La Ley de Privacidad del Consumidor de California, mejorada por la Ley de Derechos de Privacidad de California, es la ley de privacidad más completa de EE. UU. Exige:

• Avisos de privacidad claros que explican qué datos recopilas y por qué
• Un enlace «No vender ni compartir mi información personal»
• La posibilidad de que los usuarios excluyan la venta o el intercambio de datos
• La posibilidad de que los usuarios soliciten el acceso, la eliminación y la corrección de sus datos

Es importante destacar que La CCPA NO exige el consentimiento de suscripción para las cookies—es un modelo de exclusión voluntaria. Puedes realizar un seguimiento de forma predeterminada, pero debes proporcionar un mecanismo de exclusión sencillo.

Otros estados con leyes de privacidad:

• ‍Virginia (VCDPA) - En vigor desde marzo de 2023‍
• Colorado (CPA) - En vigor desde julio de 2023‍
• Connecticut (CTDPA) - En vigor desde julio de 2023‍
• Utah (UCPA) - En vigor en diciembre de 2023‍
• Montana, Oregón, Texas, Delaware - Próximamente

La mayoría de ellas siguen un modelo de exclusión voluntaria similar al de la CCPA, en lugar del enfoque de suscripción voluntaria del RGPD.

Desarrollo reciente: Los estados examinan cada vez más el diseño de la interfaz de usuario de los banners de cookies. El nuevo Consorcio de Reguladores de la Privacidad está coordinando la aplicación de la implementación de los banners de cookies en varios estados, centrándose en los «patrones oscuros» (incitar a los usuarios a aceptarlos). Ejemplo: la CPPA de California criticó los banners que permitían a los usuarios aceptar con un solo clic, pero obligaban a rechazar varios clics (opción asimétrica).

Aplicación en el mundo real

Sephora (CCPA, 2022): Multado 1,2 millones de dólares por no revelar que estaba vendiendo información personal y por no procesar las solicitudes de exclusión voluntaria. Esta fue la primera acción de cumplimiento de la CCPA.

Google y YouTube (FTC, 2019): Pagado 170 millones de dólares por infracciones de la COPPA relacionadas con la recopilación de datos sobre niños sin el consentimiento de los padres.

Meta/Facebook (múltiple, continuo): Se ha enfrentado a miles de millones en multas por diversas acciones en los Estados Unidos, en su mayoría relacionadas con decretos de consentimiento de la FTC y prácticas engañosas.

Acciones del Fiscal General: Varios fiscales generales estatales han presentado demandas contra empresas por violaciones de la privacidad, incluso antes de que sus leyes estatales de privacidad entraran en vigor, utilizando las leyes de protección al consumidor.

Lo que está en juego

Las sanciones de EE. UU. varían según el estado:

• ‍CCPA: Hasta 7.500 USD por infracción intencional (y 2500 USD por infracción no intencional)‍
• Derecho de acción privado: Según la CCPA, los consumidores pueden demandar por violaciones de datos (no solo por violaciones de consentimiento) por entre 100 y 750 dólares por incidente
• ‍Otras leyes estatales: Estructuras de penalización similares, normalmente de 5000 a 7 500 dólares por infracción‍
• Acciones de la FTC: Puede resultar en acuerdos multimillonarios‍
• Demandas del Fiscal General: Puede resultar caro defenderlo incluso si ganas‍
• Demandas de consumidores: Las demandas colectivas de privacidad están aumentando y se centran en las prácticas de seguimiento y datos

Qué requiere Google

Aquí es donde se pone interesante: Google NO requiere el modo de consentimiento ni las señales de consentimiento para el tráfico de EE. UU. de la misma manera que lo hace para el tráfico del EEE/Reino Unido.

Sin embargo:

• Aún debe cumplir con las leyes de privacidad estatales aplicables (que pueden requerir mecanismos de exclusión voluntaria)
• De todos modos, muchos CMP, incluida Enzuzo, muestran pancartas a los usuarios estadounidenses para demostrar transparencia y recopilar las preferencias de consentimiento
• No tener un mecanismo de consentimiento dificulta el cumplimiento de las solicitudes de exclusión en virtud de la CCPA y otras leyes estatales.
• Las plataformas publicitarias esperan cada vez más señales de consentimiento o el cumplimiento de las leyes regionales.

Nivel de riesgo de incumplimiento: BAJO A MEDIO

Es poco probable que te enfrentes a la aplicación inmediata de la ley por problemas relacionados con las cookies, a menos que seas una gran empresa o estés haciendo algo particularmente atroz. Sin embargo, el panorama está cambiando y cada vez más estados se están incorporando a Internet con sus propias leyes. Las tendencias apuntan a un aumento de los requisitos de suscripción voluntaria incluso en EE. UU.

