• Marketing
  • • 7 minutos

Seguimiento del RGPD para pymes: Consentimiento, Matomo y GA4

Seguimiento de conversiones
El seguimiento según el RGPD no está prohibido categóricamente para las pymes, pero muchas estrategias de marketing son arriesgadas sin un consentimiento efectivo. Este artículo muestra cómo diferenciar claramente los banners de consentimiento, Matomo, Google Analytics 4 y los métodos de medición que minimizan los datos.
  • um
  • Reloj

Respuesta corta: El seguimiento según el RGPD para las pymes no está prohibido categóricamente, pero muchas estrategias de marketing habituales conllevan riesgos sin un consentimiento efectivo. En la práctica, suele ser necesario un consentimiento adecuado en cuanto se utilizan tecnologías de seguimiento no esenciales, proveedores externos, seguimiento de conversiones para plataformas publicitarias o remarketing. Sin embargo, si solo se utiliza una medición de alcance limitada que minimiza la recopilación de datos o se analizan los registros del servidor del propio sitio web, la situación requiere una evaluación más detallada.

Sobre todo en lo que respecta al seguimiento del RGPD en pequeñas empresas del Tirol del Sur, Austria, Alemania y el resto de la región DACH, llevo años observando el mismo patrón: demasiadas herramientas, poca claridad y, en definitiva, malos resultados. El problema rara vez reside en la falta de seguimiento. Casi siempre se debe a un propósito poco claro, una base legal incorrecta y un aviso de consentimiento que promete más de lo que realmente cumple.

  • Requiere consentimiento Se trata principalmente de seguimiento de marketing, remarketing, plataformas publicitarias, numerosos elementos integrados de terceros y perfiles multicanal.
  • Quizás deba examinarse más detenidamente. Se trata de registros de servidor puros, mediciones de primera mano muy reducidas y configuraciones de medición de audiencia muy estrictas, sin perfiles adicionales.
  • Importante: Un banner de consentimiento no mide nada. Una herramienta de análisis no gestiona el consentimiento. Y un gestor de etiquetas no constituye una base legal.

Para las pymes, la cantidad máxima de datos no es crucial, sino más bien una configuración limpia y eficiente en el uso de datos, con algunos indicadores clave de rendimiento realmente útiles.

Seguimiento del RGPD para pymes: ¿Qué es lo que realmente necesita separarse legalmente?

El seguimiento conforme al RGPD suele implicar la confusión entre dos niveles. El primer nivel se refiere al acceso al dispositivo final. El segundo nivel se refiere al posterior tratamiento de los datos personales. En Alemania, el acceso al dispositivo final es... Artículo 25 TTDSG o hoy TDDDG La normativa establece: Almacenar o leer información en dispositivos finales generalmente solo está permitido con consentimiento previo, a menos que sea técnicamente absolutamente necesario.

Para usted como operador, esto significa: Una cookie o mecanismo similar puede volverse relevante incluso antes de que surja la cuestión real del RGPD. Solo entonces se realiza la segunda comprobación: ¿Cuál? fundamento jurídico ¿Tiene procesamiento adicional? ¿Es un consentimiento necesario o surge en casos difíciles Interés legítimo ¿Lo has considerado? Muchos sistemas fallan precisamente en este punto de separación.

¿Qué suele requerir consentimiento en las PYMES?

  • Google Analytics 4 respectivamente GA4, cuando se utiliza clásicamente para análisis web, enlaces publicitarios o evaluaciones multicanal.
  • Seguimiento de conversiones para Google Ads, Meta u otras plataformas publicitarias.
  • Remarketing y cualquier forma de reencuentro a través de los límites de la plataforma.
  • Mucha Proveedores de terceros-Contenido integrado como mapas, vídeos, formularios externos, herramientas de chat o complementos sociales.
  • Seguimiento a través de Administrador de etiquetas, si las etiquetas se activan antes de que se dé el consentimiento.

¿Qué es lo que necesita ser examinado más detenidamente y de manera más diferenciada?

  • registros del servidor, en la medida en que sean necesarias para el funcionamiento, la seguridad y el análisis de fallos.
  • Muy reducido Medición de Audiencia-Configuraciones para la medición de rango cuando la configuración y el propósito están estrictamente limitados.
  • Seguimiento de primera parte Sin perfiles adicionales, sin compartir con terceros y con una clara minimización de datos.
  • Seguimiento sin cookiesSiempre y cuando técnicamente no se requiera el consentimiento para acceder a los dispositivos finales ni se procese ningún tipo de perfilado. Esto es más estricto de lo que muchos proveedores lo presentan en su publicidad.

