Aprende cómo Zenovay te ayuda a cumplir con el RGPD (Reglamento General de Protección de Datos) para el análisis de tu sitio web.
¿Qué es el RGPD?
El Reglamento General de Protección de Datos es una ley de la UE que:
- Protege los datos personales de los residentes de la UE
- Requiere consentimiento para la recopilación de datos
- Otorga derechos de acceso y eliminación de datos
- Exige notificaciones de violaciones de datos
- Impone multas significativas por incumplimiento
¿A quién aplica el RGPD?
El RGPD aplica si:
- Estás establecido en la UE/EEE
- Tienes visitantes de la UE/EEE
- Ofreces bienes/servicios a residentes de la UE
- Monitorizas el comportamiento de residentes de la UE
Cumplimiento del RGPD de Zenovay
Diseño centrado en la privacidad
Zenovay está diseñado con la privacidad en mente:
| Función | Descripción |
|---|---|
| Opción sin cookies | El rastreador puede funcionar sin cookies ni almacenamiento local |
| Tratamiento de IP | Las IPs se hashean para la identificación de visitantes, nunca se almacenan en texto plano |
| Minimización de datos | Solo recopilar los datos necesarios |
| Residencia de datos en la UE | Los datos principales se almacenan en la UE (Fráncfort) para cada plan |
| Portabilidad de datos | Exporta tus datos de cuenta personal (gratis, todos los planes) |
| Derecho al olvido | Elimina tu cuenta y los datos de visitantes por solicitud |
Datos que recopilamos
Recopilación estándar (Modo sin cookies):
├── URL de página
├── Referenciador (dominio)
├── Tipo de navegador
├── Tipo de dispositivo
├── País (derivado de IP hasheada, IP no almacenada en texto plano)
└── Identificador de sesión (en memoria, no persistente)
Recopilación extendida (con cookies/consentimiento):
├── URL de página completa con parámetros
├── URL de referenciador completa
├── Identificador de visitante recurrente
├── Propiedades de eventos personalizados
└── Datos de ingresos
Opciones de configuración
Modo sin cookies
El modo sin cookies permite que el rastreador funcione sin cookies ni almacenamiento local — usa un identificador de sesión window-scoped almacenado en memoria en su lugar. Esta es la opción legal por defecto para el rastreamiento antes del consentimiento.
Para habilitarlo para un sitio web:
- Abre la configuración del sitio y selecciona la pestaña Avanzado.
- Bajo Privacidad & Cookies, activa el Modo sin cookies.
- Guarda los cambios.
En la misma pestaña Avanzado también puedes establecer la duración de las cookies (cuando se usan cookies), excluir rutas del rastreamiento y enmascarar entradas de formulario para que los valores sensibles nunca se capturen.
Tratamiento de IP
Zenovay no almacena direcciones IP sin procesar. Las IPs se usan transitoriamente para derivar el país del visitante y para construir un identificador de visitante hasheado y salado — la IP en texto plano nunca se escribe en tu análisis. Ver Tratamiento de IP para los detalles y opciones por sitio web.
Integración del consentimiento
// Solo rastrear después del consentimiento
if (hasGDPRConsent('analytics')) {
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Base legal para el tratamiento
Consentimiento (Artículo 6.1.a)
Al usar rastreamiento basado en cookies:
- Implementa un banner de consentimiento de cookies
- Espera el opt-in explícito
- Carga el script de rastreamiento después del consentimiento
- Proporciona una opción fácil de exclusión
Interés legítimo (Artículo 6.1.f)
Al usar el modo sin cookies:
- Documenta tu interés legítimo
- Realiza la prueba de equilibrio
- Proporciona mecanismo de exclusión
- Minimiza la recopilación de datos
Modo sin cookies + Interés legítimo
Evaluación de interés legítimo
Finalidad: Comprender el uso del sitio web para mejorar la experiencia del usuario
Necesidad: El análisis es esencial para:
- Identificar páginas con errores
- Comprender las fuentes de tráfico
- Mejorar el contenido
Prueba de equilibrio:
- Mínimo de datos recopilados
- Sin identificadores persistentes (modo sin cookies)
- Sin rastreamiento entre sitios
- Política de privacidad clara
- Exclusión fácil disponible
Conclusión: El interés legítimo aplica en modo sin cookies
Implementación de los derechos RGPD
Derecho a la información (Artículo 13/14)
Proporciona una política de privacidad clara:
## Recopilación de datos analíticos
Usamos Zenovay Analytics para comprender cómo los visitantes
usan nuestro sitio web. Recopilamos:
- Páginas visitadas
- Tiempo en las páginas
- Tipo de navegador y dispositivo
- País (derivado de IP, IP no almacenada en texto plano)
No:
- Almacenamos direcciones IP en texto plano
- Hacemos rastreamiento entre sitios web
- Vendemos datos a terceros
Los datos se almacenan en la UE y se conservan durante [X] meses.
