El rastreo digital que no ves: cómo la ICO reescribió las reglas del juego
La Oficina del Comisionado de Información del Reino Unido (Information Commissioner's Office, ICO) publicó en abril de 2026 una actualización sustancial de su guía sobre el uso de tecnologías de almacenamiento y acceso (storage and access technologies, SATs), acompañada de una evaluación de impacto regulatorio que cifra en torno a 43.000 los proveedores de servicios en línea directamente afectados. El documento es mucho más que una revisión editorial de la normativa anterior de 2019 sobre cookies: constituye un reposicionamiento doctrinal completo sobre cómo se regula —y cómo debe regularse— el ecosistema del rastreo digital en el ordenamiento jurídico británico post-Brexit.
El análisis que sigue recorre la arquitectura regulatoria de esta guía, sus implicaciones para el sector, las tensiones normativas que subyacen al texto y los elementos de fricción que la propia evaluación de impacto reconoce sin resolver del todo. Quien espere un documento de mera orientación técnica quedará sorprendido: la guía ICO 2026 es, en realidad, una declaración de posición regulatoria sobre uno de los espacios de mayor litigiosidad comercial y jurídica de la economía digital.
De las cookies a las SATs: un cambio de denominación que no es inocente
La decisión de abandonar el rótulo "cookies y tecnologías similares" en favor del concepto amplio de storage and access technologies no es cosmética. Responde a una realidad técnica que la guía de 2019 ya no capturaba con fidelidad. El ecosistema de rastreo web ha evolucionado de forma acelerada: los navegadores principales han restringido progresivamente el uso de cookies de terceros, lo que ha impulsado a los operadores hacia alternativas técnicas que realizan las mismas funciones económicas —el perfilado y la segmentación publicitaria— mediante mecanismos distintos.
La guía ICO 2026 cataloga estas tecnologías con precisión: píxeles de seguimiento (tracking pixels), decoración de enlaces y rastreo de navegación (link decoration and navigational tracking), scripts y etiquetas (scripts and tags), almacenamiento web (web storage) y huella digital del dispositivo (device fingerprinting). Ninguna de ellas es nueva, pero la guía anterior las trataba como apéndice de las cookies; ahora todas reciben peso normativo equivalente.
Lo que resulta llamativo es la magnitud de su penetración. Los datos de la evaluación de impacto son elocuentes: se estima que hasta el 73% de los sitios web en el Reino Unido utilizan decoración de enlaces, que el 54% emplea almacenamiento web, y que alrededor de 13.905 proveedores utilizan scripts y etiquetas. Estas cifras contrastan con el escaso 9,2% que, según la UK Business Data Survey, declara usar cookies para recopilar datos personales —lo que sugiere que la mayoría de los operadores no identifican su uso de SATs como uso de cookies, produciendo una brecha entre la realidad técnica y la percepción de cumplimiento.
Aquí es donde el análisis se complica. Si un número significativo de operadores no reconoce sus propias prácticas de rastreo como sujetas a la regulación 6 PECR (Privacy and Electronic Communications Regulations), el problema no es solo de cumplimiento sino de comprensión regulatoria. La guía intenta atajar esto mediante una taxonomía clara y ejemplos de buenas y malas prácticas —lo que la ICO denomina diseños de consentimiento "buenos" y "malos"—, pero el éxito de este esfuerzo depende de que los operadores lean, comprendan y apliquen un documento de más de 22.500 palabras.
La arquitectura jurídica: PECR, UK GDPR y la DUAA como triple hélice normativa
El marco jurídico que articula la guía descansa sobre tres pilares normativos que interactúan de forma compleja: la regulación 6 PECR, el UK GDPR y la Data (Use and Access) Act (DUAA) de 2025. La interacción entre estas normas constituye el núcleo doctrinal más relevante del documento y merece un análisis detenido.
La regulación 6 PECR establece la regla base: ninguna entidad puede almacenar información en el equipo terminal de un usuario, ni acceder a información ya almacenada, sin que el usuario haya dado su consentimiento previo, salvo que el almacenamiento o acceso sea estrictamente necesario para prestar el servicio solicitado. Esta estructura —prohibición general con excepción de necesidad— ha sido el eje de la regulación de cookies desde la transposición de la Directiva ePrivacy al ordenamiento británico. La DUAA de 2025 amplía las excepciones de forma significativa: ahora pueden realizarse sin consentimiento previo ciertas operaciones de almacenamiento y acceso destinadas a la recopilación de información estadística o a la mejora de la funcionalidad del servicio web.
