Enginyeriadeprivacitat:mesurasensecookies,converteixsensemultes

Les multes RGPD han superat els 7.100 M EUR acumulats. Els ad blockers afecten el 30-40 % del teu tràfic. El tracking client-side està trencat. Implementem server-side tracking, CMPs i analítica privacy-first perquè segueixis mesurant sense dependre de cookies de tercers.

7.100 M EUR Multes RGPD acumulades
30-40 % Tràfic amb ad blockers
Auditar el meu compliment Veure capacitats
Scroll

Serveis d'enginyeria de privacitat

Implementació tècnica, no assessoria legal.

Configuració de CMP: implementació i parametrització de CookieBot, Didomi o OneTrust. Consent Mode v2 integrat amb GTM.
Server-side GTM: contenidor servidor a Stape o Google Cloud. First-party cookies des del teu domini. Bypass d'ad blockers sense vulnerar la privacitat.
Analítica privacy-first: implementació de Matomo, Plausible o Piwik Pro com a alternativa o complement a GA4.
Arquitectura de dades first-party: disseny de data layer propi, captura directa al teu servidor, reducció de dependència de tercers.
Conversion APIs: Meta CAPI, TikTok Events API, Google Ads Enhanced Conversions. Enviament server-to-server sense píxels client-side.
Auditories de privacitat tècnica: escaneig de cookies, scripts de tercers, flux de dades transfronterers i bretxes RGPD.

Lliurables del servei

El que reps en cada projecte d'enginyeria de privacitat.

  • Auditoria de privacitat tècnica (informe de 20+ pàgines)
  • Implementació de CMP amb Consent Mode v2
  • Contenidor GTM Server-Side en subdomini propi
  • Configuració de Conversion APIs (Meta CAPI, TikTok, Google)
  • Dashboard de compliment a Looker Studio
  • Documentació tècnica per al DPO
  • Formació a l'equip de màrqueting i dades
  • Monitorització mensual de cookies i scripts (opcional)

Client-side vs server-side tracking

Per què el tracking clàssic està trencat el 2026.

El tracking client-side depèn de JavaScript al navegador: els ad blockers l'eliminen, Safari ITP limita cookies a 7 dies i els usuaris rebutgen consentiment. El tracking server-side envia dades des del teu servidor: no depèn del navegador, usa first-party cookies i tu controles exactament què es comparteix amb tercers. És la base de qualsevol estratègia de mesura seriosa post-cookies.

gtm-server/privacy-config.yaml
# Server-side GTM — Stape
container:
type: server
domain: track.eltedomini.com
consent_mode: v2
cookies: first_party_only
endpoints:
- ga4_measurement_protocol
- meta_capi
- tiktok_events_api
First-party Cookies
Bypass Ad blockers
Compleix RGPD

Per al CEO

El cost real de no complir.

Les multes RGPD van assolir 1.200 M EUR el 2025, sumant 7.100 M EUR des de 2018. Però la multa no és el major risc: és la pèrdua de dades. Si el 30-40 % del teu tràfic usa ad blockers i el teu tracking és client-side, estàs prenent decisions d'inversió amb dades incompletes.

El mercat de serveis de privacitat creix un 12,2 % anual (de 4.500 M USD el 2024 a 12.200 M USD el 2033). Les empreses que implementen privacy-first no només eviten sancions: recuperen dades que estaven perdent i generen confiança amb els seus clients.

Cas real del sector: una agència de 12 persones va afegir retainers de privacitat a 300 USD/mes per 85 clients = 306.000 USD d'ingressos recurrents anuals. La privacitat no és un cost, és un servei de valor.

1.200 M EUR Multes RGPD el 2025
12,2 % CAGR mercat privacitat
+35 % Dades recuperades amb server-side

Per al CTO

Arquitectura tècnica de privacitat.

Server-side GTM via Stape o Google Cloud Run: el contenidor corre a la teva infraestructura, les dades mai toquen servidors de tercers abans que tu les filtris. First-party cookies servides des d'un subdomini propi (track.eltedomini.com), immunes a ITP i ad blockers.

Consent Mode v2 integrat: quan l'usuari rebutja cookies, GA4 activa modelat estadístic per estimar conversions sense dades individuals. Les Conversion APIs (Meta CAPI, TikTok Events API) envien esdeveniments server-to-server, eliminant la dependència de píxels JavaScript.

Per a entorns on GA4 no és viable per transferències als EUA, implementem Matomo (self-hosted, dades a la UE), Plausible (SaaS lleuger, sense cookies) o Piwik Pro (enterprise, DPA inclòs). Totes amb integració bidireccional al teu stack de màrqueting.

