Legal Cookies
Transparencia en el analisis

Metodologia de Analisis

Explicamos como funciona nuestro motor de analisis, que tecnologias detectamos, como clasificamos los elementos y como calculamos la puntuacion de cumplimiento.

Que analizamos

Cookies

Detectamos todas las cookies, incluyendo las HttpOnly que no son visibles a JavaScript, usando Chrome DevTools Protocol (CDP) para interceptar cabeceras Set-Cookie.

LocalStorage / SessionStorage

Extraemos todos los elementos almacenados en el navegador via Web Storage API, que tambien pueden contener identificadores de seguimiento.

Requests a terceros

Interceptamos todas las peticiones a dominios externos (scripts, pixeles, iframes) durante la carga inicial y 10 segundos adicionales para capturar scripts diferidos.

Motor de analisis

Navegador Chromium automatizado

Usamos Puppeteer con Chromium headless para simular una visita real. Cada analisis se ejecuta en un contexto incognito aislado que:

  • Evita contaminacion entre analisis (sin cookies previas)
  • Limpia automaticamente temporales al cerrar (cache, storage, profile)
  • Simula un usuario que visita por primera vez sin consentimiento previo

CDP (Chrome DevTools Protocol)

Activamos una sesion CDP para interceptar cabeceras HTTP de respuesta. Esto nos permite detectar cookies HttpOnly que JavaScript no puede ver, parseando los headers Set-Cookie de cada respuesta.

Deteccion de CMP hibrida

Detectamos plataformas de consentimiento (CMP) con 3 capas:
1) 25+ CMPs conocidos por firmas DOM
2) IAB TCF v2.0 API (window.__tcfapi)
3) Heuristica visual por palabras clave

Clasificacion hibrida

Usamos un sistema de clasificacion en dos fases para maximizar precision y velocidad:

FASE 1

Base de datos local

Primero consultamos nuestra base de datos con +500 cookies conocidas, dominios de tracking y patrones de storage. Si encontramos coincidencia, la clasificacion es instantanea sin coste de IA.

FASE 2

Clasificacion con IA

Los elementos no reconocidos se envian a un LLM (via OpenRouter) con un prompt especializado en normativa GDPR/ePrivacy. El modelo determina categoria, nivel de riesgo y base legal con explicacion juridica.

Categorias de clasificacion

Estrictamente necesarias
Funcionales
Analitica
Marketing
Desconocidas

Algoritmo de puntuacion V2.1

La puntuacion de 0-100 se calcula basandose en los elementos que requieren consentimiento y se detectaron activos antes de que el usuario acepte.

Factores de penalizacion

Cookie de marketing (third-party)-15 pts
Cookie de analitica (third-party)-10 pts
Request a tracker conocido-8 pts
Cookie funcional no esencial-5 pts
Storage con ID persistente-5 pts
Elemento desconocido (high risk)-3 pts

Las cookies estrictamente necesarias (sesion, seguridad, CSRF) no penalizan. El score minimo es 0.

71-100VERDE

Podria cumplir

No se detectaron elementos que requieran consentimiento antes de aceptar. Puede existir cumplimiento, pero se recomienda verificacion manual.

31-70AMARILLO

Requiere revision

Se detectaron algunos elementos que podrian requerir consentimiento. Se recomienda revisar la configuracion del CMP.

0-30ROJO

Podria no cumplir

Se detectaron multiples elementos de tracking activos sin consentimiento. Alta probabilidad de incumplimiento de ePrivacy.

Deteccion de Server-Side Tagging

Server-side tagging (GTM server-side, analytics proxy) hace que servicios de terceros parezcan first-party. Sin embargo, bajo la Directiva ePrivacy, el requisito de consentimiento se basa en el proposito del tratamiento, no en la implementacion tecnica.

Detectamos indicios de server-side tagging mediante heuristica:

  • 1Cookies _ga/_gid en first-party sin requests directos a Google Analytics
  • 2Subdominios sospechosos: gtm.dominio.com, analytics.dominio.com, collect.dominio.com
  • 3Cookies de marketing (_fbp, _ttp) en dominio first-party
  • 4Rutas de analitica en first-party: /collect, /g/collect, /analytics

Marco legal aplicable

Directiva ePrivacy 2002/58/CE

Art. 5.3: Requiere consentimiento previo e informado para almacenar informacion en el dispositivo del usuario, excepto si es estrictamente necesario para un servicio solicitado expresamente.

RGPD 2016/679

Art. 4(11), 6 y 7: Define consentimiento como manifestacion libre, especifica, informada e inequivoca. Recital 32: no mediante casillas pre-marcadas.

LOPDGDD 3/2018 (Espana)

Art. 22.2: Excepcion para analitica first-party propia bajo condiciones estrictas (sin cruzar datos con terceros, sin compartir con plataformas publicitarias).

Jurisprudencia TJUE

Planet49 (C-673/17): Casillas pre-marcadas = consentimiento invalido.
Orange Romania (C-61/19): Consentimiento debe ser especifico por finalidad.

Limitaciones del analisis

  • Analisis de una sola pagina: Solo analizamos la URL proporcionada. Otras paginas del sitio pueden tener comportamientos diferentes.
  • Verificacion de CMP: SI intentamos rechazar el consentimiento en CMPs conocidos y comparamos cookies antes/despues para verificar si realmente bloquean.
  • Geolocation: Analizamos desde un servidor en Europa. Sitios con geo-targeting pueden mostrar comportamientos diferentes en otras regiones.
  • No es auditoria legal: Este analisis es orientativo. Para cumplimiento legal completo, consulte con un profesional juridico especializado en proteccion de datos.
  • Cookies dinamicas: Algunas cookies solo aparecen tras interacciones especificas (login, scroll, etc.) que no simulamos.

Analiza tu sitio web ahora

Comprueba el estado de cumplimiento de cookies de tu sitio web de forma gratuita.

Iniciar analisis