El resultado práctico: a menos que tu audiencia sea totalmente Con sede en EE. UU. y estás dispuesto a apostar a que nadie lo visite nunca desde Europa o Sudáfrica, no puedes saltarte los banners de consentimiento. Y si utilizas Google Analytics o Ads, ni siquiera puedes hacer trampa: son las propias plataformas las que exigen las señales.

La ilusión de los datos: lo que esto significa realmente para la analítica

Es tentador pensar: «Está bien, olvídate del cumplimiento, yo simplemente rastrearé a todos». Pero eso crea un problema diferente: datos basura.

Si estás rastreando a los usuarios que no han dado su consentimiento, tus métricas son técnicamente ilegales y cuestionables desde el punto de vista ético. Tampoco son fiables, ya que muchos usuarios expertos en privacidad bloquean los scripts de todos modos. Es posible que obtengas más números, pero no serán más precisos.

Esa es la paradoja: el cumplimiento mata los datos, pero el incumplimiento tampoco los salva.

La analítica solía ser el motor de la toma de decisiones digitales. Ahora es un pulso débil e irregular que apenas nos indica si el paciente está vivo. Cada panel de análisis moderno es, en efecto, una muestra del 3% que pretende representar a toda la población. ¿El resto? Modelado, estimado o simplemente desaparecido.

Volvamos a nuestros números y analicemos realmente lo que está sucediendo:

El desglose

• ‍2.75% Consentimiento aceptado - Tenemos un permiso total, legal e inequívoco para rastrear a estos usuarios con Google Analytics, establecer cookies publicitarias, realizar remarketing, etc. Este es el estándar de referencia.‍
• 0.63% Consentimiento rechazado* - Estos usuarios dijeron explícitamente «no». No podemos rastrearlos con cookies no esenciales. Respetamos eso.‍
• 51.33% Banner ignorado - Estos usuarios vieron el banner pero no interactuaron con él. Legalmente, en las jurisdicciones de GDPR/POPIA, esto significa no se dio ningún consentimiento. NO deberíamos rastrearlos con cookies no esenciales. ¿Pero lo estamos? Eso depende de cómo esté configurado nuestro CMP.‍
• 45.29% No se muestra el banner - Es probable que se trate de visitantes recurrentes que hicieron una elección anteriormente, de usuarios con determinadas configuraciones de navegador o de bots. Debe respetarse su elección anterior (si la hubiera).

La pesadilla de la analítica

Con solo el 2,75% de consentimiento, nuestros datos de análisis son:

• ‍Masivamente incompleto: Faltan datos sobre más del 97% de los visitantes‍
• Muy inexacto: Tasas de conversión, tasas de rebote, tiempo en el sitio, fuentes de tráfico: todo está sesgado‍
• Sesgo estadístico:El 2,75% que lo acepta no es una muestra aleatoria: pueden ser más respetuosos con la privacidad, más comprometidos o de ciertas zonas geográficas‍
• Inútil para la toma de decisiones: No puedes tomar decisiones empresariales confiables basadas en datos del 3% de tu audiencia‍
• El modelaje no ayuda lo suficiente: El modelo de comportamiento del modo de consentimiento v2 de Google intenta llenar los vacíos, pero sigue siendo esencialmente una suposición

Comparación con los puntos de referencia mundiales

Según la investigación, así es como se comparan nuestros números:

Tasa de aceptación

• ‍Estudio Milk Moon: 2,75%
• Promedio de la industria: 3-7% (UE), 10-20% (EE. UU.), 5-10% (global)
• Qué significa esto: Ligeramente bajo, pero no inusual para la suscripción estricta

Tasa de rechazo

• ‍Estudio Milk Moon: 0,63% ‍
• Promedio de la industria: Menos del 1% (muchos usuarios no lo rechazan activamente) ‍
• Qué significa esto: Normal: la mayoría de los usuarios ignoran en lugar de rechazar

Ignorar tasa

• ‍Estudio Milk Moon: 51,33% ‍
• Promedio de la industria: 40-60% en toda la industria ‍
• Qué significa esto: Justo en el medio: la fatiga de los estandartes es real

No se muestra el banner

• ‍Estudio Milk Moon: 45,29% ‍
• Promedio de la industria: Varía según la implementación ‍
• Qué significa esto: Alto: necesidad de investigar por qué

Información clave: Nuestra aceptación del 2,75% no es un fracaso. Es la nueva realidad del análisis web que prioriza la privacidad. Los sitios con banners muy bien diseñados y confiables pueden alcanzar entre un 10 y un 15% de aceptación, pero ese es el límite. Ya nadie obtiene una tasa de consentimiento del 50 o el 80% (y si lo obtienen, es probable que su banner no cumpla con los requisitos).

