¿Google Analytics cumple con el RGPD?

TL;DR

Google Analytics 4 no cumple con el RGPD por defecto. La herramienta recopila datos personales (direcciones IP, identificadores de cookies, datos de navegación) y los transfiere a los Estados Unidos, lo que ha llevado a varias autoridades europeas a declararlo no conforme. Es posible usar GA4 de forma conforme, siempre que se bloqueen los scripts antes del consentimiento, se configure correctamente el Consent Mode v2 y se documente todo en la política de privacidad. Sin estas medidas, su sitio se expone a riesgos jurídicos concretos.

Por qué la cuestión sigue planteándose en 2026

Google Analytics sigue siendo la herramienta de medición de audiencia más utilizada del mundo. Sin embargo, su conformidad con el RGPD ha sido objeto de debates y decisiones regulatorias desde hace varios años. El tema no es teórico: varias autoridades de protección de datos en Europa han dictado decisiones desfavorables a la utilización de Google Analytics.

El problema central es doble. Por un lado, GA4 recopila datos que se consideran datos personales en el sentido del RGPD (identificadores únicos, direcciones IP, datos de navegación). Por otro, estos datos se transfieren a los Estados Unidos, un país cuyo nivel de protección de datos ha sido cuestionado en varias ocasiones por la justicia europea.

Para los propietarios de sitios web, la cuestión no es si Google Analytics es bueno o malo, sino entender qué hay que configurar para usarlo sin riesgo jurídico, y en qué casos es mejor considerar una alternativa.

¿Qué exige el RGPD para las herramientas de analytics?

El RGPD (Reglamento General de Protección de Datos) es el marco jurídico europeo que regula la recopilación y el tratamiento de datos personales desde mayo de 2018. Se aplica a cualquier sitio web que trate datos de residentes en la UE, independientemente del lugar de alojamiento del sitio.

Para las herramientas de analytics como Google Analytics, el RGPD impone varias obligaciones concretas.

Base jurídica obligatoria. El tratamiento de datos personales requiere una base jurídica. Para las cookies analíticas, la base más común es el consentimiento explícito del usuario. La CNIL considera que las cookies de Google Analytics no son cookies estrictamente necesarias y, por tanto, requieren un consentimiento previo.

Bloqueo antes del consentimiento. Los scripts analíticos no deben cargarse mientras el usuario no haya dado su consentimiento. Cargar Google Analytics antes del consentimiento es una infracción habitual que los reguladores detectan con frecuencia.

Información clara. Su política de privacidad debe explicar qué datos se recopilan, por qué y cómo puede el usuario ejercer sus derechos (acceso, supresión, retirada del consentimiento).

Transferencias de datos reguladas. Si los datos se transfieren fuera de la UE, se necesitan garantías adicionales (cláusulas contractuales tipo, decisión de adecuación o medidas técnicas complementarias).

¿Google Analytics recopila datos personales?

Sí. Google Analytics recopila varias categorías de datos que el RGPD considera datos personales. Entre ellos se incluyen la dirección IP del visitante, los identificadores de cookies asignados a cada usuario, los datos de navegación (páginas visitadas, duración de la sesión, acciones realizadas), la información técnica (tipo de navegador, sistema operativo, resolución de pantalla) y los datos de localización aproximada.

Google actúa como encargado del tratamiento (data processor) por cuenta del propietario del sitio, que sigue siendo el responsable del tratamiento (data controller). Es el propietario del sitio quien decide instalar Google Analytics y, por tanto, es el jurídicamente responsable de la conformidad de esta recopilación.

La distinción es importante: aunque Google pone a disposición herramientas de configuración para mejorar la conformidad, corresponde a usted activarlas y asegurarse de que todo funciona correctamente.

Lo que han decidido las autoridades europeas

Varias autoridades de protección de datos en Europa han examinado el uso de Google Analytics y dictado decisiones significativas.

Austria (enero de 2022). La autoridad austriaca (DSB) fue la primera en concluir que el uso de Google Analytics por un sitio web austriaco violaba el capítulo V del RGPD, relativo a las transferencias internacionales de datos. La decisión se basó en la sentencia Schrems II del TJUE.

Francia (febrero de 2022). La CNIL concluyó que el uso de Google Analytics constituía una violación del artículo 44 del RGPD, por la transferencia de datos personales a los Estados Unidos sin protección adecuada. La CNIL instó a varios sitios web franceses a ponerse en conformidad en el plazo de un mes.