Dicho esto, la ampliación de excepciones no opera en el vacío. El UK GDPR sigue siendo aplicable cuando el uso de SATs implica el tratamiento de datos personales —y la guía es clara al señalar que casi todas las SATs activan este umbral—. Esto significa que la eliminación del requisito de consentimiento PECR para ciertos usos estadísticos no exime al operador de la obligación de identificar una base jurídica válida bajo el UK GDPR, ni de cumplir los principios de minimización de datos, limitación de finalidad y transparencia.
La DUAA introduce además una habilitación para que el Gobierno añada nuevas excepciones a la regulación 6 PECR mediante normativa secundaria. La evaluación de impacto reconoce que el Gobierno está explorando actualmente si crear una excepción para determinadas finalidades publicitarias en línea. Esto sitúa a la guía en una posición peculiar: es un documento que regula un régimen jurídico en transición, con sectores enteros —especialmente el de la publicidad programática— esperando a ver si el Ejecutivo establece excepciones que cambiarían radicalmente el panorama de cumplimiento.
Aquí la ICO adopta una posición que merece atención: la guía no prejudica el resultado de esa revisión legislativa, pero tampoco suspende sus expectativas regulatorias en el entretanto. Los operadores deben cumplir la normativa vigente; cualquier excepción futura será exactamente eso, futura. Esta postura puede interpretarse como rigor jurídico —la ley es la ley hasta que cambie— pero también genera incertidumbre legítima para quienes tienen que tomar decisiones de inversión en sistemas de gestión de consentimiento ahora.
El ecosistema de intermediarios: 840 vendedores, 500 activos, una cadena de responsabilidad difusa
Uno de los elementos más interesantes de la evaluación de impacto es su caracterización del ecosistema de intermediarios. La ICO estima que alrededor de 500 empresas operan como intermediarias en el mercado del rastreo digital en el Reino Unido —entre servidores de anuncios (ad-servers), plataformas de demanda y oferta (DSPs y SSPs), servicios de verificación publicitaria, plataformas de gestión de datos y consentimiento, ad exchanges y redes publicitarias—.
Lo que resulta llamativo es la brecha entre la cifra que proporciona la IAB (840 vendedores registrados) y la estimación central de la ICO (500 intermediarios activos). Esta diferencia no es un detalle menor: implica que la ICO trabaja con una imagen incompleta del ecosistema que pretende regular. La evaluación de impacto reconoce esta limitación explícitamente, señalando que la cuantificación del grupo de intermediarios es "difícil de determinar" dada la escasez de datos robustos.
Este problema de visibilidad tiene consecuencias normativas directas. Investigaciones recientes revelan que, en promedio, más de 80 terceros acceden a los datos de un usuario en los segundos posteriores a que este abre una página web. Esta escala y complejidad del acceso de terceros hace extremadamente difícil que el usuario comprenda qué entidades están implicadas cuando presta su consentimiento —uno de los requisitos fundamentales de la validez del consentimiento tanto bajo PECR como bajo UK GDPR—.
La guía aborda esta cuestión mediante el refuerzo de la claridad informativa y los ejemplos de diseño de consentimiento; pero la solución informacional tiene límites estructurales cuando el propio ecosistema es opaco incluso para la autoridad reguladora. No parece que la ICO esté en condiciones de garantizar que un usuario que acepta cookies en un sitio de noticias comprende realmente que está autorizando el acceso de decenas de terceros que procesarán su información con fines publicitarios.
Los datos del lado del usuario: 57 millones de personas y una paradoja de comportamiento
La evaluación de impacto incluye datos de comportamiento de los usuarios británicos que merecen reflexión detenida. Según investigación comisionada por la propia ICO, el 48% de los adultos en el Reino Unido acepta las cookies cuando visita un nuevo sitio web, mientras que el 21% las rechaza y el 24% decide en función del sitio. Estos datos contrastan con otro hallazgo del mismo estudio: el 40% de los adultos nunca lee las preferencias de cookies o la política de privacidad cuando visita sitios nuevos.
Esta tensión revela lo que la literatura especializada denomina la privacy paradox: los usuarios manifiestan preocupación por su privacidad pero su comportamiento no refleja esa preocupación en las elecciones concretas. La ICO reconoce el fenómeno: el 44% de los adultos encuestados reporta compartir más información personal de la que desearía al menos una vez por semana, mientras que el 56% preferiría proporcionar menos información y recibir menos publicidad.
