¿Se puede realizar un seguimiento de los usuarios que rechazan las cookies? Qué todavía está permitido en GDPR

Cuando un usuario hace clic en "Rechazar todo" en su banner de cookies, muchos propietarios de sitios web asumen que todo debe detenerse: análisis, medición, optimización e informes.

Eso no es del todo cierto.

GDPR no requiere que los sitios web se vuelvan ciegos después del rechazo, pero limita estrictamente el tipo de seguimiento permitido. La clave es comprender la diferencia entre procesamiento esencial y seguimiento basado en el consentimiento.

Este blog explica lo que aún puede hacer después de que un usuario rechace las cookies y dónde la mayoría de los sitios web cruzan la línea de cumplimiento.

---

1. Qué significa realmente "Rechazar cookies"

Cuando un usuario rechaza las cookies, está rechazando el seguimiento no esencial, como por ejemplo:

• Cookies analíticas
• cookies publicitarias
• Identificadores de remarketing
• Perfiles de comportamiento

Este rechazo se aplica a cualquier tecnología de seguimiento, no solo a las cookies, incluidos los píxeles, el almacenamiento local y los identificadores de tipo huella digital.

GDPR exige que esta elección se respete inmediata y plenamente.

---

2. Lo que no puede rastrear después del rechazo

Una vez que se le niega el consentimiento, debe detener:

• Herramientas de análisis que se basan en identificadores
• Píxeles publicitarios y de retargeting
• Seguimiento de conversiones vinculado al comportamiento del usuario
• Seguimiento entre sitios o sesiones
• Cualquier perfil o atribución vinculado a personas

Incluso los datos que parecen anonimizados pueden seguir siendo ilegales si pueden relacionarse con un usuario o dispositivo a lo largo del tiempo.

---

3. Lo que puedes hacer todavía sin consentimiento

GDPR permite el procesamiento limitado sin consentimiento cuando sea estrictamente necesario para operar el sitio web.

Esto incluye:

• Monitoreo de seguridad
• Prevención de fraude
• Equilibrio de carga
• Error al registrar
• Registros de acceso del lado del servidor
• Manejo de solicitudes técnicas

Estos datos deben permanecer limitados a un propósito y no deben reutilizarse para análisis o marketing.

---

4. Datos agregados y anónimos: proceda con precaución

Muchos sitios web dependen de análisis “anónimos” o “sin cookies” después del rechazo.

Sin embargo, GDPR hace una clara distinción:

• Se permiten datos verdaderamente anónimos
• Los datos seudónimos siguen contando como datos personales

Si los datos:

• Persiste entre sesiones
• Utiliza identificadores (incluso los hash)
• Se puede vincular a un dispositivo o comportamiento

entonces todavía se requiere el consentimiento.

Este es uno de los errores de cumplimiento más comunes.

---

5. Por qué el interés legítimo rara vez se aplica aquí

Algunas empresas intentan justificar el seguimiento posterior al rechazo como interés legítimo.

En la mayoría de los casos, esto falla porque:

• El seguimiento no es estrictamente necesario
• Se anulan las expectativas del usuario
• El impacto en la privacidad supera el beneficio empresarial

Los reguladores europeos rechazan sistemáticamente el interés legítimo como base legal para el análisis y el seguimiento de marketing.

---

6. Mejores prácticas: medir sin realizar un seguimiento de las personas

El enfoque más seguro que cumple con GDPR después del rechazo es:

• Detener todo seguimiento a nivel de usuario
• Evite identificadores persistentes
• Utilice métricas operativas de alto nivel
• Separe los registros técnicos de las herramientas de análisis
• Asegúrese de que el comportamiento del sitio no cambie después del rechazo

Si el seguimiento aún se produce después del rechazo, el riesgo de cumplimiento aumenta significativamente.

---

7. Cómo CookiePal aplica el rechazo correctamente

CookiePal garantiza que cuando un usuario rechaza las cookies:

• Todos los scripts no esenciales permanecen bloqueados
• Las etiquetas de análisis y marketing no se activan
• Los estados de consentimiento se aplican en todo el sitio
• El comportamiento de seguimiento coincide con la elección del usuario
• Los registros de consentimiento se almacenan para estar preparados para la auditoría

Esto garantiza que el rechazo en realidad significa rechazo, no un seguimiento parcial.

---

Conclusión final

Rechazar cookies no significa que su sitio web deba dejar de funcionar, pero sí significa que debe dejar de rastrear a los usuarios más allá de lo estrictamente necesario.

GDPR permite un procesamiento operativo limitado, pero los análisis, la publicidad y la elaboración de perfiles requieren un consentimiento explícito. Respetar el rechazo no es sólo un requisito legal: es una señal de confianza.

Con un CMP como CookiePal, puede respetar las elecciones del usuario y al mismo tiempo mantener su sitio web estable, transparente y compatible.

---

Fuentes y referencias

• GDPR Artículo 4(1) y 4(11) – Definición de datos personales y consentimiento
• GDPR Artículo 6 – Bases Legales para el Tratamiento
• GDPR Artículo 7 – Condiciones para un consentimiento válido
• GDPR Considerando 32 – Consentimiento claro y afirmativo
• GDPR Considerando 47 – Limitaciones del interés legítimo
• Directrices 05/2020 sobre el consentimiento del Consejo Europeo de Protección de Datos (EDPB)
• CNIL (Francia) Guía de seguimiento y cookies
• Reino Unido ICO Orientación sobre cookies y tecnologías similares