Algoritmo de Puntuacion
Como Legal Cookies calcula la puntuacion de cumplimiento de 0 a 100 y determina las zonas de veredicto.
El algoritmo de puntuacion V2.1 calcula un score de 0 a 100 que representa el grado de cumplimiento de un sitio web con la normativa de cookies. Este score se traduce en una de tres zonas de veredicto que facilitan la interpretacion.
Principio fundamental
El score parte de 100 puntos (cumplimiento perfecto) y se penaliza por cada elemento detectado que requiere consentimiento y se activa antes de obtenerlo.
Score = 100 - suma(penalizaciones)El score minimo es 0 (no puede ser negativo).
Tabla de penalizaciones
Cada tipo de elemento tiene una penalizacion asociada basada en su impacto potencial en la privacidad:
Cookies
| Categoria | Penalizacion | Razon |
|---|---|---|
| Marketing third-party | -15 pts | Tracking cross-site, perfilado publicitario |
| Analytics third-party | -10 pts | Transferencia de datos a terceros |
| Analytics first-party | -5 pts | Menor riesgo pero requiere consentimiento |
| Functional third-party | -5 pts | Funcionalidad via terceros |
| Unknown (high risk) | -3 pts | Incertidumbre, potencial tracking |
| Strictly necessary | 0 pts | Exentas de consentimiento |
Requests a terceros
| Tipo | Penalizacion | Razon |
|---|---|---|
| Tracker conocido | -8 pts | Scripts de tracking activo |
| Pixel de marketing | -8 pts | Seguimiento de conversiones |
| Analytics script | -5 pts | Carga de SDK de analitica |
| CDN esencial | 0 pts | Recursos tecnicos necesarios |
Storage (localStorage/sessionStorage)
| Tipo | Penalizacion | Razon |
|---|---|---|
| ID persistente sospechoso | -5 pts | Posible fingerprinting |
| Datos de terceros | -3 pts | Almacenamiento para tracking |
| Datos funcionales | 0 pts | Preferencias legitimas |
Zonas de veredicto
El score se traduce en una de tres zonas:
Zona Verde (71-100): "Podria cumplir"
┌─────────────────────────────────────┐
│ VERDE │ 71-100 puntos │
│─────────│───────────────────────────│
│ Estado │ No se detectaron │
│ │ elementos que requieran │
│ │ consentimiento previo │
└─────────────────────────────────────┘Significado: El analisis no detecto elementos problematicos activos antes del consentimiento. Esto es un buen indicador, pero no garantiza cumplimiento total.
Recomendacion: Verificar manualmente que el CMP funciona correctamente y mantener documentacion actualizada.
Zona Amarilla (31-70): "Requiere revision"
┌─────────────────────────────────────┐
│ AMARILLO │ 31-70 puntos │
│──────────│──────────────────────────│
│ Estado │ Se detectaron algunos │
│ │ elementos que podrian │
│ │ requerir consentimiento │
└─────────────────────────────────────┘Significado: El sitio tiene elementos que probablemente requieren consentimiento pero se activan antes de obtenerlo. Puede ser un problema de configuracion del CMP.
Recomendacion: Revisar la configuracion del CMP para asegurar que bloquea scripts y cookies hasta obtener consentimiento valido.
Zona Roja (0-30): "Podria no cumplir"
┌─────────────────────────────────────┐
│ ROJO │ 0-30 puntos │
│─────────│───────────────────────────│
│ Estado │ Se detectaron multiples │
│ │ elementos de tracking │
│ │ activos sin consentimiento│
└─────────────────────────────────────┘Significado: Alta probabilidad de incumplimiento. Se detectaron multiples cookies de tracking, scripts de analitica o marketing activos antes de cualquier consentimiento.
Recomendacion: Accion urgente requerida. Revisar completamente la implementacion de cookies y el CMP.
Ejemplos de calculo
Ejemplo 1: Sitio bien configurado (Score: 95)
| Elemento | Categoria | Penalizacion |
|---|---|---|
| PHPSESSID | strictly_necessary | 0 |
| __cf_bm | strictly_necessary | 0 |
| language | functional | -5 |
Calculo: 100 - 5 = 95 puntos (Verde)
Ejemplo 2: Sitio con analytics sin bloquear (Score: 55)
| Elemento | Categoria | Penalizacion |
|---|---|---|
| _ga | analytics third-party | -10 |
| _gid | analytics third-party | -10 |
| _hjid | analytics third-party | -10 |
| Request google-analytics.com | tracker | -8 |
| Request hotjar.com | tracker | -5 |
| cookie_consent | functional | -2 |
Calculo: 100 - 10 - 10 - 10 - 8 - 5 - 2 = 55 puntos (Amarillo)
Ejemplo 3: Sitio con tracking activo (Score: 15)
| Elemento | Categoria | Penalizacion |
|---|---|---|
| _ga, _gid | analytics | -20 |
| _fbp | marketing | -15 |
| _gcl_au | marketing | -15 |
| _ttp | marketing | -15 |
| Request facebook.net | tracker | -8 |
| Request doubleclick.net | tracker | -8 |
| Request analytics.tiktok.com | tracker | -8 |
Calculo: 100 - 85 = 15 puntos (Rojo)
Modificadores contextuales
El algoritmo aplica modificadores en situaciones especificas:
Sin CMP detectado
Si no se detecta ninguna plataforma de gestion de consentimiento y hay elementos que requieren consentimiento:
Penalizacion adicional: -10 puntosRazon: Sin CMP no hay mecanismo para obtener consentimiento valido.
Server-side tagging detectado
Si se detectan indicios de server-side tagging (ver seccion dedicada):
No modifica el score directamente, pero se incluye
una advertencia destacada en el informe.Razon: SST no exime del requisito de consentimiento, pero dificulta la deteccion automatizada.
Limitaciones del algoritmo
El score es una metrica orientativa, no una evaluacion legal definitiva.
| Limitacion | Descripcion |
|---|---|
| Falsos positivos | Algunas cookies legitimas pueden penalizar incorrectamente |
| Falsos negativos | Cookies ofuscadas o dinamicas pueden no detectarse |
| Contexto desconocido | No podemos saber si el CMP realmente bloquea scripts |
| Una pagina | El score solo refleja la URL analizada |
Interpretacion correcta
El score NO indica:
- Cumplimiento legal garantizado
- Ausencia de riesgos de sancion
- Validez del consentimiento obtenido
El score SI indica:
- Presencia de elementos que requieren consentimiento
- Nivel de riesgo potencial detectado automaticamente
- Puntos de mejora especificos
Evolucion del algoritmo
El algoritmo V2.1 es la version actual. Cambios principales respecto a versiones anteriores:
| Version | Cambio |
|---|---|
| V2.1 | Deteccion de server-side tagging |
| V2.0 | Deteccion de cookies HttpOnly via CDP |
| V1.5 | Captura de requests post-load (10s) |
| V1.0 | Algoritmo inicial basado en categorias |
Las penalizaciones se ajustan periodicamente basandose en:
- Cambios en la normativa
- Jurisprudencia relevante
- Feedback de auditores profesionales