Google Analytics + GDPR
¿Google Analytics cumple con el GDPR?
Respuesta sincera:puede ser, hoy en día, con esfuerzo — y es delicado. Aquí te contamos lo que realmente decidieron los reguladores de la UE, qué cambió en 2023 y cómo se ven tus opciones hoy. (Este es un resumen para operadores, no un consejo legal — consulta con un abogado para tu situación específica.)
La versión breve
GA4 no cumple con el GDPR desde el principio, pero tampoco es ilegal. Desde julio de 2023, el Marco de Privacidad de Datos UE-EE. UU. le da a Google una base legal para mover datos de la UE a EE. UU., lo que solucionó el problema que llevó a declarar ilegal a Google Analytics en toda Europa en 2022. ¿Qué queda? Aún necesitas un banner de cookies de opt-in (una ley aparte — la Directiva de ePrivacy — se encarga de las cookies), todavía tienes que ajustar tú mismo la configuración de compartición y retención de datos de GA4, y todo esto se basa en una decisión de adecuación que ya está siendo impugnada en los tribunales.
Así que la verdadera pregunta no es "¿es legal?" — es "¿realmente vale la pena el esfuerzo constante de cumplimiento y la pérdida de datos por rechazo de consentimiento del 30 al 60%, cuando la analítica sin cookies se salta todo este tipo de problemas?"
Cómo Google Analytics se metió en líos con el GDPR
La historia trata realmente sobre las transferencias de datos, no sobre analytics per se:
- Julio 2020 — Schrems II.El tribunal superior de la UE tumbó el Privacy Shield, el acuerdo que hacía fáciles las transferencias de datos de la UE→EE. UU. De repente, cada herramienta alojada en EE. UU. que maneja datos personales de la UE se encontró en un terreno legal inestable bajo el Artículo 44 del GDPR.
- Enero 2022 — Austria.La DSB austriaca decidió que Universal Analytics, tal como se usó en un sitio de Austria, transfirió ilegalmente datos personales a EE. UU. Primer dominó.
- Febrero 2022 — Francia.La CNIL llegó a la misma conclusión y ordenó a los sitios afectados que dejaran de usarlo o que buscaran alternativas que cumplan con la normativa.
- Junio 2022 — Italia.El Garante tomó una decisión similar; el Datatilsynet de Dinamarca también declaró que Google Analytics es ilegal sin medidas adicionales.
- Julio 2023 — el alivio.La Comisión Europea aprobó el Marco de Privacidad de Datos UE-EE. UU., una nueva decisión de adecuación. Google LLC está certificado bajo este marco, lo que restableció una base de transferencia legal y desactivó en gran medida las decisiones de 2022.
Dos puntos que conviene aclarar: las decisiones de 2022 se referían aAnalítica Universal, el producto que Google ha retirado desde entonces — no GA4 como tal. Y el DPF es elterceraAcuerdo de transferencia EU-US; los dos anteriores (Safe Harbor, Privacy Shield) fueron tumbados por el mismo tribunal, y se espera un desafío a este — un probable "Schrems III". La adecuación también puede ser revocada. La base legal de GA4 es real, pero está en alquiler.
La parte que el Data Privacy Framework no solucionó: cookies
Incluso con las transferencias en orden, GA4 establece cookies (_gay amigos) — y la Directiva de ePrivacy exige que obtengas un consentimiento informado antes de colocar cualquier cookie no esencial. Esta es una ley distinta al GDPR y el DPF no se mete en eso. Así que todavía necesitas un banner de consentimiento con un botón de rechazo que funcione, GA4 bloqueado hasta que el visitante acepte, y una plataforma de gestión de consentimiento integrada en tu stack. Hablamos de todo esto en detalle en ¿Necesitas el consentimiento de cookies para Google Analytics?
