Investigación
We Scanned 97,000 EU Websites for GDPR Compliance. Here's What We Found.
GDPR Privacy Monitor Research · 2026-04-10 · 8 min lectura
Ocho años después de la entrada en vigor del GDPR, decidimos dejar de especular sobre el cumplimiento del consentimiento y medirlo. Dirigimos nuestro escáner a 97.304 sitios web en 25 estados miembros de la UE y registramos exactamente lo que sucede en un navegador real antes, durante y después del consentimiento. No lo que promete la política de privacidad. No lo que informa el panel de control del CMP. Lo que realmente se ejecuta en el navegador cuando un visitante llega por primera vez a una página.
En nuestro conjunto de datos, el rastreo previo al consentimiento fue común: dos tercios de los sitios web de la UE comienzan a rastrear visitantes antes de que ocurra cualquier interacción de consentimiento. Más de la mitad no muestra ningún banner de consentimiento en absoluto. Y cuando los sitios web ofrecen un botón de rechazo, este no logra detener el rastreo el 80% de las veces. Estos no son casos aislados ni tecnicismos. Este es el estado base del cumplimiento del consentimiento en la Unión Europea en 2026.
Metodología: Cómo medimos esto
Antes de profundizar en los hallazgos, importa cómo recopilamos estos datos, porque la metodología determina si números como estos son significativos o engañosos.
La lista de sitios web
Nuestra muestra proviene de la lista Tranco Top 1M, un ranking de dominios de calidad investigativa producido combinando datos de múltiples fuentes de clasificación independientes. Tranco fue diseñado específicamente para resistir la manipulación y proporcionar rankings estables para estudios de medición web, lo que lo convierte en la fuente estándar para investigación web a gran escala. Filtramos dominios asociados con 25 estados miembros de la UE basándonos en TLD de código de país y datos de registro, obteniendo 114.748 URL candidatas. De esas, 97.304 se completaron exitosamente -- el resto falló debido a errores DNS, tiempos de conexión agotados o sitios completamente inaccesibles.
Lo que hace el escáner
Cada escaneo utiliza nuestro motor de escáner de producción: una aplicación Go que controla un navegador Chromium headless completo a través del Chrome DevTools Protocol. Esto no es un scraper HTML estático ni una consulta de base de datos de cookies. Para cada sitio web, el escáner:
1. Lanza una instancia limpia de Chromium sin cookies almacenadas, sin almacenamiento local y sin historial de navegación -- simulando un visitante genuino por primera vez.
2. Navega a la URL objetivo y espera a que la página cargue.
3. Toma una captura pre-consentimiento: cada cookie establecida, cada solicitud de red realizada, cada dominio de terceros contactado -- todo antes de cualquier interacción de consentimiento.
4. Intenta detectar el banner de consentimiento usando una biblioteca que cubre 45 CMP conocidos más heurísticas genéricas.
5. Interactúa con el banner (aceptar o rechazar) y registra el estado post-interacción.
6. Para la prueba del flujo de rechazo: recarga la página y verifica si el rechazo fue respetado o si las cookies reaparecen.
Cada paso produce evidencia con marca de tiempo: inventarios completos de cookies, registros de solicitudes de red y capturas de pantalla. Cuando decimos que un sitio web "activa el rastreo antes del consentimiento", queremos decir que observamos solicitudes HTTP reales a dominios de rastreo conocidos y cookies reales establecidas en el navegador -- no que lo inferimos de una etiqueta de script en el HTML.
Lo que significa "pre-consentimiento" técnicamente
Este es el concepto crítico. El comportamiento pre-consentimiento es todo lo que sucede entre el momento en que la página comienza a cargarse y el momento en que el usuario interactúa por primera vez con un mecanismo de consentimiento. En la práctica, esta ventana es típicamente de 2-5 segundos, pero en muchos sitios se extiende más a medida que la página carga recursos adicionales. Durante esta ventana, el visitante no ha tenido oportunidad de aceptar o rechazar nada. Bajo el Artículo 5(3) de la Directiva ePrivacy (como lo interpretó el CJEU en Planet49, C-673/17), almacenar información en el dispositivo de un usuario o acceder a información ya almacenada requiere consentimiento previo -- excepto para cookies estrictamente necesarias para el servicio solicitado por el usuario. Cualquier cosa no esencial que se active durante esta ventana opera, por definición, sin consentimiento válido.