La conferencia sobre protección de datos no dio una aprobación general para la medición de audiencias. Informe de evaluación sobre OH Telemedia Queda claro: medir el alcance sin consentimiento solo es posible con una configuración y un propósito definidos con precisión. En cuanto se incluyen datos adicionales del usuario o resultados de evaluaciones posteriores, la situación se vuelve mucho más estricta.

Banner de consentimiento, plataforma de gestión de consentimiento y herramienta de análisis: tres roles diferentes

Un error común respecto al seguimiento del RGPD en las pymes es: "Tenemos un banner de consentimiento, así que cumplimos con la normativa". Esto solo es cierto si la implementación técnica es correcta. Solución de gestión de consentimiento Una plataforma de gestión de consentimiento administra las decisiones. La herramienta de análisis mide el comportamiento. El gestor de etiquetas distribuye los scripts. Es necesario considerar estas tres funciones por separado y conectarlas sin problemas.

  • Banner de consentimiento: Muestra opciones y solicita decisiones.
  • Plataforma de gestión de consentimiento: Almacena y gestiona los consentimientos de forma rastreable.
  • Herramienta de análisis: Mide visitas, eventos, objetivos de conversión o rutas de campaña.
  • Administrador de etiquetas: Los scripts solo se cargan si se concede el permiso necesario.

En la práctica, a menudo veo banners que se ven perfectamente bien, mientras que Google Analytics (GA4), los mapas de calor o los videos externos se cargan en la primera página. En ese caso, el banner no cumple su función. Esto resulta especialmente frustrante para las pequeñas empresas, ya que aumenta el esfuerzo, el riesgo y la cantidad de datos innecesarios.

Matomo: existen opciones que respetan la privacidad, pero no están exentas de consentimiento automáticamente.

Matomo Esta es una opción sensata para muchas pymes si su principal objetivo es comprender su propia oferta y no necesitan la lógica de una plataforma publicitaria. La ventaja suele radicar en su estrecha adaptación a las necesidades reales: menor dependencia de la plataforma, mayor control, seguimiento propio genuino y mayor eficiencia de datos.

Sin embargo, es importante ser realistas: Matomo no está permitido automáticamente. El propio Matomo lo describe en su Preguntas frecuentes oficialesque el uso sin un banner de consentimiento solo es concebible con una configuración estricta y centrada en la protección de datos, por ejemplo sin Cookies, de forma anónima y sin detección de funciones del navegador. Por lo tanto, el factor crucial no es la marca de la herramienta, sino su implementación específica.

Si quieres configurar Matomo de forma limpia y sencilla, presta especial atención a estos puntos:

  • voluntad Cookies Configurado o no.
  • ¿La medición es pura? Seguimiento de primera parte ¿O hay otros servicios conectados a él?
  • ¿Se está midiendo solo un sitio web o los usuarios están conectados a través de varios sitios?
  • Es IP anónima ¿Están activos y se evitan los identificadores adicionales?
  • ¿Utiliza funciones como mapas de calor, grabaciones de sesiones, identificadores de usuario o datos de comercio electrónico?
  • ¿Hay una limpieza? Procesamiento de pedidos ¿Con socios de alojamiento y tecnología, si fuera necesario?

Suelo aconsejar a las pequeñas empresas que se hagan una pregunta sencilla: ¿De verdad necesitan atribución multicanal y automatización del marketing, o lo que les interesa principalmente es saber qué contenido funciona bien, qué páginas generan consultas y dónde abandonan los usuarios? Para muchas pymes, la segunda opción es más que suficiente. En ese caso, Matomo suele ajustarse mejor a sus necesidades reales que un conjunto de herramientas complejo.

GA4 y la protección de datos: útil para el marketing, pero solo con el consentimiento adecuado.

Google Analytics 4 Es una herramienta muy potente, sobre todo si se desea integrar estrechamente Google Ads, campañas multicanal, seguimiento de conversiones y análisis de anuncios. Para algunas empresas, esto resulta rentable. Sin embargo, para muchas pequeñas empresas, añade más complejidad que beneficios.

Desde el punto de vista de la protección de datos, Google Analytics fue particularmente controvertido en Europa. El Comité Europeo de Protección de Datos (CEPD) responde a las 101 quejas presentadas por NOYB. Se señala que varias autoridades de supervisión han ordenado a los operadores de sitios web que cumplan con los requisitos del RGPD o que cesen las transferencias de datos a Estados Unidos. Para las pymes, esto no implica automáticamente que la clasificación GA4 sea generalmente inadmisible. Sin embargo, se establece claramente para las pymes: La clasificación actual debe revisarse siempre a la luz de la situación legal y de transferencia de datos posterior a 2023, y no basarse en experiencias prácticas obsoletas.