Ahora bien, este dato no es solo sociológico; tiene implicaciones jurídicas directas. Si los usuarios aceptan cookies de forma habitual sin leer la información que se les proporciona, cabe preguntarse si el consentimiento otorgado en esas condiciones es verdaderamente libre, específico, informado e inequívoco tal como exige el UK GDPR. La guía ICO refuerza los requisitos de diseño de los mecanismos de consentimiento —incluyendo la prohibición de los dark patterns y la exigencia de que rechazar sea igual de fácil que aceptar—, pero no aborda directamente esta cuestión de fondo: si la asimetría cognitiva entre operadores y usuarios es estructuralmente tan pronunciada, ¿puede el consentimiento individual servir como mecanismo de protección suficiente?
El dato sobre menores añade una capa adicional de complejidad. Investigaciones referenciadas en el documento señalan que tanto el encuadre como el lenguaje de las solicitudes de consentimiento frecuentemente supera la comprensión de los niños. La guía no desarrolla un régimen específico para menores en el ámbito de las SATs —algo que otros marcos regulatorios, como el Children's Code del propio ICO, han abordado con mayor precisión—.
Nuevas excepciones PECR y su alcance real bajo la DUAA
El capítulo más novedoso de la guía reformada es el dedicado a las excepciones a la obligación de consentimiento introducidas por la DUAA. Conviene distinguir con precisión qué cambia y qué permanece.
Las nuevas excepciones permiten el uso de SATs sin consentimiento previo cuando el almacenamiento o acceso se produce con fines estadísticos orientados a mejorar la funcionalidad del servicio. Esta excepción responde a una demanda articulada del sector: la analítica web básica —saber cuántos usuarios visitan una página, cuánto tiempo permanecen, desde qué dispositivos acceden— no debería requerir el mismo nivel de intervención del usuario que la publicidad comportamental personalizada.
Sin embargo, la excepción tiene contornos estrechos. La guía explica con claridad que "estadístico" no equivale a "cualquier análisis de datos": la finalidad debe ser genuinamente estadística, no servir como vector para el perfilado individualizado. Y cuando el uso de SATs para esos fines estadísticos implica el tratamiento de datos personales —lo que casi siempre ocurrirá si el análisis es individualizable—, el UK GDPR exige identificar una base jurídica independiente, siendo la más probable el interés legítimo del responsable del tratamiento, sujeto al correspondiente test de equilibrio de intereses.
El resultado práctico es que la nueva excepción PECR no elimina la carga regulatoria; la desplaza. Los operadores que antes necesitaban obtener consentimiento para estas funciones ahora pueden eludirlo bajo PECR, pero deben reforzar su documentación bajo UK GDPR para acreditar la legitimidad del tratamiento. Para muchas organizaciones, este desplazamiento puede no representar un alivio sustancial.
La DUAA también habilita al Ejecutivo a añadir excepciones futuras mediante normativa secundaria. La evaluación de impacto señala que el Gobierno está evaluando si crear excepciones para algunas finalidades de publicidad en línea. La ICO indica que emitirá una carta de asesoramiento (letter of advice) al Gobierno en primavera de 2026 sobre este particular. Esto significa que el ecosistema de la publicidad programática opera en una suerte de limbo regulatorio: el régimen actual exige consentimiento para la publicidad comportamental, pero existe la posibilidad política de que este requisito se module o elimine parcialmente en un futuro próximo.
El modelo consent or pay: un problema de diseño de mercado
La evaluación de impacto aborda, aunque con cautela, la proliferación de modelos de consentimiento o pago (consent or pay) en el Reino Unido, liderada principalmente por editores de noticias. Estos modelos presentan al usuario una alternativa binaria: aceptar el rastreo publicitario o pagar una suscripción para acceder al contenido sin publicidad personalizada.
La ICO había publicado una guía específica sobre consent or pay en 2024. La evaluación de impacto reconoce que estos modelos se han desarrollado en parte como respuesta a la caída en las tasas de cookie matching —la sincronización de identidades de usuario entre plataformas— derivada de las restricciones de navegadores como Safari y Firefox, y de la incertidumbre en torno al futuro de Chrome en este ámbito.