Hallazgo 1: El rastreo pre-consentimiento es la norma, no la excepción
El número más importante de este estudio: el 68% de los sitios web escaneados activan rastreo de terceros antes de que el usuario haya dado su consentimiento. Estrechamente relacionado: el 66,6% establece cookies antes del consentimiento.
Estas no son las mismas métricas. Un sitio web puede contactar un dominio de rastreo de terceros (disparar un píxel, cargar un script) sin que ese dominio establezca exitosamente una cookie -- por ejemplo, si el navegador bloquea cookies de terceros. A la inversa, una cookie de analítica de primera parte puede establecerse sin contactar un dominio externo. Ambos comportamientos son problemáticos, pero representan diferentes mecanismos técnicos y diferentes exposiciones legales.
La escala de la actividad pre-consentimiento es sustancial:
| Métrica | Valor |
|---|---|
| Promedio de dominios de terceros contactados pre-consentimiento | 10,4 |
| Mediana de dominios de terceros contactados pre-consentimiento | 6 |
| Máximo de dominios de terceros contactados pre-consentimiento | 171 |
La mediana de 6 es posiblemente más informativa que la media. La mitad de todos los sitios escaneados contactan al menos seis dominios externos antes de que el usuario tenga cualquier oportunidad de consentir. Estos no son redes de distribución de contenido ni servidores de fuentes (que excluimos de la clasificación de rastreo). Son plataformas publicitarias, servicios de analítica y corredores de datos.
El desglose de la actividad pre-consentimiento por categoría de cookie revela para qué sirve este rastreo:
| Categoría de cookie | Sitios afectados | % de todos los sitios |
|---|---|---|
| Cookies de analítica establecidas pre-consentimiento | 30.239 | 31,1% |
| Cookies de marketing establecidas pre-consentimiento | 17.793 | 18,3% |
| Rastreadores pre-consentimiento activos (cualquier tipo) | 42.904 | 44,1% |
Casi uno de cada tres sitios web de la UE establece cookies de analítica antes del consentimiento. Casi uno de cada cinco establece cookies de marketing. La posición legal sobre esto es inequívoca: el EDPB ha confirmado repetidamente que las cookies de analítica y marketing requieren consentimiento bajo el Artículo 5(3) ePrivacy. La sentencia Planet49 del CJEU dejó claro que el consentimiento debe ser un acto activo y afirmativo -- y no puede ser afirmativo si aún no ha ocurrido.
La implicación práctica es que para cuando un visitante ve un banner de cookies y considera si aceptar o rechazar, su navegador ya ha sido identificado, su visita ya ha sido registrada por plataformas de analítica y, en muchos casos, su perfil de navegación ya ha sido actualizado por redes publicitarias. La elección de consentimiento, cuando llega, es parcialmente retroactiva -- y el consentimiento retroactivo no es consentimiento en absoluto.
Hallazgo 2: La brecha del banner de consentimiento
Más de la mitad de los sitios web que escaneamos -- 53.508 de 97.304, o 55% -- no mostraron ningún banner de consentimiento que nuestro sistema de detección pudiera identificar.
Este número requiere una interpretación cuidadosa. No todos los sitios sin banner están necesariamente violando la ley. Un sitio web que no establece cookies no esenciales y no contacta servicios de rastreo de terceros puede operar legítimamente sin un mecanismo de consentimiento. La exención ePrivacy para cookies "estrictamente necesarias" significa que un sitio que usa solo cookies de sesión para inicio de sesión o funcionalidad de carrito de compras no tiene obligación de consentimiento para esas cookies específicas.
Pero no es eso lo que observamos. De los 53.508 sitios sin banner detectable, 18.026 están estableciendo activamente cookies no esenciales y contactando dominios de rastreo de terceros. Estos sitios no tienen mecanismo de consentimiento y están rastreando visitantes desde la primera carga de página. No conocemos ninguna base legal válida para esto bajo el GDPR ni la Directiva ePrivacy.