‍Qué significa esto para diferentes escenarios

Si utilizas Google Ads:

• Las listas de remarketing se reducen a aproximadamente el 3% de los visitantes
• El seguimiento de conversiones deja de ser fiable
• La optimización de campañas se ve afectada
• La eficiencia de la inversión publicitaria cae

Si solo utilizas Google Analytics (como nosotros):

• No puedo entender qué contenido genera consultas
• No puedo ver qué fuentes de tráfico se convierten
• No se puede optimizar la estrategia de contenido en función del comportamiento real
• El tamaño de la muestra es demasiado pequeño para tener significación estadística

El problema del sesgo: Los usuarios que aceptan las cookies pueden ser:

• Más confianza en tu marca
• Más compromiso con tu contenido
• De grupos demográficos o regiones específicos
• Menos preocupado por la privacidad que el promedio

Esto significa que sus análisis no solo están incompletos, sino que también **sesgado sistemáticamente hacia un subconjunto específico de tu audiencia**.

La matemática del riesgo: ¿perder sus datos o perder el expediente de su caso?

Así que esta es la pregunta del millón de dólares: ¿Qué es peor, perder sus datos o perder el expediente de su caso?

¿La pérdida de datos es peor que el riesgo legal? Analicemos los escenarios:

Escenario A: Eliminar el banner y rastrear a todos

Ventajas:

• Datos completos sobre el 100% de los visitantes (menos los bloqueadores de anuncios)
• Análisis precisos
• Publicidad y remarketing eficaces
• Mejores decisiones empresariales basadas en datos completos
• No más fatiga con los banners para los usuarios
• Podría pasar del ~ 3% de visibilidad al ~ 80% de visibilidad (teniendo en cuenta los bloqueadores de anuncios)

Contras:

• ‍ilegal según el GDPR (para visitantes de la UE): arriesga hasta 20 millones de euros o un 4% de ingresos‍
• Ilegal según POPIA (para visitantes sudafricanos): riesgo de encarcelamiento de más de 10 millones de ZAR‍
• Posiblemente ilegal según las leyes estatales de EE. UU. (según la implementación)‍
• Google no cooperará (requieren el modo de consentimiento para el EEE/Reino Unido)‍
• Riesgo de multas que van desde miles hasta millones‍
• Riesgo de que se le ordene detener el seguimiento por completo**
• Daño reputacional si lo atrapan‍
• Perder la confianza de los clientes (especialmente para agencias)‍
• Los datos se vuelven legalmente tóxicos - no puedo usarlo, tengo que eliminarlo si se solicita‍
• Cualquier visitante de la UE o Sudáfrica puede presentar una queja y desencadenar una investigación

Escenario B: Mantenga el banner y acepte la pérdida de datos

Ventajas:

• ‍Cumplimiento legal con GDPR, POPIA y leyes estatales de EE. UU.‍
• Sin riesgo de multas por violaciones del consentimiento‍
• Una posición ética elevada(respetamos la privacidad del usuario)‍
• Confianza del cliente (practicamos lo que predicamos)‍
• Cooperación con Google (El modo de consentimiento funciona correctamente)‍
• Los datos que recopilamos son legalmente válidos
• Preparado para el futuro (las regulaciones se vuelven más estrictas, no más flexibles)

Contras:

• ‍Más del 97% de pérdida de datos** sobre usuarios que no dan su consentimiento‍
• Análisis inexactos** que pueden inducir a error a la hora de tomar decisiones empresariales‍
• Publicidad débil** actuación debido a un público limitado‍
• Desventaja competitiva** si los competidores rastrean sin su consentimiento (aunque están asumiendo riesgos legales)‍
• No puedo tomar decisiones confiables basadas en datos**
• El ROI de marketing no está claro**

Escenario C: Enfoque geolocalizado

Ventajas:

• ‍Cumplimiento legal en jurisdicciones que lo requieran‍
• Mejores datos de jurisdicciones que no requieren el consentimiento de suscripción‍
• Equilibra el riesgo y la recompensa‍
• Podría rastrear el 100% de los visitantes de EE. UU., aproximadamente el 3% de los visitantes de la UE/SA

Contras:

• ‍Configuración más compleja (necesita una geolocalización precisa)‍
• Experiencia de usuario incoherente en todas las regiones‍
• Sigo perdiendo datos de visitantes de la UE y Sudáfrica‍
• Necesito entender realmente de dónde vienen tus visitantes‍
• Un visitante de la UE clasificado erróneamente aún podría desencadenar una investigación sobre el GDPR

Escenario D: Optimice el banner para aumentar las tasas de consentimiento

Ventajas:

• ‍Manténgase en conformidad mientras se obtienen más consentimientos‍
• Mejore la calidad de los datos sin riesgo legal‍
• Mejor experiencia de usuario (los banners más claros y menos molestos obtienen una mayor aceptación)
• Podría mejorar de un 3% a un 10-15% de aceptación

Contras:

• ‍Nunca llegará al 100% consentimiento (o incluso cercano)‍
• Lleva tiempo y pruebas para optimizar‍
• Rendimientos decrecientes (incluso los mejores banners solo alcanzan entre el 15 y el 20% de aceptación en el modo de suscripción estricta)‍
• Riesgo de patrones oscuros si presionas demasiado para obtener el consentimiento

El veredicto

En un mundo perfecto, tendríamos datos completos. Pero ya no vivimos en ese mundo.