Derecho de acceso (Artículo 15)
Un visitante puede solicitar los datos que tienes sobre él:
- El visitante envía la solicitud
- Identificas sus datos en Zenovay
- Exporta a través de la API (abajo)
- Proporciona en 30 días
Vía API (Plan Pro y superior):
# Recuperar datos de análisis de un sitio web (filtrar por visitante según sea necesario)
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Por separado, tus propios datos de cuenta personal se pueden descargar en cualquier momento desde tu página de Perfil en la aplicación — "Descargar mis datos" exporta tu perfil, sitios web, membresías de equipo e historial de cuenta como JSON. Esto es gratis en todos los planes (Artículo 20 del RGPD). Ver Descargar mis datos.
Derecho al olvido (Artículo 17)
Elimina datos de visitantes por solicitud:
- El visitante solicita eliminación
- Identifica sus registros en Zenovay
- Elimina los datos
- Confirma la eliminación
Para eliminar los datos de un visitante específico, primero localiza sus registros — si el visitante fue identificado (proporcionaste un email o ID de usuario al rastreador), encuéntralo bajo Usuarios Identificados (/analytics/profiles). Para eliminación en lote o programática, usa la API REST (Pro y superior).
Para eliminar tu propia cuenta Zenovay y todos los datos asociados, usa Eliminar cuenta en tu página de Perfil. Ver Derecho al olvido y Eliminar mi cuenta para detalles.
Derecho a la limitación del tratamiento (Artículo 18)
Para pausar el tratamiento de un visitante mientras se resuelve una disputa, contacta al soporte de Zenovay en [email protected] con la solicitud. No hay un botón de auto-servicio "restringir tratamiento" en el panel — la restricción es manejada por el soporte.
Derecho a la portabilidad de datos (Artículo 20)
Exporta datos en formato legible por máquina:
Tus datos de cuenta personal: descárgalos desde tu página de Perfil en la aplicación ("Descargar mis datos"), que devuelve JSON. Gratis en todos los planes.
Datos analíticos de visitantes: recupera a través de la API REST (Pro y superior):
# Recuperar datos de análisis en formato JSON
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Acuerdo de tratamiento de datos
Cuándo se requiere
Bajo el Artículo 28 del RGPD, se requiere un DPA cuando Zenovay trata datos personales en tu nombre.
Obtener un DPA
Zenovay publica un DPA estándar pré-firmado — no tienes que negociar ni buscar una firma.
- Lee el DPA actual en zenovay.com/legal/dpa (disponible en los seis idiomas, sin necesidad de inicio de sesión).
- Se convierte en una parte vinculante de tu contrato automáticamente cuando aceptas los Términos de Servicio al registrarte — sin paso de "aceptar" separado.
- Si tu equipo legal necesita una copia contrafirmada o un anexo personalizado, envía un email a [email protected]. No hay cargo.
Ver Encontrar el DPA para el proceso completo.