El costo práctico: las tasas de rechazo de consentimiento en la UE varían entre el 30% y el 60% según el sector, así que una gran parte de tu tráfico simplemente desaparece de tus informes. El Modo de Consentimiento v2 de Google tapa el hueco conmodeladodatos — estimaciones estadísticas de lo que probablemente hicieron los visitantes que se fueron — es mejor que nada, pero no es una medición.
Tus opciones, comparadas de manera honesta
Opción 1: Sigue con GA4 y encárgate del trabajo de cumplimiento.Implementa un CMP y bloquea GA4 hasta que acepten, activa el Modo de Consentimiento v2, desactiva Google Signals y el intercambio de datos de anuncios, reduce la retención de datos, firma los Términos de Procesamiento de Datos de Google y documenta todo en tu política de privacidad. Este es un camino legítimo — los reguladores lo aceptan hoy en día — y es la decisión correcta si tus ingresos dependen de la atribución de Google Ads o del emparejamiento de usuarios entre dispositivos. El precio a pagar: costos continuos del CMP, el agujero de datos por rechazo de consentimiento y la exposición si el DPF falla.
Opción 2: Cambia a analítica sin cookies.Herramientas como Gizmo, Plausible y Fathom no usan cookies ni almacenan datos personales, así que el requisito de consentimiento de ePrivacy nunca se activa y la superficie del GDPR se reduce a casi nada. Sin banner, sin CMP, sin datos modelados: ves el 100% de tu tráfico, incluyendo el 30–60% que habría rechazado. Y como no se transfieren datos personales a través del Atlántico en forma identificable, la próxima decisión de Schrems no es tu problema. El intercambio: pierdes identidad entre dispositivos, atribución de anuncios a largo plazo y audiencias de remarketing.
Muchos equipos hacen las dos cosas: análisis de sitios sin cookies como el siempre activo y sin banners, y dejan GA4 solo para la atribución de adquisición pagada detrás de la puerta de consentimiento.
Analítica compatible con el GDPR sin el banner
Gizmo está diseñado sin cookies: un script de ~1KB en una sola línea, IDs de visitantes generados a partir de un hash salado que rota diariamente de IP + User-Agent, sin almacenar la IP cruda y sin huellas digitales. No necesitas banner de consentimiento. Aún tienes acceso a fuentes (incluyendo asistentes de IA), eventos, embudos y datos en tiempo real — y tu agente de codificación de IA puede instalarlo con un solo prompt a través de nuestro servidor MCP. Gratis para siempre para 10k eventos al mes, sitios ilimitados.
FAQ
- ¿Google Analytics 4 cumple con el GDPR en 2026?
- Se puede operar de una manera que la mayoría de los reguladores aceptan actualmente, pero no es compatible de forma predeterminada. Necesitas: un banner de cookies de opt-in (ePrivacy requiere consentimiento antes de que se configuren las cookies _ga), desactivar la configuración de compartición de datos de Google, manejar y retener IP de forma más estricta, un Acuerdo de Procesamiento de Datos firmado y que el Marco de Privacidad de Datos UE-EE. UU. se mantenga en los tribunales. Cada uno de esos es un elemento en movimiento. Las herramientas de análisis sin cookies evitan la mayor parte de esta superficie por completo porque no configuran cookies y no almacenan datos personales.
- ¿Se ha prohibido Google Analytics en Europa?
- No está 'prohibido' formalmente, pero en 2022 varias autoridades de protección de datos de la UE determinaron que Universal Analytics, tal como se suele implementar, violaba el GDPR: el DSB de Austria (enero de 2022), la CNIL de Francia (febrero de 2022) y el Garante de Italia (junio de 2022) concluyeron que las transferencias de datos a EE. UU. eran ilegales bajo el Artículo 44; el Datatilsynet de Dinamarca lo declaró ilegal sin medidas adicionales. Esas decisiones se referían a Universal Analytics, no a GA4 específicamente, y la base legal cambió de nuevo en julio de 2023 cuando el Marco de Privacidad de Datos UE-EE. UU. restableció una base de transferencia legal. Así que: fallos en contra del viejo producto, una tregua incómoda sobre el nuevo.
