Guías Guía
Rastreo sin consentimiento: ¿qué riesgo legal corres?
La infracción de protección de datos más frecuente en los sitios web es invisible: rastreadores que se activan antes de que nadie haya dado su consentimiento. Precisamente eso es lo que la AEPD vigila cada vez más.
¿Cuál es el riesgo legal en realidad?
El riesgo es real y va en aumento: los rastreadores que envían datos sin consentimiento infringen el artículo 22.2 de la LSSI y el RGPD. La AEPD ha publicado guías claras sobre cookies y abre procedimientos sancionadores tanto de oficio como por denuncias de afectados.
El artículo 22.2 de la LSSI, que traspone la directiva ePrivacy, exige el consentimiento previo del usuario antes de instalar cualquier dispositivo de almacenamiento o recuperación de datos que no sea estrictamente necesario. La AEPD lo concreta en su Guía sobre el uso de las cookies.
En el punto de mira están especialmente Google Analytics, el píxel de Meta y servicios incrustados como fuentes, mapas o vídeos, que abren conexiones a servidores en terceros países ya al cargar la página, lo que añade el problema de las transferencias internacionales bajo el RGPD.
¿Quién responde, también la agencia?
El responsable del tratamiento es, en primer lugar, el titular del sitio web. Pero las agencias que crean y mantienen sitios web entran cada vez más en la cadena de responsabilidad, a nivel contractual y en caso de reclamación.
Bajo el RGPD, la agencia que gestiona el sitio puede actuar como encargada del tratamiento (artículo 28), lo que exige un contrato de encargo y obligaciones propias. Quien desarrolla webs para clientes no debería despachar la protección de datos como "un asunto del cliente".
Una configuración de rastreo deficiente acaba repercutiendo en la agencia: clientes molestos, correcciones a cargo propio y, en el peor de los casos, acciones de repetición.
Cómo detectar el problema
Si los rastreadores se activan antes del consentimiento no lo verás en el código fuente, solo en una prueba real con navegador que compare el comportamiento antes y después de aceptar.
Eso es justo lo que hace el escaneo gratuito de BlueOcean Privacy AI: un navegador real carga la página y muestra qué rastreadores se activan antes del consentimiento, con una nota de cumplimiento clara según los criterios del RGPD y la LSSI.
La guía de la AEPD recuerda que el consentimiento debe ser previo, libre, específico, informado e inequívoco, y que rechazar debe ser tan fácil como aceptar. Una prueba real revela si tu web cumple ese estándar.
Cómo protegerte a ti y a tus clientes
Apuesta por un banner que bloquee técnicamente los rastreadores antes de cargarlos, en lugar de solo "gestionarlos", y documenta el estado de cada web de cliente.
BlueOcean Privacy AI bloquea antes de la carga, mantiene la política de privacidad actualizada y te da un semáforo por cada web de cliente. El botón "Rechazar todo" tiene el mismo peso que "Aceptar todo", tal y como exige la guía de la AEPD.
¿Quieres asegurar tu cartera de proyectos? Solicita un escaneo gratuito o reserva una cita de asesoramiento y lo revisamos juntos.
Echemos un vistazo a tus sitios
En una llamada de 15 minutos verás cómo están los sitios de tus clientes — y cómo protegerlos sin esfuerzo.
Preguntas frecuentes
¿Me pueden sancionar por rastrear sin consentimiento?
Sí. Los rastreadores que tratan datos personales sin consentimiento infringen el artículo 22.2 de la LSSI y el RGPD. La AEPD puede iniciar procedimientos sancionadores de oficio o a raíz de denuncias de afectados, competidores u organizaciones.
¿Responde la agencia o el cliente?
El responsable del tratamiento es el titular del sitio web. En la práctica, las agencias que lo mantienen entran cada vez más en la responsabilidad, normalmente como encargadas del tratamiento (artículo 28 del RGPD) y por vía contractual. Una implementación correcta protege a ambas partes.
¿Cómo sé si mi web está afectada?
Con un escaneo real en navegador que compruebe qué se activa antes del consentimiento. El análisis gratuito de BlueOcean Privacy AI lo muestra en minutos, con su nota de cumplimiento conforme al RGPD y la LSSI.