Evita el banner y haz un seguimiento de todos: 

Si obtiene datos limpios, infringe el RGPD y la POPIA y se arriesga a recibir multas multimillonarias en rands o euros, y descubrirá que el ecosistema de Google lo interrumpe silenciosamente.

Guarde la pancarta y siga la ley:

Pierdes más del 90% del comportamiento medible, pero duermes mejor por la noche sabiendo que no vas a protagonizar un comunicado de prensa de un regulador.

Es un escenario en el que todos pierden, solo que con diferentes sabores de dolor.

Pero esta es la cuestión: **el costo del incumplimiento (legal, multas, restricciones de plataforma, daño a la reputación) supera el «beneficio» de disponer de datos completos que son legalmente tóxicos. **

Los datos que recopila mediante el consentimiento son legalmente sólidos y defendibles. Los datos ilegales son datos inútiles: no puedes usarlos y, de todos modos, es posible que te obliguen a eliminarlos.

Sin embargo, hay un punto medio.

El centro pragmático: geolocalizado y optimizado

La única estrategia racional ahora mismo es el equilibrio.

Muestre carteles estrictos de suscripción voluntaria en las regiones que lo exigen (la UE, el Reino Unido y Sudáfrica) y relájese con un modelo de exclusión voluntaria en otros lugares. Esto permite recuperar algunos datos sin provocar un desastre.

Luego, optimice el propio banner:

• Lenguaje claro, no jerga legal
• Botones simétricos (aceptar y rechazar son igualmente visibles)
• Una breve explicación de por qué ayuda el consentimiento (la confianza sigue aumentando la aceptación)
• Retraso mínimo antes de mostrarse, pero no instantáneamente al cargar la página
• No molestes a los usuarios que ya han tomado una decisión

Los pequeños ajustes pueden aumentar las tasas de consentimiento del 3% al 10%. Sigue siendo terrible, pero tres veces menos terrible.

Y si puedes, invierte en análisis del lado del servidor o herramientas respetuosas con la privacidad como Plausible o Fathom para tendencias amplias y anónimas. No reemplazarán por completo a GA4, pero completarán parte del panorama que falta sin activar las leyes de consentimiento.

Qué significa para nosotros (y para todos como nosotros)

Seamos específicos sobre nuestra situación. Somos un pequeño estudio de diseño y desarrollo web con sede en Sudáfrica. No publicamos anuncios. No necesitamos listas de remarketing. Solo queremos saber si alguien lee realmente nuestras publicaciones y, quizás, saber qué publicaciones del blog generan realmente consultas.

¿Quitar el banner solucionaría eso? Técnicamente sí: pasaríamos del 3% de visibilidad a quizás el 80% (teniendo en cuenta los bloqueadores).

Pero legalmente? Es una historia completamente diferente.

Nuestra situación específica

Ubicación: Sudáfrica (POPIA se aplica directamente a nosotros como responsable del tratamiento de datos)

Audiencia: Mezcla de visitantes de EE. UU. (mayoría), Sudáfrica y la UE

Herramientas: Google Analytics 4 (GA4) para el análisis de sitios web

Publicidad: Ninguno, ahora mismo. No publicamos anuncios de Google Ads, Facebook ni ningún otro tipo de publicidad de pago con seguimiento de píxeles, pero lo activamos y desactivamos y experimentamos.

Modelo de negocio: Basado en servicios (agencia de diseño/desarrollo web)

Implicaciones legales de la eliminación del banner

Riesgo de POPIA (alto: estamos en Sudáfrica)

Este es el más grande. Somos una empresa sudafricana, registrada en Sudáfrica, que procesa información personal de los interesados. POPIA se aplica a nosotros de forma directa e inequívoca.

Si eliminamos el banner de consentimiento y rastreamos a los visitantes de Sudáfrica sin su consentimiento:

- Estamos violando directamente los requisitos de consentimiento de POPIA

- Procesamos información personal (direcciones IP, ID de dispositivos, comportamiento de navegación) sin justificación legal

- Estamos expuestos a multas de hasta ZAR 10 millones

- Estamos expuestos a posibles responsabilidades penales (sí, a penas de cárcel por infracciones intencionales)

Probabilidad realista de ejecución:

El regulador de la información sigue reforzando la aplicación de la ley y está dando prioridad a los casos atroces (violaciones de big data, actores malintencionados, quejas sobre spam de marketing). ¿Perseguirían a una pequeña agencia web por gestionar la analítica sin su consentimiento?

