Transferencias de datos previas al consentimiento, consentimiento de cookies y adopción de CMP en 816013 sitios web de la UE — medido, no estimado.
45%
Banner de cookies detectado
21%
Opción de rechazar disponible
16%
Pre-consentimiento de alto riesgo
55%
Alojamiento con sede en la UE
561642 sitios analizados · GDPR Art. 44
Resources loaded before cookie consent transfer the user's IP address to third parties — personal data under GDPR. International transfers require safeguards per GDPR Art. 44-49 and Schrems II (CJEU C-311/18). ePrivacy Art. 5(3) prohibits non-essential storage/access without prior consent.
16%
Sites with high-risk transfers
97%
Sites with medium-risk transfers
2.8
Avg transfers / site
35.9
Avg third-party requests
0.2
Avg high-risk / site
2.6
Avg medium-risk / site
Pre-consent transfers can be eliminated by self-hosting resources or using EU-based alternatives:
Google Consent Mode v2 with default 'denied' addresses data-collection-before-consent for Google tags (no data collection before consent), but the script itself still loads — transferring the user's IP. Server-side GTM eliminates this last transfer.
20719 sites with detected CMP
Consent Management Platforms (CMPs) implement the cookie consent requirements of ePrivacy Directive 2002/58/EC and GDPR. A CMP's quality directly affects legal compliance — misconfigured banners are a leading cause of GDPR enforcement actions.
Consent Management Platform distribution across 20719 sites with detected CMP
855847 sites with hosting data
GDPR Art. 28 requires processor agreements specifying data location. Art. 44-49 govern international transfers — the CLOUD Act gives US authorities access to data held by US companies regardless of server location. Schrems II (CJEU C-311/18) invalidated Privacy Shield and requires supplementary measures for US transfers.
73%
Hosted in EU/EEA
27%
Hosted outside EU
59%
Hosted domestically
55%
Proveedor con sede en la UE
45%
Proveedor fuera de la UE (CLOUD Act / Schrems II)
Ubicación del servidor mediante geolocalización IP (MaxMind GeoLite2). Sede de la empresa del registro ASN. Un sitio puede estar físicamente alojado en la UE pero usar un proveedor estadounidense sujeto al CLOUD Act — según Schrems II (CJEU C-311/18), esto requiere SCCs con medidas suplementarias. · GDPR Art. 44-49
Cómo se recopilaron estos datos y qué representan.
Todos los datos se recopilan mediante análisis automatizados y no intrusivos de sitios web de acceso público. No se utilizan credenciales de inicio de sesión, no se envían formularios y no se accede a datos privados.
Los mecanismos de consentimiento de cookies se prueban con un navegador headless (Playwright). Cargamos cada sitio sin interactuar con ningún banner de consentimiento y registramos todas las cookies establecidas, las solicitudes a terceros realizadas y los recursos cargados antes de cualquier interacción del usuario — capturando así el estado previo al consentimiento.
La detección de CMP identifica la Plataforma de Gestión de Consentimiento en uso (por ejemplo, Cookiebot, OneTrust, Usercentrics) mediante firmas de scripts, elementos del DOM y endpoints de API. La compatibilidad con Google Consent Mode y el marco IAB TCF se detecta mediante sondeo de la API de JavaScript.
Las transferencias de datos previas al consentimiento se clasifican por nivel de riesgo en función de la jurisdicción de la empresa receptora, el alcance del tratamiento de datos y la existencia o no de una alternativa con sede en la UE. Las transferencias de alto riesgo implican servicios con sede en EE. UU. sin garantías adecuadas.
Los datos de alojamiento se determinan mediante geolocalización por IP (MaxMind GeoLite2) para la ubicación del servidor y consultas al registro ASN para la sede del proveedor.
No se nombran sitios individuales. Todas las estadísticas son agregadas y anonimizadas. Las referencias normativas indican qué requisitos se relacionan con cada hallazgo — no afirman el incumplimiento de ninguna organización específica.
Ejecuta un análisis de privacidad gratuito y comprueba cómo se comparan tu consentimiento de cookies, tus transferencias previas al consentimiento y tu cumplimiento de alojamiento — en 30 segundos, sin necesidad de cuenta.
Basado en análisis automatizados de 816013 sitios web europeos. Actualizado continuamente.