La AEPD publica la «Guía uso de cookies para herramientas de medición de audiencias»

24-01-2024 — AR/2024/009

La Agencia Española de Protección de Datos recoge en esta nueva guía la excepción del consentimiento del usuario para usar cookies destinadas solo a la medición de audiencia, es decir, centradas en conseguir estadísticas de tráfico o rendimiento.

La Agencia Española de Protección de Datos (AEPD) ha publicado, el 11-1-2024, una nueva guía que trata sobre el  uso de cookies para herramientas de medición de audiencia, centrada, pues, en las cookies utilizadas para conseguir estadísticas de tráfico o rendimiento.

Esta guía complementa a la «Guía sobre el uso de las cookies» publicada en julio de 2023.

En esta nueva guía, la AEPD permite que determinadas cookies de medición y analítica estén exceptuadas del consentimiento del usuario, al mismo tiempo que reconoce que el uso de ellas para obtener estadísticas de tráfico o rendimiento es normalmente esencial para prestar un servicio.

Resumimos los aspectos más relevantes de esta nueva guía.

Cookies exentas de consentimiento

El 11-1-2024 finalizó el plazo para que todas las páginas web se adaptaran a las directrices citadas de julio, sobre la presencia de botones específicos y claros de «rechazar» para el uso de cookies. La Agencia ha querido dejar claro ahora su criterio sobre el uso de cookies que no necesitan el consentimiento.

En suma, entiende que no es necesario recabar el consentimiento de los interesados para estas cookies para medición de audiencias siempre que se cumplan los siguientes requisitos:

  1. Estén limitadas a la finalidad de medición de audiencia del sitio web o aplicación y cumplan con el artículo 22.2 de la Ley 34/2002;2 es decir que el «tratamiento ha de ser realizado en nombre exclusivo del editor y ser utilizadas para producir datos estadísticos anónimos únicamente».
  2. No se cotejen con otros tratamientos.
  3. No se transmitan a otros los datos recabados.
  4. No permitan «el seguimiento agregado de la navegación de la persona que utiliza diferentes aplicaciones o navega por diferentes sitios web».
  5. No se reutilicen los datos para otras finalidades.
  6. No se utilice el mismo identificador en varios sitios para hacer referencias cruzadas, duplicar o medir una tasa de alcance unificada de un contenido.

De acuerdo con esto, la AEPD considera que, para administrar un sitio en internet son «estrictamente necesarias las siguientes mediciones:

  • Medición de audiencia, página por página.
  • La lista de páginas desde las que se ha seguido un enlace para solicitar la página actual (a veces llamada «referente»), ya sea interna o externa al sitio, por página y agregada diariamente.
  • Determinación del tipo de dispositivo, navegador y tamaño de pantalla de los visitantes, por página y agregados diariamente.
  • Estadísticas de tiempo de carga de la página, por página y agregadas por hora.
  • Estadísticas sobre el tiempo dedicado a cada página, la tasa de rebote, la profundidad de desplazamiento, por página y agregadas diariamente.
  • Estadísticas sobre las acciones de los usuarios (clics, selecciones), por página y agregadas diariamente.
  • Estadísticas sobre la zona geográfica de origen de las solicitudes, por página y agregadas diariamente».

Garantías del editor para usar cookies exentas de consentimiento

Tiene que implantar unas garantías mínimas:

  1. Informar del uso de cookies exentas en la política de privacidad de la web o aplicación.
  2. Limitar el período máximo de vida útil de las cookies a 13 meses, que permite «una comparación significativa de audiencias de largo tiempo».
  3. Respetar el período máximo de conservación de los datos recopilados por estas cookies de 25 meses.

Cuando el editor contrate a un proveedor externo, tiene que:

  • formalizar un contrato de encargado de tratamiento que cumpla con los requisitos del artículo 28 del reglamento general de protección de datos;3
  • verificar que los datos se tratan de manera independiente y que las cookies se usan de forma independiente para cada editor, cuando el proveedor preste este servicio a varios editores, y
  • comprobar que el proveedor cumple las anteriores garantías..

Todas las entidades que quieran beneficiarse de esta consideración de ciertas cookies de medición y analítica, siempre que cumplan los criterios de la guía, han de informar claramente de estos usos en su política de cookies.


1 Agencia Española de Protección de Datos, «Guía Uso de cookies para herramientas de medición de audiencia», v. enero de 2024, disponible en el vínculo asociado al margen.
2 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
3 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).