Lo que resulta problemático desde el punto de vista jurídico es que el modelo consent or pay plantea una pregunta fundamental sobre la voluntariedad del consentimiento. Si el acceso al servicio está condicionado a la aceptación del rastreo, ¿es el consentimiento realmente libre? El CEPD (Comité Europeo de Protección de Datos) se ha pronunciado sobre esta cuestión en el contexto del RGPD con relación a Meta, señalando que el modelo puede ser compatible con la protección de datos en determinadas circunstancias pero sujeto a condiciones estrictas. En el Reino Unido post-Brexit, la ICO tiene margen para adoptar una posición distinta —más permisiva o más restrictiva—, y la guía 2026 no cierra definitivamente este debate, aunque el tono general apunta hacia una tolerancia condicionada.
La evaluación de impacto señala que una mayor adopción de estos modelos podría trasladar costes a los consumidores y generar fricciones adicionales. Algunos respondentes al proceso de consulta alertaron sobre el riesgo de tasas de rebote más elevadas en servicios que implementen consent or pay, lo que afectaría a sus modelos de negocio. Este dato ilustra una tensión estructural que ninguna guía puede resolver por sí sola: el ecosistema de publicidad digital en línea se ha construido sobre una base de datos personales obtenidos con consentimientos de dudosa calidad, y cualquier esfuerzo por elevar ese estándar tendrá consecuencias económicas distribuidas de forma desigual.
La evaluación de impacto como instrumento de transparencia regulatoria
Desde el punto de vista del análisis regulatorio, la evaluación de impacto que acompaña a la guía ICO merece reconocimiento por su honestidad metodológica. El documento es explícito sobre las limitaciones del análisis: la escasez de datos robustos sobre el uso de SATs, la dificultad de cuantificar grupos afectados, la imposibilidad de monetizar muchos de los impactos identificados.
Los costes para las organizaciones se estructuran en tres categorías. En primer lugar, costes de familiarización: la ICO estima 176 libras por lectura individual de la guía por un responsable de protección de datos, y asume como indicativo que una organización podría necesitar tres lecturas de la guía, con un coste total de 528 libras. En segundo lugar, costes de implementación de cambios en procesos y sistemas técnicos, que la evaluación reconoce que serán muy variables entre organizaciones —una respondente estimó costes adicionales de entre 150.000 y 275.000 libras en 12-18 meses para su organización—. En tercer lugar, posibles reducciones de ingresos para operadores que dependan de la publicidad comportamental y que vean incrementarse las tasas de rechazo de SATs.
Los beneficios identificados son igualmente reales pero más difíciles de cuantificar. La reducción de costes de asesoramiento externo —estimada en 1.278 libras anuales por organización equivalentes a cuatro horas de asesoramiento jurídico—, la reducción de riesgos de sanciones futuras, la mejora reputacional asociada a prácticas más transparentes y la reducción de daños para los usuarios. La evaluación concluye que el impacto neto es moderadamente positivo, con beneficios a largo plazo que superan los costes a corto plazo.
Esta conclusión es razonable pero no exenta de controversia. Varios respondentes al proceso de consulta señalaron que la evaluación subestima los costes, particularmente para pequeñas y medianas empresas. La guía se aplica indistintamente a un gigante tecnológico global y a una pyme con presencia en línea, aunque la carga de cumplimiento real recaiga de forma desproporcionada sobre los segundos.
Lo que la guía no resuelve: preguntas abiertas con consecuencias reales
Conviene ser precisos sobre lo que esta guía no cierra, porque esas zonas de indeterminación son las que generarán la litigiosidad futura.
La primera es la interacción entre las excepciones PECR ampliadas por la DUAA y los requisitos del UK GDPR cuando el uso de SATs para fines estadísticos implica datos personales de categorías especiales. La guía reconoce que hay casos en que el acceso a una página web puede revelar información sensible —el ejemplo del usuario que visita el sitio de una organización benéfica dedicada a una condición médica es ilustrativo—, pero no desarrolla criterios específicos para gestionar estas situaciones.
La segunda zona abierta es la responsabilidad en cadena cuando el operador del sitio web utiliza SATs de terceros que acceden a los datos del usuario sin que el operador controle plenamente qué hacen con esa información. La guía señala que el uso de estas tecnologías puede implicar responsabilidad conjunta (joint controllership) bajo UK GDPR, pero las modalidades prácticas de distribuir esa responsabilidad en un ecosistema donde decenas de terceros tienen acceso simultáneo a los datos de un usuario siguen siendo extraordinariamente complejas.