Probablemente no de inmediato. Pero:

1. ‍Cualquier visitante de SA puede presentar una queja contra nosotros‍
2. No podemos escondernos—somos una empresa registrada con un sitio web público‍
3. El riesgo se agrava con el tiempo—cuanto más tiempo operemos sin cumplir con las normas, mayor será la exposición que tendremos‍
4. Las sanciones son severas—incluso 1 millón de ZAR sería devastador; 10 millones de ZAR pondría fin a la empresa‍
5. Enjuiciamiento penal significa responsabilidad personal para los directores

Podríamos argumentar que la aplicación es lenta, que los reguladores persiguen a los peces gordos, que a nadie le importa una pequeña agencia de Webflow en Overberg, pero ese no es el punto. El punto es: **la ley existe, e ignorarla mientras se asesora a los clientes sobre el cumplimiento sería un espectacular gol en propia meta. **

Nuestra valoración:No es un riesgo que podamos justificar. Incluso si la probabilidad es baja, la gravedad es catastrófica. En términos de gestión de riesgos: baja probabilidad × impacto catastrófico = No lo haga.

Riesgo del RGPD (medio: tenemos visitantes de la UE)

No estamos ubicados en la UE, pero tenemos visitantes de la UE. Si ofrecemos servicios a sujetos de datos de la UE (y lo estamos haciendo, nuestro sitio web es de acceso público y aceptamos clientes de la UE), el RGPD se nos aplica en virtud de sus disposiciones de ámbito territorial.

Si eliminamos el banner de consentimiento y rastreamos a los visitantes de la UE sin su consentimiento:

• Violamos el GDPR para cualquier visitante de la UE a nuestro sitio
• Estamos expuestos a multas de hasta 20 millones de euros o el 4% de los ingresos globales
• Cualquier visitante de la UE puede presentar una queja ante su DPA nacional
• Las DPA de la UE pueden perseguir (y lo hacen) a empresas no pertenecientes a la UE dentro del ámbito territorial del GDPR

Nuestra valoración: ** Un riesgo significativo, especialmente si crecemos o si un solo visitante de la UE decide presentar una queja.

Riesgo en EE. UU. (bajo, pero no nulo)

Para nuestros visitantes estadounidenses, el riesgo es mucho menor. No existe una ley federal de consentimiento de cookies, y las leyes estatales utilizan modelos de exclusión voluntaria, no de aceptación voluntaria. Podríamos rastrear a los visitantes estadounidenses sin un banner y simplemente proporcionarles un mecanismo de exclusión voluntaria.

Nuestra valoración: La parte estadounidense de nuestro tráfico podría rastrearse legalmente sin consentimiento previo, siempre y cuando proporcionemos mecanismos de exclusión voluntaria.

Implicaciones en la calidad de

Estado actual (con banner de consentimiento):

• Tasa de aceptación del consentimiento del 2,75%
• Seguimiento del 2,75% de los visitantes con funcionalidad completa
• Más del 97% de pérdida de datos
• Datos de análisis muy incompletos
• No puede tomar decisiones confiables basadas en datos

Si quitamos el banner:

• Seguimiento del 100% (para visitantes sin bloqueadores de anuncios, ~ 75-85% de los usuarios)
• Vista completa del comportamiento de los usuarios
• Métricas precisas sobre las fuentes de tráfico, los recorridos de los usuarios, las rutas de conversión y el rendimiento del contenido‍
• La mejora de los datos sería enorme—desde ~ 3% de visibilidad hasta ~ 80% de visibilidad

Con datos completos, podríamos:

1. Comprenda qué publicaciones de blog realmente generan consultas (actualmente estamos adivinando)
2. Vea qué fuentes de tráfico generan mejores conversiones (el tamaño de la muestra es demasiado pequeño ahora)
3. Optimizar nuestra estrategia de contenido en función de un comportamiento real
4. Tome mejores decisiones sobre dónde invertir tiempo
5. Realice un seguimiento del ROI real de las iniciativas de marketing de contenidos

Esto no es trivial. Para una pequeña empresa, tener datos precisos frente a una pérdida de datos del 97% es la diferencia entre volar a ciegas y tomar decisiones informadas.

El factor Google Analytics (sin publicidad)

Aquí es donde nuestra situación difiere: No publicamos Google Ads. (A veces lo estamos)

Esto cambia la ecuación porque:

1. ‍El requisito del modo de consentimiento de Google es menos importante para nosotros. La principal presión de Google gira en torno a los productos publicitarios. GA4 seguirá recopilando datos sin el modo de consentimiento; solo lo haremos sin cumplir con las normas del GDPR/POPIA.‍
2. No perdemos la funcionalidad publicitaria. Muchas empresas no pueden eliminar el banner porque Google Ads no funciona correctamente. No tenemos esa restricción.‍
3. GA4 funcionará. Google Analytics 4 no deja de funcionar si no tienes un banner de consentimiento. Solo recopila datos que pueden ser problemáticos desde el punto de vista legal.

Entonces, de un puro «¿funcionarán las herramientas?» Desde una perspectiva, sí, GA4 funcionaría bien sin el banner.