Italia (junio de 2022). El Garante italiano dictó una decisión similar, ordenando a un sitio web italiano que dejara de utilizar Google Analytics en las condiciones existentes.

Dinamarca y Noruega. Las autoridades danesa y noruega también concluyeron que Google Analytics no era conforme con el RGPD en las condiciones de transferencia de datos a los Estados Unidos.

Estas decisiones comparten un fundamento común: la invalidación del Privacy Shield por la sentencia Schrems II en julio de 2020 y la ausencia de protección suficiente de los datos europeos frente a los programas de vigilancia estadounidenses.

Desde julio de 2023, el Data Privacy Framework (DPF) UE-EE.UU. proporciona un nuevo marco para las transferencias transatlánticas. Google está certificado bajo este marco. Sin embargo, la solidez jurídica del DPF sigue siendo incierta: varias organizaciones, entre ellas noyb, han presentado recursos ante el TJUE, y se espera una decisión en los próximos años.

Cómo usar Google Analytics de forma conforme

Es posible usar GA4 de forma conforme con el RGPD, pero requiere una configuración activa. Instalar GA4 con los parámetros predeterminados no es suficiente.

Paso 1: bloquear GA4 antes del consentimiento

Es la regla más importante. El script de Google Analytics no debe cargarse mientras el usuario no haya aceptado las cookies analíticas a través de su banner de cookies. Un banner que se muestra pero que no bloquea efectivamente los scripts no es conforme.

Para verificar, abra su sitio en un navegador limpio (navegación privada) e inspeccione las solicitudes de red antes de interactuar con el banner. Si ve solicitudes a google-analytics.com o googletagmanager.com, sus scripts se están cargando antes del consentimiento.

Paso 2: configurar el Consent Mode v2

El Consent Mode v2 es el mecanismo de Google que adapta el comportamiento de las etiquetas de Google en función del consentimiento del usuario. Es obligatorio desde marzo de 2024 para conservar las funcionalidades de remarketing y medición en el EEE.

Los cuatro parámetros que hay que configurar son analytics_storage, ad_storage, ad_user_data y ad_personalization. Todos deben estar en denied por defecto para los visitantes europeos, y luego actualizarse a través de su CMP cuando el usuario da su consentimiento.

El Consent Mode v2 no reemplaza el bloqueo de scripts. En modo basic, las etiquetas de Google no se cargan antes del consentimiento. En modo advanced, se envían pings sin cookies incluso sin consentimiento, lo que plantea cuestiones jurídicas.

Paso 3: configurar GA4 para minimizar los datos

Active la anonimización de direcciones IP (activada por defecto en GA4). Reduzca la duración de conservación de datos al mínimo necesario (2 o 14 meses según sus necesidades). Desactive Google Signals si no lo necesita, ya que activa el seguimiento entre dispositivos. Desactive la recopilación granular de datos de localización y dispositivo si no son necesarios para su análisis.

Paso 4: actualizar su política de privacidad

Su política debe mencionar explícitamente el uso de Google Analytics, los datos recopilados, la base jurídica (consentimiento), la duración de conservación, las transferencias a los Estados Unidos y el marco jurídico aplicable (DPF), y los derechos del usuario (acceso, supresión, retirada del consentimiento).

Paso 5: utilizar una CMP conforme

Su plataforma de gestión del consentimiento debe bloquear efectivamente los scripts antes del consentimiento, transmitir las señales del Consent Mode v2, registrar y almacenar la prueba de consentimiento, y permitir la retirada del consentimiento en cualquier momento. Para elegir una CMP adecuada, verifique que gestiona el bloqueo técnico de los scripts y no únicamente la visualización de un banner.

Errores frecuentes (y cómo evitarlos)

Cargar GA4 antes del consentimiento. Es el error más extendido. El script se carga al cargar la página, antes de cualquier interacción con el banner. Solución: configure su CMP para bloquear la etiqueta GA4 mientras no se haya otorgado el consentimiento.

Confiar únicamente en el Consent Mode. El Consent Mode adapta el comportamiento de las etiquetas de Google, pero no bloquea los scripts de terceros. Si utiliza otros rastreadores (Facebook Pixel, TikTok, etc.), deben ser bloqueados por su CMP de forma independiente. Para entender el funcionamiento de los diferentes tipos de cookies, consulte nuestra guía dedicada.