Los sitios restantes sin banner caen en varias categorías: sitios que genuinamente no establecen cookies no esenciales (y por lo tanto pueden no necesitar banner), sitios que usan mecanismos de consentimiento que nuestro sistema de detección no pudo identificar, y sitios que simplemente no son funcionales o son dominios de contenido mínimo. Nuestra biblioteca de detección de 45 CMP más heurísticas genéricas cubre la gran mayoría de las soluciones de consentimiento conocidas, pero implementaciones personalizadas en frameworks o idiomas poco comunes pueden ser pasadas por alto.
Aun así, la cifra de 18.026 es el piso, no el techo, para sitios sin banner con rastreo. Estos son sitios donde tenemos evidencia positiva tanto de actividad de rastreo como de ausencia de banner.
Hallazgo 3: Los botones de rechazo fallan el 80% de las veces
Dedicamos un artículo separado a este hallazgo, pero merece cobertura sustancial aquí porque golpea el corazón del modelo de consentimiento.
De los 28.891 sitios web donde detectamos e interactuamos exitosamente con un botón de rechazo, el 80,4% continuó rastreando después de que el usuario hiciera clic en rechazar. Solo 5.650 sitios (19,6%) pasaron la prueba del flujo de rechazo -- lo que significa que el rastreo realmente se detuvo y permaneció detenido.
Los fallos se desglosan en categorías superpuestas:
| Tipo de fallo | Sitios afectados |
|---|---|
| Cookies no esenciales aún presentes después del rechazo | 10.848 |
| Servicios de rastreo aún activos después del rechazo | 14.547 |
| Reaparición del consentimiento detectada (cookies regresan después de recargar) | 1.642 |
| Cookies individuales que reaparecieron | 4.932 |
La reaparición del consentimiento es un patrón que identificamos durante esta investigación. El usuario hace clic en rechazar, el CMP elimina cookies, y luego en la siguiente carga de página esas cookies reaparecen. En 1.642 sitios, observamos 4.932 cookies individuales exhibiendo este comportamiento. El mecanismo varía -- scripts de terceros que se re-ejecutan independientemente del estado del consentimiento, gestores de etiquetas que no propagan el rechazo a todos los servicios integrados, encabezados Set-Cookie del lado del servidor que ignoran las decisiones de consentimiento del lado del cliente -- pero el efecto es el mismo. El botón de rechazo se convierte en una pausa temporal, no en una elección permanente.
Bajo el Artículo 7(3) del GDPR, la retirada del consentimiento debe ser tan fácil como darlo, y el responsable debe actuar sobre esa retirada. Un botón de rechazo que no detiene realmente el rastreo incumple este requisito independientemente de la causa técnica.
Hallazgo 4: Comparación país por país
El GDPR es una sola regulación, pero el cumplimiento no es uniforme. El porcentaje de sitios web de alto riesgo varía en casi tres a uno entre los estados miembros de la UE.
| País | % Alto riesgo | Puntuación de riesgo promedio |
|---|---|---|
| Hungría | 58,8% | 60,1 |
| Chequia | 55,1% | 59,0 |
| Rumanía | 53,9% | 56,2 |
| Polonia | 53,3% | 56,1 |
| Grecia | 52,5% | 54,9 |
| Italia | 44,6% | 51,8 |
| España | 44,1% | 50,2 |
| Francia | 44,1% | 49,7 |
| Países Bajos | 43,5% | 53,1 |
| Bélgica | 42,1% | 47,4 |
| Dinamarca | 42,1% | 48,3 |
| Finlandia | 40,3% | 46,4 |
| Suecia | 33,4% | 49,0 |
| Alemania | 23,7% | 33,9 |
| Austria | 20,9% | 31,2 |
El patrón es coherente con las diferencias en la actividad de aplicación. Alemania y Austria -- sede del BfDI, dieciséis autoridades de protección de datos estatales y la DSB respectivamente -- han estado entre las autoridades europeas más activas en dirigirse específicamente a las violaciones de consentimiento y cookies. La DSB emitió una de las primeras decisiones de aplicación post-Schrems II. Las autoridades alemanas estatales han realizado auditorías sectoriales de cookies y emitido orientaciones prescriptivas sobre qué constituye un consentimiento válido.
