Google Analytics 4 y cookies RGPD: guía de cumplimiento

TL;DR

Google Analytics 4 (GA4) deposita cookies (_ga, _ga_XXXXXX, _gid) que permiten a Google rastrear a los visitantes y su comportamiento. Bajo el RGPD, el uso de GA4 requiere el consentimiento previo para las cookies analíticas. No bloquear GA4 antes del consentimiento crea un riesgo de incumplimiento, tal como han confirmado la AEPD y varias autoridades europeas de protección de datos.

Google Analytics es la herramienta de análisis más utilizada en el mundo. Pero desde 2022, cuando varias autoridades europeas de protección de datos emitieron resoluciones sobre Universal Analytics, su sucesor GA4 está bajo un escrutinio regulatorio intenso. ¿Cómo usar GA4 de forma conforme? Esta guía responde a esa pregunta.

¿Qué cookies deposita GA4 y qué datos recopila?

Las principales cookies de GA4

1. _ga: identificador único de visitante, válido por defecto durante 2 años, depositado en tu dominio
2. _ga_XXXXXX (ID de medición): cookie de sesión de GA4, válida durante 2 años
3. _gid: identificador de sesión, válido durante 24 horas
4. _gat_UA-XXXXXX: cookie de limitación de solicitudes (si está presente), válida durante 1 minuto

GA4 recopila: URLs visitadas, eventos de interacción (clics, desplazamiento, formularios), datos de rendimiento, geolocalización aproximada e información del dispositivo y navegador. Estos datos se envían a los servidores de Google, algunos de los cuales están ubicados en Estados Unidos.

Consulta nuestra guía sobre la duración de las cookies y el RGPD para las reglas aplicables a las cookies _ga.

¿Requiere GA4 consentimiento bajo el RGPD?

Sí. GA4 deposita cookies persistentes con fines analíticos que no son estrictamente necesarias para el servicio solicitado. La Directiva ePrivacy y el RGPD exigen consentimiento previo para dichos rastreadores. No existe una exención general para las herramientas de análisis de audiencia.

El contexto regulatorio desde 2022

En 2022, varias autoridades europeas de protección de datos resolvieron que el uso de Google Analytics (Universal Analytics) generaba transferencias de datos a Estados Unidos no conformes con el RGPD en las condiciones técnicas de entonces. Estas resoluciones no prohibieron GA, pero subrayaron los imperativos de cumplimiento: consentimiento previo, configuración correcta y evaluación de transferencias.

Antes de configurar GA4 bajo consentimiento, realiza una auditoría de cookies completa.

¿Cómo condicionar GA4 al consentimiento?

El enfoque recomendado es usar Google Consent Mode v2 combinado con una CMP conforme. Esto permite que GA4 funcione en modo degradado (sin cookies) antes del consentimiento y cargue datos completos tras la aceptación.

Google Consent Mode v2 y GA4

Google Consent Mode v2 transmite el estado de consentimiento del usuario a GA4 a través de dos parámetros clave: analytics_storage (para cookies analíticas) y ad_storage (para cookies publicitarias). Antes del consentimiento, GA4 funciona sin cookies y recopila datos agregados y anonimizados.

Nuestra guía completa sobre Google Consent Mode v2 cubre la configuración técnica detallada.

Configuración recomendada de GA4 para el cumplimiento

1. Activar Google Consent Mode v2 a través de tu CMP antes de que se cargue GA4
2. Establecer analytics_storage = 'denied' y ad_storage = 'denied' por defecto en el dataLayer
3. Desactivar Google Signals en la configuración de GA4 si tu audiencia es principalmente europea
4. Reducir la retención de datos a 14 meses (la opción más corta en GA4)
5. Verificar que la anonimización de IP está activa (predeterminada en GA4, pero confirmar que no está desactivada)
6. No activar la personalización de anuncios

Errores frecuentes con GA4 y el RGPD

GA4 se carga en el <head> sin condición. El script y las cookies se activan al cargar la página, antes del banner. Solución: usa GTM con Consent Mode v2 o bloquea el script a través de la CMP.

Se invoca la exención de consentimiento para analytics. Algunas autoridades reconocen una exención limitada para herramientas de medición de primera parte bajo condiciones estrictas, pero GA4 en su configuración estándar no cumple esos criterios.

La anonimización de IP se presenta como suficiente para evitar el consentimiento. La anonimización parcial de la IP no exime a las cookies persistentes de GA4 del requisito de consentimiento. Son cuestiones separadas.

Google Signals está activo sin información específica. Google Signals permite el remarketing entre dispositivos y requiere información y consentimiento específicos. Desactívalo si no lo usas.

La retención de datos se deja en 26 meses (valor predeterminado). Redúcela a 14 meses en la configuración de GA4 (Admin > Configuración de datos > Retención de datos).

Lista de verificación: GA4 conforme con el RGPD

1. Bloquear el script de GA4 o GTM por defecto a través de tu CMP
2. Implementar Google Consent Mode v2 con analytics_storage y ad_storage en 'denied' por defecto
3. Verificar que GA4 no deposita ninguna cookie _ga antes de la aceptación (prueba en modo incógnito)
4. Reducir la retención de datos a 14 meses en la configuración de GA4
5. Desactivar Google Signals si no usas remarketing entre dispositivos
6. No activar la personalización de anuncios de Google
7. Mencionar GA4 y Google Ireland Ltd en tu política de privacidad
8. Documentar la transferencia de datos a EE. UU. y la cobertura del Marco de Privacidad de Datos UE-EE. UU.
9. Documentar el tratamiento en el registro del artículo 30 del RGPD
10. Programar auditorías periódicas

Conclusión

GA4 puede usarse de forma conforme con el RGPD siempre que se recopile el consentimiento previo y se configure correctamente Google Consent Mode v2. La combinación CMP más Consent Mode v2 te permite conservar datos analíticos respetando las opciones de tus visitantes.

Escanea tu sitio para verificar que las cookies _ga no se depositen antes del consentimiento con el escáner de cookies de FlowConsent.