Conformidad & RGPD

Cómo auditar la conformidad RGPD de tu sitio web en 2026

Tener un banner de cookies no prueba nada. La conformidad RGPD de un sitio se constata en el navegador: qué se activa antes del mínimo clic, y qué pasa de verdad cuando se rechaza. Así auditas tu sitio — a mano, luego en 90 segundos.

Fred Gaveau28 de junio de 2026~9 min de lectura

La mayoría de los sitios que auditamos muestran un banner y se creen en regla. Sin embargo, en la mayoría de los casos, hay rastreadores — Google Analytics, Meta Pixel, retargeting — que se activan antes de que el visitante haya hecho clic en nada, o siguen funcionando tras un rechazo. El banner tranquiliza, pero no bloquea nada. Una auditoría RGPD sirve exactamente para medir esa brecha entre lo que crees y lo que tu sitio hace realmente.

Qué verifica realmente una auditoría RGPD

Una auditoría útil no lee tu aviso legal: observa el comportamiento técnico de la página. Los puntos a controlar:

Rastreadores antes del consentimiento — qué cookies y scripts se activan al cargar, antes de cualquier acción del visitante.
Efectividad del rechazo — tras un clic en « Rechazar », ¿los rastreadores de marketing se detienen de verdad, o solo desaparece el banner?
Transferencias fuera de la UE — a qué servidores y CDN se van los datos (a menudo Estados Unidos, sin garantías).
Banner de consentimiento — presencia, y sobre todo simetría « Aceptar » / « Rechazar ».
Google Consent Mode v2 — ¿bien configurado, o en modo « concedido por defecto »?
Rastreadores enmascarados (CNAME cloaking) — soplones disfrazados de subdominio first-party.

Es exactamente lo que enumera nuestra auditoría RGPD gratuita: carga tu página como un visitante real y recorre tres fases — antes del consentimiento, tras la aceptación, tras el rechazo.

El método manual: 10 minutos con las DevTools

Puedes hacer una primera constatación tú mismo, sin herramientas. Abre tu sitio en navegación privada, luego las herramientas de desarrollo del navegador (F12):

Pestaña « Application » → Cookies: recarga la página sin tocar el banner. Cualquier cookie que no sea de las estrictamente necesarias (carrito, sesión, seguridad, la propia cookie de consentimiento) no debería estar ahí.
Pestaña « Network »: localiza los dominios de terceros. ¿Ves llamadas a google-analytics.com, facebook.net o doubleclick.net antes de tu clic? Eso es una brecha.
Haz clic en « Rechazar » y recarga: ¿vuelven las mismas llamadas? Si es así, tu rechazo no es efectivo.

Este método es fiable pero tedioso, y se le escapan los rastreadores enmascarados por CNAME cloaking o los activados con retardo. De ahí el interés de un escaneo automático.

Para recordar

La conformidad no se lee en una política de privacidad: se constata en el navegador, antes del clic y tras un rechazo. Si un rastreador de marketing se ejecuta en una de esas dos fases, tienes una brecha que corregir.

El método automático: 90 segundos

Nuestra herramienta repite esas tres fases por ti y produce un informe legible: brechas observadas, rastreadores detectados, transferencias fuera de la UE, estado del banner, Consent Mode. Es gratuita, sin registro, y no conserva ningún informe (todo vive como máximo dos minutos en memoria, desde Francia).

Lanza la auditoría RGPD de tu sitio →

Leer el resultado: las brechas más frecuentes

Cuatro constataciones se repiten casi siempre:

Analytics antes del consentimiento — Google Analytics cargado en el primer render. Es la brecha n.º 1; ver también nuestro artículo sobre el coste SEO del banner de cookies.
Rechazo inoperante — el banner se cierra pero los píxeles siguen. En Shopify es casi sistemático: cómo demostrarlo en cinco minutos.
Píxeles publicitarios — Meta, TikTok, Google Ads, a menudo colocados por un tag manager.
Dependencias fuera de la UE — CDN y fuentes alojados en Estados Unidos, que exponen la IP de tus visitantes.

Corregir: por dónde empezar

La lógica no es « pedir mejor el consentimiento », sino reducir lo que lo hace necesario. Tres principios:

Separa los usos: la medición de audiencia por un lado, el marketing por otro. Una herramienta de medición que ni lee ni escribe nada en el dispositivo no activa la obligación de consentimiento (artículo 5(3) de la directiva ePrivacy).
Bloquea antes del clic: ningún rastreador no esencial debe ejecutarse mientras el visitante no haya aceptado, y un rechazo debe cortarlos de verdad.
Elige herramientas que no abran el debate: una analítica sin cookie ni identificador persistente saca la medición de audiencia de la ecuación del consentimiento. Es el enfoque de Snorklee — sin banner, sin cookie.

Una auditoría es una constatación técnica indicativa, no un asesoramiento jurídico: puede contener falsos positivos. Para una decisión, hazla validar por un DPO o un abogado.

Más allá del RGPD: la soberanía

Ser « conforme » no dice nada sobre adónde van tus datos. Un sitio puede respetar el RGPD y depender por completo de servicios estadounidenses. Para cartografiar esas dependencias, completa la auditoría RGPD con nuestro checker de soberanía: revela qué terceros exponen a tus visitantes fuera de la UE y propone alternativas europeas.

En resumen

Auditar tu sitio no es releer tus condiciones: es abrir el navegador y mirar qué se activa antes del clic y tras un rechazo. Hazlo a mano para entender, luego automatízalo para seguirlo en el tiempo.

Audita gratis la conformidad RGPD de tu sitio →

FAQ

¿Cómo auditar la conformidad RGPD de tu sitio?
Abre tu sitio en navegación privada e inspecciona, en las DevTools, las cookies y peticiones de red activadas antes de cualquier clic y tras un rechazo: solo deben aparecer los elementos estrictamente necesarios. Una herramienta de auditoría automatiza esta constatación en las tres fases (antes del consentimiento, tras la aceptación, tras el rechazo).

¿La auditoría RGPD es gratuita?
Sí. La auditoría de Snorklee es 100 % gratuita, sin registro, y muestra un informe en unos 90 segundos. No se conserva ningún informe: vive como máximo dos minutos en memoria y luego se borra.

¿Basta un banner de cookies para ser conforme?
No. Un banner que no impide que los rastreadores se activen antes del clic — o que no los corta tras un rechazo — no te hace conforme. La conformidad se constata en el comportamiento técnico de la página, no en la presencia de un banner.

¿Qué verifica una auditoría RGPD de un sitio web?
Los rastreadores colocados antes del consentimiento, la efectividad del rechazo, las transferencias de datos fuera de la UE, la presencia y simetría del banner, la configuración de Google Consent Mode v2 y los rastreadores enmascarados por CNAME cloaking.

Publicado en junio de 2026. Marco jurídico: artículo 5(3) de la directiva 2002/58/CE (ePrivacy) — información general, no un asesoramiento jurídico individualizado. Una auditoría automatizada es indicativa y puede contener falsos positivos o falsos negativos.