Pero eso no lo hace legal.

La dimensión ética y reputacional

Hay otro factor: Somos una agencia web.

Si eliminamos nuestro banner de consentimiento:

1. ‍¿Qué les decimos a los clientes? ¿Les aconsejas que usen pancartas mientras nosotros no lo hacemos? Eso es hipócrita.‍
2. ¿Qué pasa si los clientes descubren que no cumplimos con las normas? ¿Por qué confiarían en nosotros para crear sitios que cumplan con las normas?‍
3. ¿Qué mensaje envía? «Conocemos la ley pero decidimos ignorarla» no es bueno para una empresa de servicios profesionales.‍
4. Riesgo reputacional: Si nos atrapan o nos multan, es público. En la pequeña comunidad de desarrolladores web de Sudáfrica, esa noticia se difunde.

No se trata solo de datos legales o legales, sino de credibilidad empresarial.

El veredicto final: ¿Qué debe hacer Milk Moon Studio?

Tras analizarlo todo, esta es nuestra conclusión:

No podemos justificar la eliminación de la pancarta de consentimiento, a pesar de la pérdida masiva de datos.

He aquí por qué:

1. El riesgo de POPIA es demasiado alto

Somos una empresa sudafricana. POPIA se aplica directamente. Las sanciones (multa de 10 millones de ZAR, posible encarcelamiento) son severas. La aplicación de la ley va en aumento. Esto por sí solo hace que retirar la pancarta sea injustificable.

Incluso si la probabilidad de ejecución es relativamente baja en este momento, la gravedad del resultado es poner fin a la empresa. Probabilidad baja × Impacto catastrófico = No lo haga.

2. El riesgo del GDPR agrava el problema

Añadir visitantes de la UE a la mezcla empeora aún más el riesgo legal. No cumpliríamos con las normas en dos jurisdicciones principales, y en ambas se impondrían sanciones severas.

3. La ganancia de datos no supera el riesgo legal

Sí, obtendríamos datos mucho mejores. Pero:

• No podemos tomar decisiones empresariales si nos enfrentamos a una multa de 10 millones de ZAR
• No podemos optimizar el contenido mientras nos defendemos de una investigación del regulador de la información
• Los datos de Better Analytics no valen nada si nos cuestan nuestro negocio

4. Somos una firma de servicios profesionales

Asesoramos a los clientes sobre las mejores prácticas web. Nosotros mismos no podemos incumplir las normas. El riesgo reputacional es demasiado alto.

5. La industria avanza hacia la privacidad, no se aleja de ella

La aplicación de la POPIA será más estricta, no más flexible. Más países están implementando leyes de privacidad. La tendencia apunta a una mayor regulación, no a una menor. No cumplir con las normas ahora significa que estamos en el lado equivocado del rumbo que están tomando las cosas.

Lo que realmente vamos a hacer

Teniendo en cuenta todo esto, este es nuestro plan:

1. Conserva el banner de consentimiento (no negociable para el cumplimiento de POPIA y GDPR)

2. Implemente la segmentación geográfica:

• Suscripción estricta para los visitantes de Sudáfrica y la UE (exigido por la ley)
• Modelo de exclusión voluntaria para visitantes estadounidenses (permitido por la ley estadounidense, mejora la recopilación de datos)

3. Optimiza el banner para mejorar las tasas de aceptación:

• Probar diferentes mensajes
• Haga que la propuesta de valor sea más clara
• Simplifique la interfaz de usuario
• Haga que el rechazo sea tan fácil como la aceptación (contrariamente a la intuición, esto puede aumentar la aceptación al generar confianza)
• Prueba diferentes diseños y ubicaciones de banners

4. Aceptar la pérdida de datos de usuarios que no dan su consentimiento como costo de operación legal

5. Usa los datos que tenemos de forma más inteligente:

• Céntrese en las tendencias en lugar de en los números absolutos
• Utilice la retroalimentación cualitativa para complementar los datos cuantitativos
• Acepte que un 3% de datos precisos es mejor que un 100% de datos ilegales
• Segmente los términos «consentido» frente a «no consentido (modelado)» en los informes

6. Explore alternativas respetuosas con la privacidad:

• Considere los análisis del lado del servidor que no requieren el consentimiento de las cookies
• Investigue los métodos de recopilación de datos de primera mano
• Investigue las herramientas de análisis que no procesan datos personales (como Plausible, Fathom)

El resultado final de Milk Moon Studio

La pérdida de datos del 97% duele. Hace que nuestros análisis sean casi inútiles. Es frustrante.

Sin embargo, el riesgo legal de operar sin consentimiento en Sudáfrica no es aceptable. Procesaríamos datos personales sin consentimiento en virtud de la POPIA, que conlleva multas de hasta 10 millones de ZAR y posibles penas de cárcel por infracciones intencionales. No es un riesgo que podamos justificar ante nosotros mismos, nuestros clientes o nuestros contadores.