No probar después de la configuración. Muchos sitios muestran un banner conforme pero no verifican que los scripts estén realmente bloqueados. Utilice un escáner de cookies para verificar el comportamiento real de su sitio.

Ignorar las transferencias de datos. El DPF UE-EE.UU. cubre las transferencias a Google en los Estados Unidos, pero su permanencia no está garantizada. Documente su evaluación de riesgos.

Usar un banner sin opción de rechazo equivalente. La CNIL exige que el botón Rechazar sea tan visible y accesible como el botón Aceptar. Un banner con un botón Aceptar bien visible y un enlace Configuración en letra pequeña no es conforme.

Confundir conformidad técnica y conformidad jurídica. Configurar correctamente GA4 es necesario, pero no suficiente. También hay que documentar la base jurídica, la política de conservación y los procedimientos de respuesta a las solicitudes de ejercicio de derechos.

Alternativas conformes a Google Analytics

Si las restricciones de configuración de GA4 son demasiado complejas para su organización, o si prefiere evitar los riesgos relacionados con las transferencias transatlánticas, existen varias alternativas.

La CNIL ha publicado una lista de herramientas de medición de audiencia que pueden estar exentas de consentimiento bajo ciertas condiciones. Matomo (en configuración conforme) figura entre las herramientas reconocidas por la CNIL. La exención de consentimiento solo se aplica si la herramienta está configurada para producir estadísticas anónimas y agregadas, sin transferencia de datos fuera de la UE.

Lista de verificación conformidad Google Analytics y RGPD

1. Verificar que el script GA4 está bloqueado antes del consentimiento del usuario.
2. Configurar el Consent Mode v2 con los cuatro parámetros en denied por defecto para el EEE.
3. Utilizar una CMP que bloquee efectivamente los scripts (no únicamente una visualización de banner).
4. Activar la anonimización de IP en GA4.
5. Reducir la duración de conservación de datos al estricto necesario.
6. Desactivar Google Signals si el seguimiento entre dispositivos no es indispensable.
7. Actualizar la política de privacidad con las menciones obligatorias.
8. Probar el comportamiento real del sitio con un escáner de cookies.
9. Documentar la evaluación de riesgos relacionados con las transferencias a los Estados Unidos.
10. Prever un procedimiento de respuesta a las solicitudes de ejercicio de derechos (acceso, supresión).

FAQ

¿Google Analytics es ilegal en Europa? Google Analytics no está prohibido como tal. Varias autoridades europeas han dictaminado que su uso, en las condiciones de transferencia de datos a los Estados Unidos observadas en su momento, violaba el RGPD. Desde la adopción del Data Privacy Framework en julio de 2023, el marco jurídico de las transferencias ha evolucionado, pero hay recursos pendientes ante el TJUE.

¿Necesito un banner de cookies si uso Google Analytics? Sí. Google Analytics deposita cookies y recopila datos personales. El RGPD y la directiva ePrivacy exigen un consentimiento explícito antes del depósito de cookies no esenciales.

¿El Consent Mode v2 hace que Google Analytics sea conforme con el RGPD? No, no por sí solo. El Consent Mode v2 adapta el comportamiento de las etiquetas de Google en función del consentimiento, pero no constituye una solución de cumplimiento completa.

¿GA4 anonimiza automáticamente las direcciones IP? GA4 trunca las direcciones IP de forma predeterminada, pero este truncamiento no constituye una anonimización completa en el sentido del RGPD.

¿Puedo usar Google Analytics sin cookies? GA4 utiliza cookies de origen por defecto. Es posible configurar GA4 en modo sin cookies a través del Consent Mode, pero los datos recopilados son muy limitados.

¿Cuáles son las sanciones en caso de incumplimiento? El RGPD prevé multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial. La CNIL ha instado a varios sitios web franceses a ponerse en conformidad tras las denuncias presentadas por la asociación noyb.

Conclusión y próximo paso

Google Analytics 4 puede usarse de forma conforme con el RGPD, pero requiere una configuración rigurosa: bloqueo de scripts antes del consentimiento, Consent Mode v2 correctamente configurado, política de privacidad actualizada y CMP funcional. Si no está seguro de que su sitio cumple estos requisitos, comience con una auditoría de sus cookies para identificar los scripts que se cargan antes del consentimiento y las cookies no declaradas.