Por lo tanto, mi consejo práctico es sencillo:

  • Wenn du GA4 Si es necesario, utilice una lógica de consentimiento clara y etiquetas bloqueadas técnicamente correctas.
  • Si has instalado GA4 simplemente por costumbre, el esfuerzo suele ser mayor que el beneficio.
  • Si no utilizas activamente Google Ads ni la atribución compleja, reducir el seguimiento conforme al RGPD suele ser la mejor opción.

Sobre todo en equipos pequeños, a menudo observo que, aunque se implemente Google Analytics 4 (GA4), nadie puede interpretar los informes con confianza. Esto conlleva más riesgos, mayor complejidad y, aun así, no conduce a mejores decisiones. Unos pocos datos fiables son mejores que un panel de control repleto de métricas poco comprendidas.

Anonimización de IP, seguimiento sin cookies e interés legítimo: los tres malentendidos más comunes

Primer malentendido: La anonimización de IP lo resuelve todo. Eso no es cierto. La Conferencia de Protección de Datos ha declarado en su Información sobre Google Analytics Se ha aclarado que acortar la dirección IP es únicamente una medida de seguridad adicional. Esto no anonimiza automáticamente el procesamiento de datos ni elimina la necesidad de consentimiento.

Segundo malentendido: El seguimiento sin cookies siempre está permitido. Eso tampoco es cierto. La mera ausencia de una cookie no resuelve la cuestión de si se requiere consentimiento para acceder al dispositivo o para el tratamiento de datos personales.

Tercer malentendido: El interés legítimo no es una solución sencilla. Para mediciones muy específicas que minimizan la recopilación de datos, el interés legítimo puede formar parte de la evaluación. Sin embargo, para muchas configuraciones de marketing, elaboración de perfiles, funciones publicitarias e integraciones con terceros, este fundamento jurídico no se aplica automáticamente.

Una configuración mínima y pragmática para el seguimiento del RGPD en pequeñas empresas.

Cuando trabajo con pymes, siempre intento reducir primero el seguimiento del RGPD, no aumentarlo. En realidad, una configuración simplificada suele conducir a mejores decisiones. Un ejemplo típico de mi experiencia: una empresa comienza con diez servicios integrados, dos píxeles de seguimiento, un banner de consentimiento y datos aún poco claros. Tras reducirlo a tres objetivos concretos, la situación suele mejorar significativamente: mayor claridad, menos banners y menor riesgo.

Una configuración mínima robusta para muchas pequeñas empresas se ve así:

  • Defina un máximo de tres objetivos empresariales. Por ejemplo, una solicitud de presupuesto, una llamada telefónica y el envío de un formulario que cumpla con los requisitos.
  • Separe la medición de referencia de la medición de marketing. El alcance es algo diferente al seguimiento de conversiones o al remarketing.
  • Documentar el fundamento jurídico de cada finalidad. No se trata de una tarifa fija por herramienta, sino por operación de procesamiento.
  • Utilice únicamente las integraciones que haya evaluado previamente. Ningún píxel debería poder ejecutarse "quizás más tarde".
  • Mantenga la eficiencia de los datos de los eventos. Sin parámetros innecesarios, sin contenido sensible, sin eventos personalizados sobrecargados.
  • Bloquea todas las etiquetas innecesarias hasta que se publiquen. Esto también se aplica al contenido incrustado de proveedores externos.
  • Revisar contratos y funciones. El procesamiento de pedidos, el alojamiento web, la plataforma de gestión de clientes (CMP), el servicio de formularios, el boletín informativo y el análisis deben estar debidamente documentados.
  • Prueba la cancelación. El consentimiento debe ser tan fácil de retirar como de otorgar.

Si desea profundizar en los planes de medición, los indicadores clave de rendimiento (KPI) y la priorización, nuestro artículo sobre [tema] también le será de ayuda. Análisis de datos en marketing para pymesPorque un buen seguimiento del RGPD no empieza con un guion, sino con una buena pregunta.

Errores típicos que veo una y otra vez en las PYMES.

  • GA4 se carga incluso antes de que se dé el consentimiento. El banner de consentimiento es visible, pero técnicamente ineficaz.
  • En general, Matomo se presenta como un sistema que no requiere consentimiento en ningún momento. Todo depende de la configuración, el propósito y el flujo de datos.
  • El banner solo tiene en cuenta los análisis. YouTube, los mapas, las fuentes, los formularios externos o las herramientas de chat quedan en el olvido.
  • A menudo se confunde al gestor de etiquetas con el responsable de cumplimiento normativo. Puede controlar las cosas con precisión, pero también puede provocarlas de forma incorrecta.
  • Se están recopilando demasiados datos. Disponer de más datos no significa automáticamente tomar mejores decisiones.
  • Falta la conexión con la estrategia del sitio web. El seguimiento sin un objetivo genera principalmente ruido en los datos.