Agregue el riesgo del GDPR para los visitantes de la UE, el riesgo para la reputación como agencia web y la dimensión ética de practicar lo que predicamos, y la respuesta es clara.

Mantenemos la bandera de consentimiento, la optimizamos siempre que podemos y aceptamos la pérdida de datos como un costo de las operaciones comerciales legales y éticas.

Así que nos quedamos con la pancarta. Lo segmentaremos geográficamente, lo refinaremos y aceptaremos que nuestros análisis son una ficción educada.

No es la respuesta que queríamos. Pero es la respuesta correcta.

La nueva normalidad: lo que esto significa para la web

Alejemos la imagen por un momento. Lo que estamos experimentando no es exclusivo de Milk Moon Studio. Está sucediendo en toda la web.

La incómoda verdad es que la era de la analítica perfecta ha terminado.

Los banners de consentimiento no solo limitaron el seguimiento, sino que cambiaron el significado de «basado en datos». Durante años, hemos estado partiendo del supuesto de que podías rastrear a todas las personas que visitaban tu sitio web. Esa era ha terminado. La nueva realidad es:

• ‍La mayoría de los usuarios no dan su consentimiento para el seguimiento (tasas de aceptación del 3 al 10% en todo el mundo)‍
• La mayoría de los usuarios ignoran los banners de cookies (entre el 40 y el 60% nunca interactúan)‍
• Los datos que recopilamos están sesgados sistemáticamente (los usuarios que dan su consentimiento no son una muestra aleatoria)‍
• El modelaje de Google intenta compensar (pero se trata de adivinar, no de medir)‍
• La aplicación de la ley está aumentando (miles de millones en multas, investigaciones activas)‍
• Los requisitos de la plataforma son cada vez más estrictos (Google exige el modo de consentimiento v2)

Esta es la nueva normalidad.

Los profesionales de la web deben ajustar las expectativas:

• Los análisis siempre estarán incompletos
• El seguimiento de conversiones siempre será confuso
• El remarketing de anuncios siempre será limitado
• Las decisiones empresariales requerirán un aporte más cualitativo
• Los tamaños de muestra siempre serán más pequeños de lo que nos gustaría

La pregunta no es «¿Cómo podemos volver al seguimiento al 100%?» (Respuesta: no lo haces, legalmente).

La pregunta es: «¿Cómo podemos tomar buenas decisiones empresariales con datos de seguimiento del 3 al 10% complementados con modelos e información cualitativa?»

Las decisiones ahora tienen que basarse en conjuntos de datos más pequeños y limpios, en investigaciones cualitativas y, sorprendentemente, juicio humano real.

Eso no es malo. Simplemente es diferente.

Para las agencias y los especialistas en marketing, este cambio obliga a volver a lo fundamental: contenido atractivo, compromiso real y confianza. Porque en un mundo en el que solo el 3% de los usuarios dicen «sí» los que lo hacen son los que realmente se preocupan.

Recomendaciones para diferentes escenarios

Si tiene ALGÚN visitante de la UE o Sudáfrica:

Necesitas un banner de consentimiento. Punto final. El riesgo legal es demasiado alto y Google no funcionará correctamente sin él.

Herramientas recomendadas para Webflow:

• Enzuzo (lo que usamos: se integra bien con Webflow)
• Cookie Sí
• Cookie bot
• Osano
• Trimestral

Todos ellos se integran con Webflow y son compatibles con Google Consent Mode v2.

Si solo vives en EE. UU.:

Tienes más flexibilidad:

1. ‍Opción A: Implemente una pancarta de consentimiento de todos modos (mejores prácticas, genera confianza, protege el futuro contra las nuevas leyes estatales)‍
2. Opción B: Utilice un aviso mínimo con un enlace de exclusión voluntaria (cumplimiento de la CCPA)‍
3. Opción C: Sin banner, pero ten una política de privacidad clara y un mecanismo de exclusión en algún lugar de tu sitio

Sé honesto contigo mismo sobre si realmente estás solo en EE. UU. Comprueba tus análisis. Si ves tráfico en la UE o Sudáfrica, necesitas el banner.

Para diseñadores/agencias de flujo web:

Esta es una oportunidad de educación para el cliente. Malgún cliente no entiende:

• Qué es el consentimiento de cookies o por qué es importante
• Que la ley se aplica a ellos
• Que Google lo requiere para funcionar correctamente
• Que todos están lidiando con la pérdida de datos, no solo ellos

Establezca expectativas adecuadas:

• «Sus datos de Analytics estarán incompletos, eso es normal y legal».
• «Estamos rastreando a los usuarios que más importan: los que confían en ti lo suficiente como para dar tu consentimiento».
• «No tener una pancarta de consentimiento lo expone a multas que podrían acabar con su negocio».

