El Digital Omnibus quiere eximir del consentimiento a la analítica first-party

El 19 de noviembre de 2025, la Comisión Europea publicó el Digital Omnibus, una propuesta que reescribe dónde residen las reglas de consentimiento para cookies y rastreo. Lo importante para quienes desarrollan está enterrado en un artículo del borrador: la medición de audiencia first-party, agregada y de uso interno dejaría de requerir consentimiento por completo.

Esa excepción no describe una herramienta futura. Describe el modelo de datos que la analítica sin cookies ha estado ejecutando todo este tiempo.

Qué mueve realmente la propuesta

Hoy, el deber de pedir permiso antes de leer o escribir en el dispositivo del usuario proviene del Artículo 5(3) de la Directiva ePrivacy, la raíz jurídica del banner de cookies. El Digital Omnibus saca esa regla de ePrivacy y la integra en el RGPD mediante un nuevo Artículo 88a.

El efecto práctico es un régimen único. Donde se tratan datos personales, el consentimiento de ePrivacy deja de aplicarse y solo rige el RGPD. La Comisión lo plantea como una simplificación de un conjunto de reglas solapado, apoyándose en más de un año de aportaciones de las partes interesadas sobre la fatiga de banners.

Es una propuesta de la Comisión, no una ley. Entró en el procedimiento legislativo ordinario el mismo día de su publicación y ahora pasa al Parlamento Europeo y al Consejo, donde el texto puede cambiar sustancialmente antes de vincular a nadie.

La excepción de medición de audiencia

El Artículo 88a mantiene el consentimiento como opción por defecto para el acceso al dispositivo y luego enumera excepciones estrictas. Junto a la transmisión estrictamente necesaria y la seguridad, añade una que importa para la analítica: almacenar o acceder a información para generar datos agregados de medición de audiencia, siempre que el proveedor lo haga únicamente para su propio servicio en línea y su propio uso interno.

Los análisis jurídicos convergen en las condiciones que conlleva esa excepción:

• Solo first-party. El operador del sitio controla los datos; el proveedor de analítica actúa como encargado y nunca los usa para fines propios.
• Sin compartición con terceros. Nada fluye hacia anunciantes, plataformas publicitarias o redes de medición entre sitios.
• Solo estadísticas. La finalidad es la estadística web y la optimización del sitio, no la activación de marketing ni la elaboración de perfiles.
• Opt-out sencillo. El usuario puede rechazar la medición, con una explicación clara en la política de privacidad.
• Retención corta. Los datos se conservan solo el tiempo que necesiten las estadísticas.

El encuadre es deliberadamente estrecho. Los comentaristas que han leído el borrador señalan que parece excluir cualquier herramienta que mida a través de múltiples servicios, clientes o plataformas, que es la mayor parte de la medición de ad-tech. La excepción premia una arquitectura concreta, no una categoría de proveedor.

Por qué encaja con la analítica sin cookies

Compara esa lista con cómo se construye un rastreador privacy-first y el solapamiento es casi total. No hay identificador que compartir, porque la identidad del visitante es un hash diario de un solo sentido — SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) — que no se puede revertir y desaparece cada noche.

visitor_hash = SHA-256( IP | UA | SALT_SECRET | "2026-06-08" )

La IP y el User-Agent sin procesar solo se usan en memoria para calcular ese hash; la base de datos almacena el hash, nunca los valores en bruto. No hay grafo entre sitios porque mañana no hay nada con lo que cruzar. La retención está acotada — las páginas vistas de más de dos años se purgan — y los datos son agregados por construcción: recuentos, duraciones, tipo de dispositivo aproximado, país obtenido en el edge.

El beacon /collect transporta tiempos y metadatos de página, no una persona. Es exactamente la "medición de audiencia agregada, de uso interno" que el borrador destaca.

El Artículo 88b y el fin de los banners por sitio

La disposición complementaria, el Artículo 88b, ataca la fatiga de consentimiento por el otro lado. Exige que el rechazo y la oposición puedan expresarse mediante señales automatizadas y legibles por máquina, con los proveedores de navegadores y sistemas operativos (salvo las pequeñas empresas) obligados a dar soporte a la infraestructura.

Es la misma dirección que el Global Privacy Control ya impulsó en la legislación estatal de EE. UU.: mover la decisión de mil banners a un único ajuste a nivel de dispositivo que el sitio debe respetar. Una herramienta que no escribe cookies ni construye perfiles tiene poco que respetar aquí: no hay almacenamiento que controlar ni registro de consentimiento que conservar.

Qué hacer antes de que llegue

Nada en el Digital Omnibus es exigible todavía, y el calendario se extiende por periodos de aplicación escalonados tras cualquier texto final. Pero la dirección está marcada, y favorece un único diseño: recopilar estadísticas agregadas en first-party, no compartir nada, no identificar a nadie y retener poco tiempo.

Si tu analítica ya cumple ese listón, la reforma es viento a favor: la ley moviéndose hacia la arquitectura, en lugar de la arquitectura corriendo detrás de la ley. Si no lo cumple, el camino más barato hacia el cumplimiento no es un mejor banner. Es recopilar menos.

Fuentes

• Propuesta de Reglamento Digital Omnibus (Comisión Europea)
• The Digital Omnibus: cookies, consent and digital advertising (Taylor Wessing)
• EU Digital Omnibus: The European Commission Proposes Important Changes to the EU's Digital Rulebook (Sidley Austin)
• First-party analytics without consent: Your Digital Omnibus compliance guide (Piwik PRO)
• Digital Omnibus reshapes EU cookie rules but leaves banner fatigue largely intact (Osborne Clarke)