Es precisamente por eso que este tema no pertenece aislado dentro del ámbito técnico. El seguimiento es parte de la arquitectura del sitio web, el contenido y la lógica de negocio. Cuando diseñamos sitios web, lo consideramos desde el principio, ya sea en el Implementación técnica de sitios web o en un entorno aguas arriba consultoría estratégica.

Preguntas frecuentes: Las preguntas más importantes sobre el seguimiento en el día a día de las PYMES.

¿Necesito automáticamente un banner de consentimiento para cada actividad de seguimiento?

No. Un banner de consentimiento es necesario principalmente si se utilizan tecnologías o actividades de procesamiento que requieren consentimiento. Los registros del servidor o los procesos técnicos muy específicos deben revisarse de forma diferente, pero es fundamental documentar claramente esta distinción.

¿Es Matomo realista sin consentimiento?

En condiciones estrictas, esto puede ser realista, pero solo con una configuración muy eficiente en cuanto a datos. Tan pronto como CookiesLa adición de identificadores adicionales, múltiples sitios web, mapas de calor, identificadores de usuario u otras funciones avanzadas cambia rápidamente la calificación.

¿Está prohibida la GA4 según el RGPD?

No lo plantearía de forma tan general. Sin embargo, en términos prácticos, la GA4 significa para las pymes: trabajar únicamente con consentimiento explícito, controles técnicos transparentes y una revisión actualizada del marco de protección de datos.

¿Es suficiente la anonimización de IP como medida de protección?

No. La anonimización de IP es útil, pero no exime de responsabilidad. Si también se procesan otros datos de uso, identificadores o enlaces, la revisión de protección de datos sigue siendo totalmente válida.

¿El propio Google Tag Manager requiere consentimiento?

Google Tag Manager es principalmente una herramienta de control técnico. El factor crucial es qué se carga a través de Tag Manager y si estos scripts se activan antes de que se otorgue el consentimiento. En muchas configuraciones defectuosas, ahí radica precisamente el problema.

¿Qué ocurre con YouTube, Mapas, formularios externos u otro contenido de terceros?

Este contenido suele pasarse por alto en los anuncios publicitarios, a pesar de que puede ser tan relevante desde el punto de vista legal y técnico como los análisis. Examine cada integración individualmente: ¿Quién carga qué, cuándo, desde qué proveedor externo y con qué base legal?

¿Cuándo el interés legítimo constituye una alternativa viable al consentimiento?

Para mediciones muy precisas que permitan ahorrar datos en su propia oferta, un interés legítimo puede formar parte de la revisión. En el caso de plataformas publicitarias, remarketing, seguimiento exhaustivo de conversiones o elaboración de perfiles, esta justificación suele ser mucho menos sólida.

Mi conclusión tras más de 20 años de experiencia: Las pequeñas empresas rara vez necesitan un seguimiento exhaustivo. Necesitan mejores decisiones. Si diseña su sitio web como un sistema independiente, la medición precisa es una herramienta para la claridad, no para la vigilancia. Este artículo pretende ser una guía para la toma de decisiones, no asesoramiento legal. En caso de que se trate de datos sensibles, información médica, datos de recursos humanos u otras áreas especialmente confidenciales, conviene consultar con un abogado.

Mar de fondo

  1. Ley de protección de datos y protección de la privacidad en las telecomunicaciones y los medios de comunicación — gesetze-im-internet.de (2021)
  2. Conferencia sobre protección de datos / Grupo de trabajo sobre medios de comunicación – Informe de evaluación de la consulta de la OH Telemedia — datenschutzkonferenz-online.de (2022)
  3. Comité Europeo de Protección de Datos — edpb.europa.eu (2023)
  4. Preguntas frecuentes de Matomo: ¿Puedo usar Matomo Analytics sin solicitar consentimiento ni usar un banner de cookies? — matomo.org (s.f.)
  5. Conferencia sobre protección de datos: directrices para el uso de Google Analytics en el sector no público — datenschutzkonferenz-online.de (2020)
Florián Berger
  • Florian Berger lleva más de 20 años apoyando a empresas, instituciones, emprendedores y profesionales en la concepción y desarrollo de proyectos digitales. Se centra en la comunicación, la digitalización y la inteligencia artificial (IA). Ayuda a sus clientes a fortalecer sus marcas, desarrollar sitios web e implementar estrategias de marketing personalizadas, siempre teniendo en cuenta las últimas tendencias tecnológicas e innovaciones en el mundo de la IA. En resumen: branding, sitios web, marketing y transformación digital son sus áreas de especialización.
Bloggerei.de