Legal Cookies
Transparencia en el análisis

Metodología de análisis

Explicamos cómo funciona nuestro motor de análisis, qué tecnologías detectamos, cómo clasificamos los elementos y cómo calculamos la puntuación de cumplimiento.

Qué analizamos

Cookies

Detectamos todas las cookies, incluyendo las HttpOnly que no son visibles a JavaScript, usando Chrome DevTools Protocol (CDP) para interceptar cabeceras Set-Cookie.

LocalStorage / SessionStorage

Extraemos todos los elementos almacenados en el navegador via Web Storage API, que también pueden contener identificadores de seguimiento.

Requests a terceros

Interceptamos todas las peticiones a dominios externos (scripts, pixeles, iframes) durante la carga inicial y 10 segundos adicionales para capturar scripts diferidos.

Motor de análisis

Navegador Chromium automatizado

Usamos Puppeteer con Chromium headless para simular una visita real. Cada análisis se ejecuta en un contexto incógnito aislado que:

  • Evita contaminación entre análisis (sin cookies previas)
  • Limpia automáticamente temporales al cerrar (cache, storage, profile)
  • Simula un usuario que visita por primera vez sin consentimiento previo

CDP (Chrome DevTools Protocol)

Activamos una sesión CDP para interceptar cabeceras HTTP de respuesta. Esto nos permite detectar cookies HttpOnly que JavaScript no puede ver, parseando los headers Set-Cookie de cada respuesta.

Detección de CMP híbrida

Detectamos plataformas de consentimiento (CMP) con 3 capas:
1) 25+ CMPs conocidos por firmas DOM
2) IAB TCF v2.0 API (window.__tcfapi)
3) Heurística visual por palabras clave

Clasificación híbrida

Usamos un sistema de clasificación en dos fases para maximizar precisión y velocidad:

FASE 1

Base de datos local

Primero consultamos nuestra base de datos con +500 cookies conocidas, dominios de tracking y patrones de storage. Si encontramos coincidencia, la clasificación es instantánea sin coste de IA.

FASE 2

Clasificación con IA

Los elementos no reconocidos se envían a un LLM (via Ollama Cloud) con un prompt especializado en normativa GDPR/ePrivacy. El modelo determina categoría, nivel de riesgo y base legal con explicación jurídica.

Categorías de clasificación

Estrictamente necesarias
Funcionales
Analítica
Marketing
Desconocidas

Algoritmo de puntuación V2.1

La puntuación de 0-100 se calcula basándose en los elementos que requieren consentimiento y se detectaron activos antes de que el usuario acepte.

Factores de penalización

Cookie de marketing (third-party)-15 pts
Cookie de analítica (third-party)-10 pts
Request a tracker conocido-8 pts
Cookie funcional no esencial-5 pts
Storage con ID persistente-5 pts
Elemento desconocido (high risk)-3 pts

Las cookies estrictamente necesarias (sesión, seguridad, CSRF) no penalizan. El score mínimo es 0.

71-100VERDE

Podría cumplir

No se detectaron elementos que requieran consentimiento antes de aceptar. Puede existir cumplimiento, pero se recomienda verificación manual.

31-70AMARILLO

Requiere revisión

Se detectaron algunos elementos que podrían requerir consentimiento. Se recomienda revisar la configuración del CMP.

0-30ROJO

Podría no cumplir

Se detectaron múltiples elementos de tracking activos sin consentimiento. Alta probabilidad de incumplimiento de ePrivacy.

Detección de Server-Side Tagging

Server-side tagging (GTM server-side, analytics proxy) hace que servicios de terceros parezcan first-party. Sin embargo, bajo la Directiva ePrivacy, el requisito de consentimiento se basa en el propósito del tratamiento, no en la implementación técnica.

Detectamos indicios de server-side tagging mediante heurística:

  • 1Cookies _ga/_gid en first-party sin requests directos a Google Analytics
  • 2Subdominios sospechosos: gtm.dominio.com, analytics.dominio.com, collect.dominio.com
  • 3Cookies de marketing (_fbp, _ttp) en dominio first-party
  • 4Rutas de analitica en first-party: /collect, /g/collect, /analytics

Marco legal aplicable

Directiva ePrivacy 2002/58/CE

Art. 5.3: Requiere consentimiento previo e informado para almacenar información en el dispositivo del usuario, excepto si es estrictamente necesario para un servicio solicitado expresamente.

RGPD 2016/679

Art. 4(11), 6 y 7: Define consentimiento como manifestación libre, específica, informada e inequívoca. Recital 32: no mediante casillas pre-marcadas.

LOPDGDD 3/2018 (España)

Art. 22.2: Excepción para analítica first-party propia bajo condiciones estrictas (sin cruzar datos con terceros, sin compartir con plataformas publicitarias).

Jurisprudencia TJUE

Planet49 (C-673/17): Casillas pre-marcadas = consentimiento inválido.
Orange Romania (C-61/19): Consentimiento debe ser específico por finalidad.

Limitaciones del análisis

  • Análisis de una sola página: Solo analizamos la URL proporcionada. Otras páginas del sitio pueden tener comportamientos diferentes.
  • Verificación de CMP: SÍ intentamos rechazar el consentimiento en CMPs conocidos y comparamos cookies antes/después para verificar si realmente bloquean.
  • Geolocation: Analizamos desde un servidor en Europa. Sitios con geo-targeting pueden mostrar comportamientos diferentes en otras regiones.
  • No es auditoría legal: Este análisis es orientativo. Para cumplimiento legal completo, consulte con un profesional jurídico especializado en protección de datos.
  • Cookies dinámicas: Algunas cookies solo aparecen tras interacciones específicas (login, scroll, etc.) que no simulamos.

Analiza tu sitio web

Comprueba el estado de cumplimiento de cookies de tu sitio web de forma gratuita.

Iniciar análisis