És per a tu?

L'enginyeria de privacitat té sentit si fas paid media a la UE o depens de dades per a decisions de màrqueting.

Per a qui

  • Empreses amb paid media actiu (Google Ads, Meta, TikTok) que perden dades per ad blockers.
  • E-commerce o SaaS que necessiten atribució de conversions precisa complint el RGPD.
  • Organitzacions amb requisits de compliance estrictes (DPO, auditories, sector regulat).
  • Equips que volen migrar de GA4 a analítica allotjada a la UE.
  • Negocis que ja han rebut advertiments de DPAs o volen anticipar-se.

Per a qui no

  • Webs amb molt poc tràfic on GA4 bàsic amb Consent Mode és suficient.
  • Empreses que no fan paid media ni depenen de tracking per a decisions.
  • Organitzacions que busquen assessoria legal (som enginyers, no advocats).
  • Negocis sense pressupost per a infraestructura server-side (mínim 20-100 EUR/mes).
  • Si el teu únic requisit és un bàner de cookies, no necessites enginyeria de privacitat.

Serveis d'implementació

Cinc àrees on actuem.

01

Implementació de CMP

Configuració completa de CookieBot, Didomi o OneTrust. Categorització de cookies, textos legals personalitzats, integració amb GTM i Consent Mode v2. Tests A/B de taxes d'acceptació per maximitzar dades sense vulnerar la norma.

02

Migració a server-side tracking

Contenidor GTM Server-Side a Stape o Google Cloud. Configuració de subdominis propis, tags server-side per a GA4, Google Ads i Meta. First-party cookies amb durada controlada. Recuperació del 30-40 % de dades perdudes.

03

Analítica sense cookies

Implementació de Matomo, Plausible o Piwik Pro com a alternativa o complement a GA4. Self-hosted en servidors UE. Dashboards equivalents. Migració d'objectius i segments. Sense transferències internacionals.

04

Conversion APIs

Implementació de Meta CAPI, TikTok Events API i Enhanced Conversions de Google. Enviament d'esdeveniments de compra, lead i registre server-to-server. Deduplicació amb esdeveniments client-side. Millora de match rate.

05

Auditoria i monitorització contínua

Escaneig automatitzat de cookies i scripts de tercers. Informe mensual de compliment. Alerta primerenca de canvis regulatoris. Revisió de fluxos de dades transfronterers. Documentació per al DPO.

Procés d'implementació

D'auditoria a compliment en 4-8 setmanes.

01

Auditoria de privacitat tècnica

Escaneig de cookies, scripts de tercers, fluxos de dades i configuració de consentiment actual. Informe amb bretxes RGPD i prioritats de correcció.

02

Migració server-side i CMP

Implementació del contenidor server-side, configuració de CMP, Consent Mode v2 i first-party cookies. Període de doble tracking per validar dades.

03

Conversion APIs i analítica alternativa

Configuració de Meta CAPI, TikTok Events API, Enhanced Conversions. Si s'escau, implementació de Matomo o Plausible. Dashboards de transició.

04

Validació, documentació i monitorització

Validació d'integritat de dades. Documentació tècnica per al DPO. Configuració d'alertes i escaneig automatitzat de cookies.

Mitigació de riscos

Transparència sobre el que pot sortir malament.

Pèrdua de dades durant la migració a server-side

Mitigació:

Període de doble tracking obligatori (client + server) durant 2-4 setmanes. Validació creuada d'esdeveniments abans de desactivar client-side.

Taxa de consentiment baixa que redueix dades disponibles

Mitigació:

Tests A/B de bàners de consentiment per maximitzar acceptació. Consent Mode v2 activa modelat estadístic per a usuaris que rebutgen.

Canvi regulatori que invalida la configuració

Mitigació:

Monitorització contínua de DPAs europees. Arquitectura modular que permet adaptar sense reconstruir. Alertes de canvis normatius.

Incompatibilitat amb plataformes de paid media

Mitigació:

Les Conversion APIs són l'estàndard oficial de Meta, TikTok i Google. Server-side millora el match rate, no l'empitjora.

Cost d'infraestructura server-side inesperat

Mitigació:

Estimació detallada de costos abans de començar. Típicament 20-100 EUR/mes a Stape o Cloud Run. Escalat automàtic segons tràfic.