En el otro extremo, Hungría, Chequia, Rumanía y Polonia tienen autoridades de protección de datos que típicamente están subfinanciadas en relación con el tamaño de sus economías digitales y han enfocado históricamente la aplicación en violaciones de datos y solicitudes de acceso en lugar del consentimiento de cookies. Esto no es una crítica a esas autoridades -- operan con los presupuestos que se les asignan -- pero es una demostración clara de que la aplicación impulsa el cumplimiento. El mismo texto legal, aplicado con diferente intensidad de aplicación, produce resultados marcadamente diferentes.
Francia es instructiva. La CNIL ha sido uno de los organismos de aplicación más visibles de Europa, imponiendo multas récord a grandes empresas tecnológicas. Sin embargo, los sitios web franceses se sitúan en el 44,1% de alto riesgo, cerca del promedio de la UE. La explicación probablemente radica en la estrategia de aplicación de la CNIL: las acciones de alto perfil contra grandes plataformas generan titulares pero no cambian directamente el comportamiento de miles de pequeñas y medianas empresas que componen la larga cola del web. El cambio de comportamiento amplio requiere o bien campañas de aplicación sectoriales (como ha perseguido Alemania) o un aumento general del riesgo percibido de aplicación.
Cubrimos los datos por país con mayor profundidad en nuestro artículo de comparación por países.
Hallazgo 5: Cuota de mercado de CMP y lo que nos dice
Entre los 43.796 sitios web (45%) que presentaron un banner de consentimiento detectable, identificamos 45 plataformas de gestión de consentimiento distintas. El mercado está concentrado en la parte superior pero fragmentado en la larga cola.
| CMP | Sitios | Cuota de mercado |
|---|---|---|
| Cookiebot | 6.481 | 14,8% |
| OneTrust | 3.101 | 7,1% |
| Usercentrics | 1.820 | 4,2% |
| Complianz | 1.590 | 3,6% |
| Didomi | 1.472 | 3,4% |
| iubenda | 1.250 | 2,9% |
| Genérico / no identificado | 15.179 | 34,7% |
La categoría individual más grande es "Genérico / no identificado" con el 34,7%. Estos son sitios que usan soluciones de consentimiento que no coincidieron con ninguna de las 45 firmas CMP en nuestra biblioteca de detección. Incluyen barras de cookies personalizadas, plugins de WordPress poco reconocidos, proveedores CMP regionales e implementaciones tan mínimas que consisten en un solo div descartable con un botón de "Entendido". La calidad de cumplimiento de esta categoría es, en promedio, significativamente menor que la de los CMP establecidos, aunque aún no hemos publicado tasas de cumplimiento por CMP.
Los datos de interacción con banners revelan otra preocupación. De los 43.796 banners detectados:
| Característica del banner | Prevalencia |
|---|---|
| Opción de rechazo en la primera capa | 56,3% |
| Sin opción de rechazo visible | 19,6% |
| Incierto (interfaz ambigua) | 24,1% |
Casi uno de cada cinco banners de consentimiento no ofrece forma visible de rechazar cookies no esenciales sin navegar a una segunda capa de configuración. Las Directrices 05/2020 del EDPB sobre consentimiento establecen que rechazar el consentimiento no debería requerir más esfuerzo que darlo. Un diseño que requiere clics adicionales para rechazar pero ofrece aceptación de un clic es, bajo estas directrices, un dark pattern que socava la validez del consentimiento.
También detectamos implementaciones específicas de dark patterns: 3.454 sitios (7,9% de los que tienen banners) colocaron la opción de rechazo solo en una segunda capa, 84 sitios emplearon muros de cookies (bloqueando contenido hasta el consentimiento), y 137 sitios exhibieron evasión de consentimiento por bots -- ocultando deliberadamente el banner de escáneres automatizados mientras lo muestran a visitantes humanos.