Mejores prácticas para optimizar tu banner

Ya que te quedas con el banner, haz que funcione mejor:

1. Mantenlo simple: No abrume a los usuarios con opciones‍
2. Sé transparente:Explica lo que estás recopilando y por qué‍
3. Facilite el rechazo: Genera confianza y, paradójicamente, puede aumentar la aceptación‍
4. Pruebe diferentes diseños: Estilos de banner de prueba A/B, copia, ubicación, temporización‍
5. Usa la segmentación geográfica: Mostrar diferentes banners en diferentes regiones según los requisitos legales‍
6. Modo de consentimiento de soporte v2: Permita que Google modele los datos para los que no dan su consentimiento‍
7. Documente todo: Mantenga registros del consentimiento para las auditorías de cumplimiento‍
8. Evita los patrones oscuros: No haga que «Aceptar» sea fácil y que «Rechazar» quede enterrado (los reguladores están atentos)‍
9. Supervise e itere: Realice un seguimiento de sus tasas de consentimiento y mejore continuamente

Reducir el mensaje «No se muestra el banner»

Si el 45% de tus usuarios nunca ven el banner (como el nuestro), investiga:

• Lógica de geolocalización (¿estás excluyendo demasiadas regiones?)
• Lógica de devolución de visitantes (¿las cookies persisten correctamente?)
• Errores de script (¿no se carga el banner?)
• Tráfico de bots (¿se cuentan los bots?)
• Compatibilidad con los navegadores (¿funciona en todos los navegadores?)

Pensamiento final: El pitido del cinturón de seguridad que no puedes ignorar

Los banners de consentimiento de cookies son el equivalente digital del pitido del cinturón de seguridad de tu coche: molesto, implacable e imposible de ignorar, pero aun así te pones el cinturón porque la alternativa es peor.

Nuestra tasa de consentimiento del 2,75% es dolorosa y está en línea con las tendencias mundiales. Los banners de consentimiento de cookies son molestos. Matan la recopilación de datos. Hacen que la publicidad sea más difícil.

Pero esta es la realidad:

El riesgo legal de operar sin el debido consentimiento en las jurisdicciones de GDPR y POPIA pone fin a la empresa. Una sola multa del RGPD podría cerrar una pequeña agencia o empresa. El regulador de la información de Sudáfrica puede encarcelar a personas por infracciones graves.

Google no cooperará sin señales de consentimiento. Incluso si estás dispuesto a apostar por la aplicación de la ley, tus herramientas no funcionarán correctamente. Básicamente, Google se ha convertido en el brazo de aplicación del GDPR.

Todos los demás se enfrentan a la misma pérdida de datos. Sus competidores que tienen banners de consentimiento también tienen tasas de aceptación del 3 al 10%. Los que no tienen pancartas son exclusivos de EE. UU., están desinformados o corren enormes riesgos legales.

Los usuarios realmente aprecian la transparencia. Sí, las tasas de consentimiento son bajas. Sin embargo, los usuarios que dan su consentimiento eligen confiar en ti. Eso vale algo.

El panorama de la analítica web ha cambiado permanentemente. El seguimiento al 100% ya no es posible (legalmente). Todos estamos aprendiendo a tomar decisiones empresariales con datos incompletos, complementados con modelos e información cualitativa.

En el caso de Milk Moon Studio, conservamos nuestro banner de consentimiento. Vamos a optimizarlo para mejorar nuestra tasa de aceptación. Vamos a segmentarlo geográficamente para que los visitantes de EE. UU. tengan una experiencia menos restrictiva. Y vamos a aceptar la pérdida de datos como el coste de hacer negocios de forma legal y ética en 2025.

Para cualquiera que cree sitios web en 2025: Si atiende a visitantes de la UE o Sudáfrica, necesita una solución de consentimiento de cookies. El riesgo legal no vale la pena por la ganancia de datos. Y aunque lo fuera, Google no te permitirá recopilar esos datos de forma eficaz sin señales de consentimiento.

Es posible que nuestros datos sean más pequeños, que nuestros paneles estén vacíos y que nuestros informes estén llenos de advertencias, pero al menos cumplimos con las normas, somos coherentes y creíbles.

Así que sí, mantendremos nuestra bandera. Lo optimizaremos, lo modificaremos e incluso haremos una prueba A/B de la redacción, pero no lo reduciremos.

Porque si bien la pérdida de datos del 97% duele, perder el derecho a operar duele mucho más.

---

Descargo de responsabilidad: Esta publicación no es un consejo legal. Somos un estudio de diseño y desarrollo web, no abogados. Para obtener orientación legal específica sobre su situación, consulte con un abogado calificado que se especialice en leyes de privacidad y protección de datos. Las leyes cambian, la aplicación evoluciona y sus circunstancias específicas son importantes. Esta publicación refleja nuestro entendimiento en octubre de 2025 y nuestro proceso de toma de decisiones para nuestra propia empresa.