Google Analytics RGPD España: consentimiento (2026)

Usar Google Analytics en una web española es habitual. Hacerlo cumpliendo el RGPD requiere una configuración concreta y, sobre todo, una arquitectura de consentimiento que muchas tiendas online y blogs no tienen bien resuelta. Esta guía recoge el estado actual a 2026, tras la entrada en vigor del EU-US Data Privacy Framework en julio de 2023, las condiciones que la AEPD exige a través de su Guía sobre el uso de cookies y los precedentes que dejaron las autoridades de otros países europeos entre 2021 y 2022.

Dirijo TrustYourWebsite como un proyecto en solitario y miro este asunto con la lente de quien vive del SEO orgánico y por tanto necesita métricas de tráfico, pero no quiere multas. La conclusión corta: Google Analytics 4 es legal en España con consentimiento previo válido y la configuración mínima que detallo más abajo. Para una verificación técnica directa, escanea tu web gratis y comprueba si GA4 carga antes del consentimiento.

El cambio de paradigma de 2023

Entre 2021 y mediados de 2023, varias autoridades europeas de protección de datos declararon ilegal el uso de Google Analytics. Tres decisiones marcaron el periodo:

• Datenschutzbehörde de Austria, 22 de diciembre de 2021, en el procedimiento Schrems (NOYB). La autoridad austriaca consideró que la transferencia a Google LLC en Estados Unidos vulneraba el Capítulo V del RGPD por la doctrina Schrems II del TJUE.
• CNIL de Francia, 10 de febrero de 2022, mediante orden formal al gestor de un sitio web francés y publicación de su posición sobre el uso de Google Analytics.
• Garante italiano, 9 de junio de 2022, en la resolución 224/2022 contra Caffeina Media S.r.l. y otros, llegando a conclusión equivalente.

Las tres decisiones se apoyaron en la misma base: tras la sentencia Schrems II del TJUE de julio de 2020, las transferencias a Estados Unidos no podían sostenerse sin garantías suplementarias específicas que GA en su configuración estándar no proporcionaba.

El 10 de julio de 2023, la Comisión Europea adoptó la Decisión de Adecuación que aprueba el EU-US Data Privacy Framework. Google Inc. figura entre las primeras empresas adheridas. A partir de esa fecha, las transferencias a empresas adheridas al DPF se consideran amparadas por el Art. 45 del RGPD sin necesidad de Cláusulas Contractuales Tipo adicionales.

El resultado práctico es que las decisiones de 2021-2022 ya no son trasladables literalmente al escenario actual. La AEPD no ha publicado sanción específica contra el uso de GA en empresas adheridas al DPF. El centro de atención del enforcement se ha desplazado al consentimiento previo.

Lo que recoge realmente Google Analytics 4

Antes de entrar en consentimiento, conviene fijar qué procesa GA4. Cuando el script carga en una web, envía a los servidores de Google:

• Dirección IP del visitante, usada al menos transitoriamente para geolocalización
• Client ID, identificador pseudonimizado almacenado en la cookie _ga que vincula varias sesiones del mismo dispositivo
• Session ID, identifica la sesión en curso
• Datos del dispositivo: tipo de navegador, sistema operativo, resolución de pantalla, idioma
• Localización geográfica derivada de la IP a nivel de país, región o ciudad
• Eventos de interacción: páginas visitadas, scroll, clics en enlaces, eventos personalizados
• Origen de tráfico: enlace de referencia, motor de búsqueda, campaña UTM

La combinación de Client ID, IP, dispositivo y comportamiento es identificable según el considerando 26 del RGPD. La pseudonimización reduce el riesgo pero no convierte el dato en anónimo. Para todos los efectos del RGPD, GA4 procesa datos personales.

La condición central: consentimiento previo válido

La obligación de consentimiento previo a la carga de scripts no estrictamente necesarios viene del Art. 22.2 de la LSSI-CE, que transpone la Directiva ePrivacy en España, y se completa con el Art. 6 del RGPD para la legitimidad del tratamiento.

Los requisitos que la AEPD verifica en sus inspecciones de cookies:

1. Banner antes del primer evento. GA4 no debe inicializarse, ni con Consent Mode en denied, antes de que el visitante interactúe con el banner. Esto incluye no precargar el script gtag.js.
2. Rechazo igual de sencillo que aceptación. Mismo nivel jerárquico, mismo número de clics, mismo peso visual. Botones del banner como "Aceptar todo" en color principal y "Rechazar" oculto en un enlace gris incumplen.
3. Acción afirmativa específica. Scroll, navegación o cierre del banner no son consentimiento válido. Solo el clic explícito sobre el botón de aceptación. La sentencia del TJUE en el asunto Planet49 (C-673/17) lo confirmó.
4. Información clara antes de la decisión. El visitante debe poder leer qué scripts se cargan y qué datos se procesan antes de decidir, mediante la política de cookies enlazada desde el banner.
5. Granularidad por finalidad. El banner debe permitir aceptar analítica sin aceptar marketing, no un único botón "todo o nada".
6. Mecanismo de retirada igualmente sencillo. Cambiar la decisión más adelante debe ser tan fácil como darla inicialmente, mediante un enlace persistente al panel de preferencias.

Si tu banner no cumple cualquiera de los seis puntos, la analítica que cargues por debajo es irrelevante: la infracción es del propio banner. Revisa antes la guía sobre cuándo es obligatorio el banner de cookies en España.

Configuración mínima de GA4 para cumplir

Asumiendo banner correcto, estos son los cinco ajustes técnicos que deben estar en su sitio en el panel de GA4.