Hallazgo 6: Abuso de la duración de vida de las cookies
La CNIL recomienda una duración de vida máxima de cookies de 13 meses, un estándar que varias otras autoridades nacionales de protección de datos han adoptado o referenciado. Este no es un límite legal estricto en el texto del GDPR, pero refleja una interpretación del principio de limitación del almacenamiento (Artículo 5(1)(e)) aplicado a identificadores de rastreo.
Nuestro escaneo encontró 26.250 sitios web (27%) con al menos una cookie excediendo el umbral de 13 meses, comprendiendo 58.127 cookies individuales en total.
El infractor más común es la cookie `_ga` usada por Google Analytics, que se establece con una duración de vida predeterminada de dos años. Esto significa que incluso sitios web con mecanismos de consentimiento por lo demás funcionales están frecuentemente en violación simplemente porque no han modificado la expiración predeterminada de la cookie GA. Es un problema de configuración, no una limitación técnica -- Google Analytics permite duraciones de vida de cookies personalizadas -- pero el valor predeterminado no es conforme con las recomendaciones del EDPB, y la mayoría de los operadores de sitios nunca lo cambian.
Las cookies de larga duración crean un riesgo de privacidad acumulativo. Una cookie de dos años no es solo "un poco más larga que 13 meses". Significa que un usuario que visita un sitio una vez, consiente y nunca regresa puede seguir siendo identificado y rastreado por la analítica de ese sitio durante dos años. Si el usuario posteriormente revoca el consentimiento o la base legal cambia, la cookie persiste como un identificador fantasma hasta que expira.
Hallazgos adicionales
Varios otros hallazgos del estudio merecen mención breve:
Huella digital. Detectamos señales de huella digital del navegador (huella digital de canvas, huella digital de WebGL, huella digital de contexto de audio) en 4.114 sitios web (4,2%). La huella digital es particularmente preocupante porque no puede eliminarse borrando cookies -- usa características inherentes del navegador y del dispositivo como identificadores. La Directiva ePrivacy trata la huella digital como equivalente al rastreo basado en cookies a efectos de consentimiento. Discrepancias de Google Consent Mode. Entre los sitios que implementan Google Consent Mode, el 28,4% lo estaban usando, mientras que el 13,7% de los sitios que usan servicios de Google no mostraron implementación de Consent Mode. Más preocupante, el 11,9% mostró discrepancias -- el estado de consentimiento reportado a la API de Google no coincidía con el comportamiento de rastreo real observado en el navegador. Esto significa que el CMP dice a Google que el consentimiento fue denegado, pero las solicitudes de rastreo siguen disparándose. Accesibilidad. Los banners de consentimiento son elementos de interfaz legalmente requeridos, y si son inaccesibles, un segmento de usuarios no puede ejercer sus derechos. Entre los banners detectados: 25% tenían objetivos táctiles por debajo de los tamaños mínimos recomendados, 15,2% tenían texto de bajo contraste y 3,4% no eran accesibles por teclado. Un banner que no puede operarse con teclado efectivamente niega la elección de consentimiento a usuarios que dependen de tecnología asistiva -- una violación que intersecta tanto con el GDPR como con las regulaciones de accesibilidad.Distribución general de riesgo
Reuniéndolo todo, la clasificación de riesgo agregada de los 97.304 sitios escaneados:
| Nivel de riesgo | Porcentaje |
|---|---|
| Alto riesgo | 41,0% |
| Bajo riesgo | 27,6% |
| Riesgo medio | 16,8% |
| No concluyente | 14,9% |
La tasa del 14,9% no concluyente refleja sitios donde el escáner no pudo alcanzar una determinación confiable -- típicamente debido a detección de bots, arquitecturas complejas de aplicaciones de página única o comportamiento dependiente del tiempo. Reportamos estos honestamente en lugar de forzarlos en una clasificación de aprobado/reprobado, porque la falsa confianza en datos de cumplimiento es peor que la incertidumbre admitida.
