Guías Comprobación de herramientas
Google Analytics 4 y RGPD: lo que las agencias deben saber en 2026
Google Analytics 4 puede utilizarse en la UE, pero solo con consentimiento. Quien cargue GA4 nada más abrir la página se expone a denuncias y sanciones. Esto es lo que realmente cuenta.
¿Está permitido el uso de Google Analytics 4?
Sí: GA4 no está prohibido, pero requiere consentimiento. Solo puede tratar datos una vez que el visitante haya dado su consentimiento de forma activa.
GA4 utiliza cookies y transmite datos a Google, también a Estados Unidos. Ambas acciones solo están permitidas si se cuenta con un consentimiento válido. La base la fijan el artículo 22 de la LSSI (que traspone la directiva ePrivacy y exige el consentimiento previo para instalar cookies no necesarias) junto con el RGPD y la LOPDGDD para el tratamiento de los datos personales resultantes. Sin consentimiento, GA4 no debe cargarse.
La AEPD lo recoge en su Guía sobre el uso de las cookies: las cookies analíticas de terceros como las de Google Analytics no son técnicamente necesarias y, por tanto, requieren consentimiento previo, informado e inequívoco.
Las 4 condiciones para GA4
Para que GA4 funcione respetando la protección de datos deben darse cuatro condiciones; si falta alguna, la página queda expuesta.
- Consentimiento antes de la carga: GA4 solo se inicia tras hacer clic en «Aceptar», nunca antes (artículo 22 de la LSSI).
- Modo de Consentimiento de Google v2: transmite correctamente el estado del consentimiento a Google.
- Contrato de encargo de tratamiento con Google: se acepta al crear la cuenta y debe quedar documentado (artículo 28 del RGPD).
- Transparencia: el uso de GA4 y la transferencia internacional de datos a EE. UU. deben constar en la política de privacidad (artículos 13 y 44 y siguientes del RGPD).
El error más común (y caro)
En la mayoría de las páginas, GA4 se dispara nada más cargarse el sitio, incluso antes de que el visitante haya hecho clic. El banner queda entonces como mera decoración.
Muchos plugins de cookies solo muestran un banner, pero no bloquean técnicamente el rastreador. El resultado: GA4 lleva ya tiempo enviando datos mientras el banner todavía pide permiso. Esto es justamente lo que las guías de la AEPD señalan como infracción del artículo 22 de la LSSI y del RGPD, con independencia de lo que diga el banner. Otro fallo frecuente: un botón «Rechazar» menos visible o más costoso que «Aceptar», cuando la AEPD exige que rechazar sea tan sencillo como aceptar.
Así cumple la ley GA4
Instala un banner que bloquee realmente GA4 hasta que se haya dado el consentimiento, y compruébalo.
BlueOcean Privacy AI bloquea técnicamente rastreadores como GA4 hasta que se obtiene el consentimiento, implementa el Modo de Consentimiento v2 y mantiene actualizada de forma automática la política de privacidad conforme al RGPD. Un escaneo gratuito de tu sitio web te muestra en 5 minutos si GA4 se carga en tu página antes del consentimiento. ¿Tienes dudas? Lo revisamos juntos en una breve cita de asesoramiento.
Echemos un vistazo a tus sitios
En una llamada de 15 minutos verás cómo están los sitios de tus clientes — y cómo protegerlos sin esfuerzo.
Preguntas frecuentes
¿Está permitido el uso de Google Analytics 4 en la UE?
Sí, siempre que se cuente con el consentimiento válido del visitante (artículo 22 de la LSSI y RGPD), el Modo de Consentimiento v2 y el contrato de encargo de tratamiento con Google. Sin ese consentimiento previo, GA4 no debe cargarse.
¿Necesito un contrato de encargo de tratamiento para GA4?
Sí. Google facilita las condiciones de encargo del tratamiento conforme al artículo 28 del RGPD; deben aceptarse y conservarse documentadas como parte de tus registros de actividades de tratamiento.
¿Qué ocurre si GA4 se carga sin consentimiento?
Supone una infracción clara del artículo 22 de la LSSI y del RGPD y puede dar lugar a una reclamación ante la AEPD y a un procedimiento sancionador, aunque exista un banner de cookies en la página.