1. Bloqueo del script hasta el consentimiento

La etiqueta gtag.js o analytics.js no debe cargar antes de que el banner emita el evento de consentimiento. Implementaciones habituales:

• Google Tag Manager con triggers condicionados a la variable de consentimiento.
• Carga manual del script desde JavaScript que escucha el evento del CMP (Consent Management Platform).
• CMP integrado: Cookiebot, OneTrust, Iubenda y similares ofrecen plantillas que solo inyectan GA4 tras el consentimiento.

2. Activar Data Privacy Framework en la cuenta

En Administración > Acceso a los datos > Confirmaciones de transferencia de datos, declarar que el responsable del tratamiento se apoya en el EU-US DPF como mecanismo de transferencia. Es declarativo pero deja constancia en la cuenta.

3. Política de retención de datos al mínimo

En Administración > Configuración de datos > Retención de datos, fijar el periodo en 2 meses (mínimo) o 14 meses según la profundidad de análisis que necesites. GA4 por defecto se configura en 2 meses tras el reseteo del usuario.

4. Desactivar la recogida de señales de Google

En Administración > Configuración de datos > Recogida de datos > Señales de Google, desactivar las "Señales de Google" salvo que tengas base jurídica específica para publicidad personalizada, en cuyo caso requiere consentimiento granular separado.

5. Restringir las funciones de publicidad

En la misma sección, desactivar la personalización de anuncios por defecto. Solo activarla si el banner ofrece consentimiento granular específico para publicidad y la cookie de marketing lo refleja.

Información obligatoria en la política de privacidad

La política de privacidad debe describir el tratamiento de analítica. Cláusula mínima:

"Utilizamos Google Analytics 4, servicio de analítica web prestado por Google Inc., con sede en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos. Google Inc. está adherida al EU-US Data Privacy Framework, mecanismo aprobado por la Decisión de Adecuación (UE) 2023/1795 de la Comisión Europea. La base jurídica del tratamiento es el consentimiento del Art. 6.1.a del RGPD, recogido a través del banner de cookies. El periodo de conservación de los datos asociados al Client ID es de [2/14] meses. Puede retirar el consentimiento en cualquier momento desde el panel de preferencias de cookies accesible desde el pie de cada página."

Para el bloque general de la política, ya tienes la plantilla de política de privacidad con todos los apartados del Art. 13 del RGPD.

Alternativas a Google Analytics sin banner

Cuando el banner de cookies daña la conversión o la experiencia del usuario es prioritaria, las alternativas cookieless permiten obtener métricas sin consentimiento previo en la mayoría de configuraciones.

Las tres condiciones que estas herramientas suelen cumplir para operar sin banner: ausencia total de cookies persistentes en el cliente, anonimización completa de la IP en origen y no construcción de perfiles individuales entre visitas. Verifica la configuración concreta de cada herramienta antes de eximir el banner. La "exención por analítica" no es automática, depende de cada implementación.

La ventaja secundaria de las alternativas es que evitan el debate sobre transferencias internacionales y se apoyan en alojamiento europeo. La desventaja es la integración con el ecosistema publicitario de Google, que GA4 sí ofrece y las alternativas no.

Posición de la AEPD

La AEPD no ha publicado, a fecha de esta guía, sanción específica contra el uso de GA4 en empresas adheridas al DPF. Su Guía sobre el uso de cookies (última actualización publicada en 2023, accesible en aepd.es) trata Google Analytics como un caso de cookie analítica no estrictamente necesaria que requiere consentimiento previo del usuario.

El enforcement activo de la AEPD se centra en:

• Banners que no permiten rechazar
• Scripts de marketing que cargan antes del consentimiento
• Política de cookies que no se corresponde con las cookies efectivamente colocadas
• Ausencia de mecanismo de retirada del consentimiento

Estos cuatro puntos están en la base de la mayoría de los expedientes sancionadores publicados en el registro de la AEPD durante 2024 y 2025. No hace falta una "decisión específica sobre Google Analytics" para sancionar: cargar GA4 sin consentimiento es directamente infracción del Art. 22 LSSI-CE.

Para auditar qué scripts cargan en tu web antes del consentimiento, sigue la auditoría RGPD paso a paso con DevTools.

Checklist de cumplimiento GA4

Antes de considerar tu implementación de GA4 conforme:

• El banner cumple los seis puntos de consentimiento válido
• GA4 no carga ni inicializa hasta que el visitante acepta expresamente
• Consent Mode v2 implementado correctamente (no como sustituto del banner)
• DPF declarado en la cuenta de GA4 como mecanismo de transferencia
• Retención de datos configurada al mínimo necesario
• Señales de Google desactivadas salvo consentimiento publicitario específico
• Política de privacidad describe el tratamiento, el destinatario y el mecanismo de transferencia
• Mecanismo de retirada del consentimiento accesible desde el pie de la web
• Política de cookies coincide con las cookies efectivamente colocadas

Cuándo conviene asesoramiento externo

La configuración estándar de GA4 con DPF y banner correcto cubre la situación típica de una pyme. Hay supuestos que merecen revisión específica:

• Sitios con tráfico significativo desde fuera del EEE donde se procesan datos de visitantes no UE bajo regímenes adicionales
• Sectores regulados (salud, finanzas) donde el solo hecho de visitar la web puede indicar categoría especial de datos
• Implementaciones cross-domain o cross-property con consolidación entre webs distintas que multiplican el riesgo
• Reclamación recibida de un interesado o requerimiento ya iniciado por la AEPD

---

Esto es análisis técnico, no asesoramiento legal. Para sectores regulados, transferencias internacionales no cubiertas por el DPF o procedimientos sancionadores en curso, consulta con un abogado especializado en protección de datos.