Tracking previo al consentimiento: qué es y por qué los reguladores lo tratan como una infracción

El tracking previo al consentimiento es una categoría de hallazgo en nuestro escáner. Se activa cuando, entre el inicio de una nueva carga de página y el momento en que el usuario realiza alguna acción sobre el banner de consentimiento, el navegador envía una o más solicitudes de red que transportan identificadores, contienen cargas útiles analíticas no esenciales o establecen cookies no esenciales.

Este es el defecto más habitual que detectamos. En nuestro escaneo de 97.000 sitios web de la UE, la mayoría de las clasificaciones de alto riesgo se debieron al tracking previo al consentimiento, no a la ausencia de banners ni a botones de rechazo defectuosos.

Qué busca el escáner

El detector observa la red desde el momento en que el navegador emite la solicitud del documento hasta que ocurre uno de tres eventos:

1. El usuario hace clic en un botón del banner de consentimiento (aceptar, rechazar, ajustes).
2. Se escribe una cookie o entrada de localStorage mensurable que indica el estado de consentimiento.
3. Transcurre un tiempo de espera (por defecto 8 segundos) sin ninguna señal de consentimiento.

Cualquier solicitud que se dispare en esa ventana se examina en busca de tres señales:

• Huella conocida de rastreador. El dominio de destino, la ruta de la solicitud o el patrón de la carga útil coinciden con una entrada de nuestra base de datos de rastreadores. Esto incluye Google Analytics, Meta Pixel, Hotjar, LinkedIn Insight, TikTok Pixel, los píxeles de conversión de X y muchos otros.
• Carga útil portadora de identificador. La solicitud transporta un identificador de cliente estable (cookie, hash de huella o parámetro de consulta que sobrevive entre páginas).
• Escritura de cookie no esencial. La respuesta establece una cookie que, según la clasificación, no es estrictamente necesaria para el funcionamiento del sitio.

Cualquiera de ellas basta para activar el hallazgo. Las tres juntas son el patrón típico de un contenedor de Google Tag Manager que se dispara antes de la barrera de consentimiento.

El marco jurídico, en breve

No somos su abogado. Los hechos escuetos:

• GDPR Art. 6(1)(a) exige una base jurídica válida para el tratamiento de datos personales. Para los rastreadores no esenciales, esa base es el consentimiento.
• GDPR Art. 7 fija el estándar de cómo debe ser un consentimiento válido: libre, específico, informado, inequívoco y revocable.
• ePrivacy Directive Art. 5(3) exige específicamente el consentimiento antes de almacenar información o acceder a información en el equipo terminal del usuario, es decir, antes de leer o escribir cookies e identificadores similares. Si una solicitud de red previa al consentimiento concreta cruza o no la línea de la infracción depende de si lee o escribe información en el dispositivo, de si transporta identificadores y de si puede justificarse como "estrictamente necesaria"; estas son las cuestiones que los reguladores vienen ponderando.

Las transposiciones nacionales difieren en el detalle. La TTDSG alemana (ahora TDDDG) y la transposición francesa a través de la Loi Informatique et Libertés, aplicada por la CNIL, han producido la práctica sancionadora más visible. Las DPAs de toda la UE han advertido sobre los patrones de tracking previo al consentimiento; los umbrales concretos de aplicación varían según la jurisdicción. El principio subyacente es el mismo en todas partes: primero el consentimiento, después el rastreador.

Qué han hecho realmente los reguladores

Una cronología breve y parcial de decisiones en las que el tracking previo al consentimiento fue el hallazgo central:

• CNIL contra Google (diciembre de 2020): 100 millones de EUR por colocar cookies publicitarias en google.fr sin consentimiento previo.
• CNIL contra Amazon Europe Core (diciembre de 2020): 35 millones de EUR por el mismo patrón en amazon.fr.

No son los únicos casos: son los más relevantes. El patrón en todos ellos es coherente: el regulador midió el comportamiento de la red y trató la realidad técnica como determinante, con independencia del texto de las políticas.

Los scripts que con más frecuencia lo causan

Aproximadamente en el orden en que los vemos como causa principal en un escaneo de alto riesgo:

• Contenedores de Google Tag Manager configurados sin gating de consent mode, o con consent mode mal configurado de modo que el estado por defecto sea "granted".
• Meta Pixel cargado directamente vía <script src> en lugar de bloquearlo tras una llamada de retorno de consentimiento.
• Grabación de sesiones de Hotjar iniciada antes de cerrar el banner.
• LinkedIn Insight para retargeting B2B, especialmente en sitios de agencias y SaaS.
• TikTok Pixel en el comercio electrónico de consumo.
• Implementaciones analíticas de origen propio que leen propiedades de navigator o establecen cookies de fingerprinting antes de cualquier acción del usuario.

El factor común casi nunca es el script en sí, sino su despliegue. Cada uno de estos proveedores publica una forma documentada de condicionar el disparo a una señal de consentimiento; sin embargo, las instrucciones de instalación por defecto suelen no mencionarla.

Cómo es un escaneo limpio

Un sitio que supera nuestra comprobación de pre-consentimiento hace una de estas cosas:

1. No carga ningún tracking de terceros hasta que se da el consentimiento. Las cookies funcionales (sesión, preferencia de idioma, CSRF) están bien.
2. Carga el tag manager en estado "denied", con todas las etiquetas no esenciales bloqueadas tras señales explícitas de consentimiento, y actualiza el estado mediante Google Consent Mode v2 o un mecanismo equivalente después de que el usuario actúe.
3. Carga stubs de rastreador que no transmiten identificadores hasta que se establece el flag de consentimiento.

En nuestro corpus del primer trimestre de 2026 con 97.000 sitios de la UE, el 68 % tenía un servicio de tracking activo antes de cualquier decisión de consentimiento. La minoría de sitios que pasa la comprobación de pre-consentimiento suele compartir un perfil: la red en la ventana previa al consentimiento está dominada por el propio documento, los archivos CSS y de fuentes y un favicon, nada que transporte un identificador fuera del dispositivo.

Cómo solucionarlo

La versión honesta: no hay atajos. Cada etiqueta debe auditarse para comprobar si se dispara antes de que se establezca la señal de consentimiento. Pasos que funcionan en la práctica:

1. Abra el sitio en un perfil de navegador limpio con las herramientas de desarrollo abiertas.
2. Filtre la red por "terceros" y recargue.
3. Todo lo que se dispare antes de que haga clic en un botón del banner es candidato.
4. Para cada candidato, encuentre el cargador (normalmente una etiqueta de script, un disparador del tag manager o un fragmento en línea) y condiciónelo a la señal de consentimiento.
5. Vuelva a probar. Repita hasta que la ventana previa al consentimiento esté vacía de rastreadores.

Si utiliza una plataforma de gestión de consentimiento, su modo "bloquear hasta el consentimiento" es necesario pero no suficiente: muchos CMP solo bloquean la escritura de la cookie, no la solicitud. El Article 5(3) de la ePrivacy Directive exige el consentimiento antes de almacenar información o acceder a información en el dispositivo del usuario (cookies, almacenamiento local, identificadores similares). Si una solicitud de red concreta previa al consentimiento activa esa obligación depende de qué lee la solicitud del dispositivo o qué escribe en él: una cuestión específica de los hechos.

Para un ejemplo trabajado sobre su propio dominio, ejecute un escaneo y consulte el panel "red previa al consentimiento" del informe. Cada solicitud infractora aparece con su pila de iniciador, de modo que pueda rastrearla hasta el archivo fuente en su base de código.