Contenido del DPA
Nuestro DPA incluye:
- Objeto y duración
- Naturaleza y finalidad del tratamiento
- Tipos de datos personales
- Categorías de interesados
- Derechos y obligaciones
- Lista de subencargados
- Medidas de seguridad
- Derechos de auditoría
Residencia de datos en la UE
Ubicación de los datos
La base de datos principal de Zenovay se ejecuta en la UE (Fráncfort, eu-central-1) para cada cliente, independientemente del plan. Los eventos analíticos, registros de visitantes, sitios web, datos de equipo y registros de auditoría se almacenan allí. Las copias de seguridad se cifran en reposo en la misma región.
Las solicitudes edge se sirven por Cloudflare Workers en el punto de presencia más cercano para baja latencia. Los Workers no persisten datos — validan y reenvían eventos al almacén primario de la UE. Un pequeño número de subprocesadores basados en EE.UU. (por ejemplo, Stripe, Resend) están cubiertos por el Marco de Privacidad de Datos UE-EE.UU. o Cláusulas Contractuales Estándar.
Ver ¿Dónde se almacenan mis datos? para la visión completa.
Integración del banner de cookies
Gestores de consentimiento populares
Zenovay funciona con gestores de consentimiento incluyendo:
- Cookiebot
- OneTrust
- Osano
- Termly
- Soluciones personalizadas
Ejemplo Cookiebot
window.addEventListener('CookiebotOnAccept', function() {
if (Cookiebot.consent.statistics) {
loadZenovay();
}
});
function loadZenovay() {
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Ejemplo OneTrust
OneTrust.OnConsentChanged(function() {
if (OnetrustActiveGroups.includes('C0002')) { // Performance
loadZenovay();
}
});
Requisitos de documentación
Política de privacidad
Incluye:
- Qué datos recopilas
- Por qué los recopilas
- Cuánto tiempo los conservas
- Quién tiene acceso
- Derechos del usuario
- Cómo darse de baja
Registros de tratamiento
Mantén documentación sobre:
- Categorías de datos
- Finalidad del tratamiento
- Períodos de conservación de datos
- Medidas de seguridad
- Subencargados utilizados
Política de cookies
Si usas cookies:
- Lista todas las cookies
- Explica su finalidad
- Indica la duración
- Enlaza a la opción de exclusión
Lista de verificación de cumplimiento
Medidas técnicas
- Activa el modo sin cookies u obtén consentimiento
- Revisa tus configuraciones de tratamiento de IP
- Establece la retención de datos adecuada
- Implementa la integración de consentimiento
Medidas legales
- Referencia el DPA de Zenovay (zenovay.com/legal/dpa)
- Actualiza la política de privacidad
- Documenta la base legal
- Crea el proceso de solicitudes de interesados
- Mantén los registros de tratamiento
Medidas organizativas
- Forma al equipo en RGPD
- Designa un DPO (si es necesario)
- Establece procedimientos de brechas
- Auditorías regulares de cumplimiento
Aplicación y multas
Sanciones potenciales
| Nivel | Multa máxima | Ejemplos |
|---|---|---|
| Inferior | €10M o 2% de ingresos | Sin DPA, registros deficientes |
| Superior | €20M o 4% de ingresos | Sin consentimiento, ignorar derechos |
Aplicación reciente
Se han impuesto multas relacionadas con análisis por:
- Transferir datos a EE.UU. sin salvaguardias
- Sin consentimiento válido para análisis
- Ignorar solicitudes de exclusión
Mejores prácticas
Comienza con el modo sin cookies
Activa el modo sin cookies para tu sitio web (configuración del sitio → Avanzado → Privacidad & Cookies). Esto te proporciona un rastreamiento mínimo sin requerir consentimiento. Tu etiqueta de script permanece simple:
<!-- Rastreamiento mínimo, sin necesidad de consentimiento -->
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
src="https://api.zenovay.com/z.js"
></script>
Implementa el consentimiento adecuado
- No marques previamente las casillas de consentimiento
- Haz que el rechazo sea tan fácil como la aceptación
- Permite opciones granulares
- Recuerda las preferencias
- Permite la retirada
Revisiones periódicas
- Audita la recopilación de datos trimestralmente
- Revisa los subencargados anualmente
- Actualiza las políticas cuando haya cambios
- Prueba el manejo de solicitudes de interesados