Lo que esto significa para los propietarios de sitios web
Si opera un sitio web que sirve a visitantes de la UE, cuatro acciones abordan los hallazgos más comunes y de mayor riesgo:
1. Audite lo que se carga antes del consentimiento. Abra su sitio en una ventana de navegación privada, abra las herramientas de desarrollo y observe las pestañas de Red y Aplicación antes de interactuar con cualquier banner. Si ve solicitudes a dominios de analítica o publicidad, o cookies de esos servicios apareciendo, su comportamiento pre-consentimiento no es conforme. La solución es típicamente la configuración del gestor de etiquetas: asegúrese de que los scripts no esenciales estén bloqueados hasta que se registre un consentimiento afirmativo. 2. Pruebe su flujo de rechazo de extremo a extremo. Haga clic en rechazar en su propio banner, luego verifique si las cookies no esenciales desaparecieron. Luego recargue la página y verifique de nuevo. Si las cookies reaparecen, tiene un problema de reaparición del consentimiento que requiere investigar qué scripts evaden su mecanismo de consentimiento. Nuestros datos muestran que esto afecta a un número sorprendentemente grande de sitios, incluso aquellos que usan CMP reputados. 3. Verifique las duraciones de vida de sus cookies. Si usa Google Analytics con configuración predeterminada, su cookie `_ga` tiene una duración de vida de dos años. Cámbiela a 13 meses o menos. Revise todas las cookies que su sitio establece y asegúrese de que ninguna exceda el máximo recomendado de 13 meses. Este es un arreglo de configuración rápido que elimina un hallazgo de cumplimiento común. 4. Asegúrese de que su banner sea accesible y ofrezca rechazo en la primera capa. Si su opción de rechazo requiere navegar a una segunda página de configuración mientras que "Aceptar todo" es un clic, su mecanismo de consentimiento puede no cumplir con las directrices del EDPB. Revise el banner para accesibilidad por teclado, tamaño de objetivos táctiles y ratios de contraste.Notas metodológicas y limitaciones honestas
Queremos ser transparentes sobre lo que este estudio puede y no puede decirle.
Lo que mide bien: Comportamiento pre-consentimiento, inventarios de cookies, solicitudes de red a dominios de rastreo conocidos, presencia y estructura de banners, resultados del flujo de rechazo y duraciones de vida de cookies. Estas son mediciones objetivas, basadas en evidencia, registradas del comportamiento real del navegador. Lo que mide imperfectamente: La detección de CMP no es 100% exhaustiva. Los sitios que usan soluciones de consentimiento no incluidas en nuestra biblioteca de 45 CMP pueden ser mal categorizados como sin banner. Los banners dependientes de GeoIP pueden mostrarse diferentemente según la ubicación de red del escáner. Las aplicaciones de página única que gestionan el consentimiento en estado del lado del cliente sin cambios DOM son más difíciles de evaluar. Algunos sitios detectan navegadores automatizados y alteran su comportamiento en consecuencia (encontramos 137 haciéndolo deliberadamente). Lo que no mide: Reclamaciones de interés legítimo (que requieren evaluación legal en lugar de técnica), la calidad de las políticas de privacidad, si los registros de consentimiento se almacenan correctamente o si las actividades de tratamiento de datos son proporcionadas. Estas son dimensiones de cumplimiento importantes que no son observables solo desde el comportamiento del navegador.La tasa del 14,9% no concluyente es nuestra válvula de seguridad para sitios donde no pudimos alcanzar una determinación técnica confiable. Preferimos la incertidumbre honesta a la falsa precisión.
Verifique su propio sitio web. Ejecute un escaneo gratuito en gdprmonitor.eu y vea exactamente qué sucede antes, durante y después del consentimiento en su sitio. El escáner produce la misma evidencia mostrada en este estudio -- capturas pre-consentimiento, inventarios de cookies, resultados del flujo de rechazo y clasificación de riesgo -- para cualquier URL que envíe.
Comprueba tu sitio web
Ejecuta un análisis gratuito de cumplimiento del RGPD — sin registro.
Escanea tu sitio web gratis