- ¿Aún necesito un banner de cookies con GA4?
- Sí. Esto es independiente de la cuestión sobre la transferencia de datos. GA4 establece cookies (_ga y amigos), y la Directiva de Privacidad Electrónica de la UE exige consentimiento explícito antes de que se instale cualquier cookie no esencial, sin importar a dónde vayan a parar los datos. El Marco de Privacidad de Datos solucionó las transferencias, no las cookies. En la práctica, entre el 30% y el 60% de los visitantes de la UE rechazan, y el Modo de Consentimiento v2 cubre el vacío con datos modelados (estimados estadísticamente) en lugar de mediciones reales.
- ¿Qué es el Marco de Privacidad de Datos entre la UE y EE. UU. y se puede revocar?
- El DPF es la decisión de adecuación de julio de 2023 que permite a las empresas estadounidenses certificadas (Google LLC está certificada) recibir datos personales de la UE de manera legal — es el sucesor del Privacy Shield, que el TJUE anuló en el fallo Schrems II de 2020. Ya está enfrentando desafíos legales, y los defensores de la privacidad anticipan un caso 'Schrems III'; la Comisión Europea también puede suspender o revocar la adecuación. Si el DPF cae como sus dos predecesores, la base de transferencia de GA4 se va con él, y los propietarios de sitios regresan a la situación de 2022 de la noche a la mañana.
- ¿Qué debo configurar para usar GA4 de forma que cumpla con el GDPR?
- Como mínimo: implementa una plataforma de gestión de consentimientos y bloquea GA4 hasta que acepten; activa el Modo de Consentimiento v2; desactiva Google Signals y el intercambio de datos de anuncios; apaga la recolección de datos de ubicación y dispositivo granular donde no lo necesites; establece la retención de datos en la ventana útil más corta (2 o 14 meses); acepta los Términos de Procesamiento de Datos de Google; y documenta todo en tu política de privacidad y registros de procesamiento. Eso es un trabajo continuo — y sigue dependiendo de que el DPF se mantenga válido.
- ¿Qué análisis no requiere consentimiento de GDPR?
- Analítica que no guarda nada en el dispositivo del visitante y no recopila datos personales. Herramientas sin cookies como Gizmo, Plausible y Fathom no crean cookies (sin activación de consentimiento de ePrivacy) y generan los IDs de los visitantes a partir de un hash salado que rota diariamente de IP + User-Agent, descartando la IP original — así que no hay un identificador persistente y la superficie de GDPR es mínima. La CNIL de Francia ha publicado recomendaciones sobre analítica exenta de consentimiento construida exactamente sobre este modelo. Sin banner, sin pérdida de datos por rechazo de consentimiento, sin depender de la política de adecuación de EE.UU.
- ¿Qué hace a Gizmo Analytics tan especial?
- Gizmo es análisis web sin cookies diseñado primero para MCP. Un script de ~1KB en una línea, sin cookies ni huellas digitales; los IDs de visitantes provienen de un hash salado rotativo diario de IP + User-Agent y la IP cruda nunca se almacena — así que no necesitas banner de consentimiento y la superficie de GDPR es mínima por diseño. Aún obtienes fuentes (incluyendo asistentes de IA como ChatGPT y Claude), eventos, embudos y visitantes en tiempo real. El servidor de MCP permite a los agentes de codificación de IA (Cursor, Claude, Codex) instalarlo y consultarlo en un solo prompt. Gratis para siempre para 10k eventos / mes, sitios ilimitados.
Sigue con la lectura
- ¿Necesitas aceptar las cookies para Google Analytics?La respuesta legal, país por país — y cómo saltarte el banner.
- Seguimiento sin cookies, al granoQué es, cómo funciona y las herramientas que lo hacen de maravilla.
- Analítica que respeta tu privacidadAnalítica GDPR-friendly sin banners de consentimiento.
- Alternativa de Google AnalyticsPor qué los operadores están haciendo el cambio y lo que te cuesta hacerlo.