Volver al blog
5 min de lecturaprivacygdprcompliancetracking

La Ley de Cookies Ya No Trata Sobre Cookies: Qué Cubre Ahora el Artículo 5(3)

Las Directrices 2/2023 del EDPB extendieron las reglas de consentimiento de ePrivacy a píxeles, seguimiento por URL e identificación solo por IP. Las decisiones recientes de la CNIL y el Garante confirman la lectura neutra en cuanto a tecnología. Esto es lo que cambia para los desarrolladores.

La expresión "ley de cookies" siempre fue un nombre equivocado. El Artículo 5(3) de la Directiva ePrivacy nunca usó la palabra cookie — habla de "almacenar información, u obtener acceso a información ya almacenada, en el equipo terminal de un abonado o usuario". Durante dos décadas, los reguladores aplicaron ese texto sobre todo a las cookies porque las cookies eran el mecanismo de almacenamiento dominante. Ese periodo terminó.

En octubre de 2024 el Comité Europeo de Protección de Datos finalizó las Directrices 2/2023 sobre el ámbito técnico del Artículo 5(3). Las directrices son neutras en cuanto a tecnología y cubren explícitamente los píxeles de seguimiento, el seguimiento basado en URL, el seguimiento solo por IP y los identificadores únicos. En abril de 2026 la CNIL francesa y el Garante italiano tradujeron ese marco en orientación nacional vinculante sobre el seguimiento por píxel en correos electrónicos. La dirección es inequívoca: si una técnica permite a un servidor leer señales identificativas desde el dispositivo de un visitante, se requiere consentimiento, se escriba algo de vuelta o no.

Qué significa ahora "obtener acceso"

El Artículo 5(3) se sostiene sobre dos conceptos operativos: almacenamiento y obtención de acceso. La mayor parte del trabajo de cumplimiento existente trata únicamente el almacenamiento como el detonante — si no estableces una cookie, asumes que no se necesita consentimiento. Las directrices rechazan esa lectura.

Se cumple la obtención de acceso cuando un servidor instruye activamente al dispositivo para que envíe valores de vuelta. Un píxel de seguimiento dispara una solicitud cuya cadena de consulta lleva identificadores. Una URL única incrustada en una newsletter resuelve al destinatario. Una dirección IP, cuando se usa para seguir al mismo dispositivo entre sesiones, también es acceso — el valor se origina en la pila de red del dispositivo y se envía en cada solicitud.

Lo que importa es el mecanismo, no el formato de persistencia. Una huella digital almacenada en una base de datos del lado del servidor se trata idénticamente a una cookie almacenada en el navegador.

Por qué esto reescribe el mapa de herramientas de analítica

Muchas herramientas de analítica enfocadas en privacidad se promocionan como libres de cookies mientras siguen dependiendo de patrones que las directrices ahora cubren:

  • Cookies del lado del servidor e identificadores particionados estilo CHIPS. Mover la cookie a un contexto particionado o a un almacén del lado del servidor de primera parte no cambia la cuestión del acceso. Si el mismo identificador llega al servidor de analítica entre visitas, sigue siendo acceso.
  • IDs de visitante derivados de IP. Las herramientas que aplican hash a la IP y usan el hash como identificador estable entre días están accediendo a información que se origina en el dispositivo. El consejo del EDPB es explícito: esto requiere consentimiento a menos que el responsable pueda demostrar que la IP no procedía del equipo terminal del usuario.
  • Seguimiento por píxel de aperturas y vistas. La Decisión nº 2026-042 de la CNIL (14 de abril de 2026) y las directrices del Garante del 17 de abril de 2026 exigen consentimiento explícito y separado para el seguimiento individual de aperturas en correo electrónico — antes de que se envíe el correo.

El patrón compartido es un identificador estable que sobrevive entre visitas, sesiones o mensajes. Cualquiera que sea la capa de almacenamiento, crea la misma exposición regulatoria que una cookie.

La prueba técnica para una recopilación conforme

Las directrices dejan un corredor estrecho: señales agregadas donde ningún valor que el servidor almacene resuelva de vuelta a un dispositivo específico a lo largo del tiempo. Una solicitud a un endpoint de recopilación lleva valores que caen en tres categorías:

1. Transport-layer values (IP, User-Agent) the server cannot avoid receiving
2. Contextual values (path, referrer domain, country derived from IP)
3. Derived values the server chooses to produce and store

La categoría 1 es inevitable en TCP/HTTP. La cuestión es cómo se ve la categoría 3. Si un valor derivado es un identificador persistente — incluso con hash, incluso con sal — es acceso. Si un valor derivado se reinicia dentro de una ventana acotada y no puede correlacionarse entre ventanas, el análisis del EDPB lo trata como agregado.

El hash de visitante diario de Monoid está diseñado contra esta prueba:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

La IP y el User-Agent se usan solo en memoria para calcular el hash y luego se descartan. La entrada de fecha significa que el mismo visitante produce un hash diferente mañana — no hay identificador entre días al que acceder, por construcción. Dentro de un único día el hash deduplica un visitante para conteos agregados; entre días no hay nada que un adversario o regulador pueda reconstruir.

Las cabeceras que importan en el endpoint de recopilación

Dos cabeceras HTTP cargan la mayor parte de la superficie de privacidad en un recolector de borde de primera parte y deberían establecerse deliberadamente.

Referrer-Policy: strict-origin-when-cross-origin es el valor por defecto moderno de Chrome y envía solo el origen en solicitudes cross-origin. Evita unsafe-url y no-referrer-when-downgrade — ambos filtran información de la ruta innecesariamente.

Permissions-Policy debería denegar explícitamente las funciones que el tracker de analítica no necesita:

Permissions-Policy: geolocation=(), microphone=(), camera=(),
  payment=(), usb=(), interest-cohort=()

Un tracker que no puede solicitar ubicación, audio o sensores del dispositivo no puede ser coaccionado a hacerlo por un script de terceros comprometido que comparta la página.

Qué deberían auditar los desarrolladores este trimestre

Tres preguntas hacen avanzar la auditoría:

  1. ¿Algún valor que el servidor de analítica almacene le permite identificar al mismo visitante a lo largo de una ventana de 25 horas? Si es así, el despliegue probablemente requiera ahora consentimiento del Artículo 5(3).
  2. ¿Se usan identificadores de píxel y URL en correo electrónico transaccional o de marketing? Bajo la orientación de la CNIL y el Garante, el seguimiento individual de aperturas requiere consentimiento separado y explícito antes de enviar el correo.
  3. ¿El endpoint de recopilación establece un Referrer-Policy estricto y un Permissions-Policy que deniega por defecto?

La pregunta del "banner de cookies" es subordinada a una más básica: ¿el modelo de datos produce un identificador entre sesiones en absoluto? Cuando la respuesta es no, toda la maquinaria del Artículo 5(3) — consentimiento, retirada, registros de tratamiento — no se activa, porque el detonante técnico de la regulación nunca se pulsó.