Privacitat que genera dades, no les destrueix

Portem implementant server-side tracking i CMPs des d'abans que fos tendència. Cada projecte parteix d'una auditoria tècnica, no d'un checklist genèric. Integrem la privacitat a l'arquitectura de dades, no com un pegat d'últim minut.

Dades recuperades amb server-side 35 %
Taxa mitjana de consentiment 82 %
Compliment RGPD 100 %

Per què invertir en enginyeria de privacitat

Dades que justifiquen la decisió.

Multes evitades: 1.200 M EUR imposats només el 2025. La prevenció costa una fracció.
Dades recuperades: server-side recupera el 30-40 % de conversions que els ad blockers eliminen.
Sense permanència: la infraestructura és teva, els dashboards són teus.
Mercat en creixement: de 4.500 M USD (2024) a 12.200 M USD (2033). CAGR 12,2 %.

Preguntes freqüents

El que els nostres clients pregunten abans de començar.

És legal usar GA4 a la Unió Europea?

Depèn de la implementació. Diverses DPAs europees (Àustria, França, Itàlia) van dictaminar que GA4 amb configuració estàndard vulnera el RGPD per transferències de dades als EUA. Amb server-side tracking i anonimització d'IP abans d'enviar dades a Google, pots complir. Alternativa: Matomo o Piwik Pro self-hosted a la UE.

Què és el server-side tracking exactament?

En lloc que el navegador de l'usuari enviï dades directament a GA4, Meta, etc., les dades s'envien primer a un servidor teu (contenidor GTM Server-Side). Des d'allà, el teu servidor reenvia només les dades que decideixis a cada plataforma. Avantatges: bypass d'ad blockers, first-party cookies, control total de dades.

Quant costa implementar i mantenir un CMP?

Les llicències de CMP oscil·len entre 0 EUR (CookieBot free, fins a 100 pàgines) i 300-600 EUR/mes (OneTrust, Didomi enterprise). La implementació tècnica (integració amb GTM, Consent Mode v2, categorització de cookies) és un projecte únic de 2-3 setmanes. El manteniment és mínim si s'automatitza l'escaneig.

Matomo vs GA4: quin em convé?

GA4: gratuït, potent en modelat d'atribució, integració nativa amb Google Ads. Risc: transferències als EUA. Matomo: self-hosted a la UE, sense riscos de transferència, 100 % teu. Desavantatge: menys integracions natives, requereix servidor propi. Recomanem Matomo si la DPA del teu país ja ha sancionat GA4, o si el teu sector és especialment regulat.

El server-side tracking afecta el rendiment del meu web?

El millora. Amb server-side, redueixes scripts JavaScript al navegador (menys tags client-side). El contenidor servidor processa les dades fora del navegador de l'usuari. Típicament veiem millores de 200-500 ms en Time to Interactive en migrar tags pesants a server-side.

Quines multes RGPD apliquen al meu sector?

Les multes són proporcionals: fins al 4 % de la facturació global anual o 20 M EUR, el que sigui major. El 2025, les sancions més grans van ser en tecnologia, telecomunicacions i serveis financers. Però qualsevol empresa que processi dades personals de residents UE està subjecta al RGPD, independentment de la seva mida o sector.

Com mesuro conversions sense cookies de tercers?

Tres estratègies combinades: Consent Mode v2 (modelat estadístic de conversions per a usuaris sense consentiment), Conversion APIs (enviament server-to-server d'esdeveniments a Meta/Google/TikTok), i first-party data (captura directa d'emails, IDs d'usuari). El resultat és mesura completa sense dependre de cookies de tercers.

Quant de temps tarda la implementació completa?

CMP + Consent Mode v2: 2-3 setmanes. Afegir server-side GTM: 4-6 setmanes. Implementació completa amb Conversion APIs, analítica alternativa i documentació: 6-8 setmanes. Cada fase és funcional de forma independent, així que comences a obtenir valor des de la setmana 2.

El teu tracking compleix el RGPD?

Auditoria de privacitat tècnica gratuïta. Escanegem cookies, scripts de tercers i fluxos de dades. Informe amb bretxes i prioritats en 48 h. Sense compromís.

Sol·licitar auditoria de privacitat
Sense compromís Resposta en 24h Proposta personalitzada
Última actualització: febrer del 2026

Auditoria
tècnica inicial.

IA, seguretat i rendiment. Diagnòstic i proposta tancada per fases.

NDA disponible
Resposta <24h
Proposta per fases

La teva primera reunió és amb un Arquitecte de Solucions, no amb un comercial.

Sol·licitar diagnòstic