La tercera cuestión es el tratamiento de los menores. La guía no establece un régimen diferenciado, a pesar de que la evidencia que cita sobre la incomprensión de la información de privacidad por parte de niños y adolescentes apunta claramente a la necesidad de un marco específico. Esta laguna puede interpretarse como una decisión deliberada de no sobrecargar el documento, o como una deferencia implícita al Children's Code, pero en cualquier caso deja un espacio normativo sin clarificar.
Conclusiones: una guía que regula el presente mientras legisla el futuro
La guía ICO sobre tecnologías de almacenamiento y acceso de 2026 es un documento jurídicamente robusto que cumple su objetivo declarado: proporcionar certeza regulatoria actualizada sobre un ecosistema tecnológico en transformación acelerada. La ampliación del catálogo de SATs reguladas, la incorporación de las excepciones DUAA, el enfoque must/should/could y los ejemplos de diseño de consentimiento representan avances concretos respecto a la versión de 2019.
Dicho esto, la guía opera en un contexto de incertidumbre regulatoria estructural que ella misma reconoce. El Gobierno puede modificar las excepciones PECR. El modelo consent or pay sigue siendo jurídicamente ambiguo. La responsabilidad en cadena en el ecosistema publicitario permanece sin reglas claras. Y la pregunta de fondo —si el paradigma del consentimiento individual es el mecanismo adecuado para regular un ecosistema de rastreo masivo y opaco— sigue sin respuesta doctrinal.
Para los operadores, la lectura práctica es clara: la ICO ha marcado el estándar, ha documentado sus expectativas y ha señalado que su programa de supervisión del rastreo en línea continúa activo. Los datos de cumplimiento citados en la evaluación —el 95% de los 1.000 sitios web más visitados ya ofrece la posibilidad de rechazar cookies con la misma facilidad que aceptarlas— demuestran que la presión regulatoria produce resultados. Pero eso es el mínimo. La guía 2026 eleva el listón: claridad informativa real, diseño de consentimiento genuinamente libre y responsabilidad activa sobre todas las SATs utilizadas, no solo sobre las cookies.
Para los juristas y responsables de protección de datos, el documento es una referencia de trabajo ineludible, no solo por su contenido normativo sino por la metodología que emplea: una evaluación de impacto detallada, con limitaciones metodológicas explicitadas, que puede servir de modelo para otras autoridades regulatorias europeas que enfrentan el mismo desafío de actualizar marcos normativos en un ecosistema tecnológico que siempre corre más rápido que el derecho.
Accede al documento completo:
Puedes descargar la evaluación de impacto completa publicada por la ICO en abril de 2026 con el botón de descarga de este artículo.
Puntos clave para el profesional:
- Las SATs reguladas van mucho más allá de las cookies: device fingerprinting, almacenamiento web, decoración de enlaces y scripts tienen el mismo tratamiento normativo.
- Las nuevas excepciones PECR (DUAA) no eliminan las obligaciones UK GDPR: desplazan el eje del cumplimiento hacia la legitimación del tratamiento de datos.
- El Gobierno puede añadir excepciones publicitarias futuras: ninguna decisión de inversión en sistemas de consentimiento debería ignorar esta variable.
- La estimación de 43.000 proveedores afectados es probablemente conservadora dado el bajo reconocimiento del uso de SATs por parte de los propios operadores.
- La responsabilidad de los intermediarios —500 empresas estimadas— sigue siendo uno de los flancos jurídicos menos desarrollados del marco regulatorio.
- El acceso de más de 80 terceros a los datos de un usuario en segundos tras abrir una página web hace que la calidad del consentimiento individual sea, estructuralmente, una pregunta abierta.
Artículos relacionados
Crossover RGPD y LOPDGDD V.3.0: guía de referencia con 800 enlaces
F. Javier Sempere publica la tercera versión de su obra de referencia que conecta artículo por artículo el RGPD y la LOPDGDD con más de 800 recursos jurídicos enlazados.
Cesión de grabaciones como acta: AEPD sanciona a gestora de fondos por falta de consentimiento específico
Análisis de la resolución AEPD EXP202407307 sobre la cesión no consentida de grabaciones de videollamada como actas. Vulneración del art. 6.1 RGPD y doctrina del consentimiento finalista.