Una guía práctica de ¿Cumplen Google Analytics y GA4 con el

Esta guía explica ¿Cumplen Google Analytics y GA4 con el de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

La respuesta honesta es: GA4 puede configurarse de formas más respetuosas con la privacidad que las antiguas implantaciones de Universal Analytics, pero un despliegue estándar de GA4 no es automáticamente compatible con el RGPD. El cumplimiento depende de la configuración, el consentimiento, el mecanismo de transferencia, las finalidades, los contratos, los ajustes regionales y de los datos que envíes.

Esto no es asesoramiento legal, pero es una forma práctica de analizar el riesgo.

Por qué existe la pregunta

La aplicación europea contra Google Analytics surgió a raíz de Schrems II, la sentencia del TJUE de 2020 que invalidó el Privacy Shield UE-EE. UU. y exigió a los exportadores que utilizan Cláusulas Contractuales Tipo evaluar si la legislación del país de destino ofrece una protección esencialmente equivalente (asunto C-311/18 del TJUE). Tras esa sentencia, noyb presentó 101 reclamaciones contra sitios que usaban Google Analytics o Facebook Connect.

Varias autoridades cuestionaron después implementaciones concretas de Google Analytics. El Garante italiano consideró que un sitio que usaba Google Analytics transfería datos de usuario a Estados Unidos sin salvaguardas adecuadas y subrayó que las direcciones IP son datos personales según el contexto (Garante). Más tarde, la IMY sueca ordenó a varias empresas dejar de utilizar la versión auditada de Google Analytics y emitió multas en dos casos (IMY).

Lo que GA4 mejoró

GA4 cambió partes del producto. Está basado en eventos, incluye controles de retención más granulares y ofrece funciones relacionadas con el consentimiento. Google también documenta los eventos clave modelados para los casos en los que las conversiones no pueden observarse directamente debido a límites de privacidad, técnicos o entre dispositivos (eventos clave modelados de GA4).

Esas mejoras importan. Pueden reducir parte de los riesgos de recopilación y de publicidad cuando se usan correctamente. Pero no eliminan la necesidad de un análisis de RGPD.

Las preguntas principales de cumplimiento

Un responsable que use GA4 debería poder responder, al menos, a estas preguntas:

• ¿Qué base lícita aplica al tratamiento de analítica?
• ¿Es necesario el consentimiento bajo las normas locales de ePrivacy porque se usan cookies o almacenamiento en el dispositivo?
• ¿Están habilitados Google Signals, la personalización de anuncios, el remarketing o ajustes granulares de ubicación/dispositivo?
• ¿Se envían URLs completas y pueden contener datos personales?
• ¿Se envía algún User ID o identificador de cliente a Google?
• ¿Qué periodo de retención está configurado?
• ¿Qué entidad de Google trata los datos y dónde?
• ¿Qué mecanismo de transferencia aplica si los datos salen del EEE?
• ¿La organización se apoya en el Marco UE-EE. UU. de Privacidad de Datos, en CCT u otro mecanismo?
• ¿El aviso de privacidad explica con claridad el tratamiento?

Si un equipo no puede responder a esas preguntas, no debería afirmar que GA4 cumple.

El Marco UE-EE. UU. de Privacidad de Datos cambió el panorama

La Comisión Europea adoptó una decisión de adecuación para el Marco UE-EE. UU. de Privacidad de Datos el 10 de julio de 2023 (Comisión Europea). Esto da a las organizaciones estadounidenses certificadas una nueva base para las transferencias UE-EE. UU. Es un avance significativo y debería formar parte de cualquier análisis actual, junto con las CCT u otros mecanismos cuando el DPF no esté disponible.

Pero la adecuación no lo resuelve todo. El cumplimiento del RGPD también requiere limitación de la finalidad, minimización de datos, transparencia, seguridad, control de retención, condiciones del encargado y consentimiento válido cuando se requiera consentimiento. Un mecanismo de transferencia es solo una capa.

Consentimiento y cookies

Si GA4 se despliega con cookies o accesos similares al dispositivo, puede ser necesario el consentimiento antes de que el script se ejecute, según la jurisdicción y la configuración. El informe del grupo de trabajo del EDPB sobre banners de cookies explica que la colocación o lectura de cookies se rige por las normas nacionales de ePrivacy, mientras que el tratamiento posterior puede caer bajo el RGPD (grupo de trabajo del EDPB sobre banners de cookies).

El consentimiento debe ser real. Las directrices del EDPB sobre consentimiento subrayan que el consentimiento válido debe ser libre, específico, informado e inequívoco (directrices del EDPB sobre consentimiento). Las casillas premarcadas, los flujos de rechazo confusos o el consentimiento publicitario empaquetado son bases débiles.

Prácticas habituales de riesgo en GA4

Evítalas salvo que tu equipo legal las haya aprobado expresamente:

• Enviar correos, IDs de cliente, IDs de pedido o consultas de búsqueda que contengan datos personales.
• Dejar parámetros de consulta sensibles en las URLs de página.
• Habilitar funciones publicitarias sin un modelo de consentimiento válido.
• Tratar la truncación o agregación de IP como una solución completa de anonimización.
• Usar los datos de GA4 para finalidades no divulgadas en tu aviso de privacidad.
• Suponer que un banner de consentimiento resuelve todos los problemas de transferencia y minimización.

Una alternativa con privacidad por delante

Para muchas organizaciones, la pregunta real no es "¿se puede hacer GA4 compatible?" sino "¿necesitamos GA4?". Si dependes mucho de Google Ads, las conversiones modeladas y la exportación a BigQuery, GA4 puede justificar el trabajo. Si necesitas tráfico del sitio, fuentes de tráfico, campañas, objetivos y eventos de ingresos, una herramienta de analítica sin cookies puede ser más fácil de desplegar y de explicar.

Una configuración de analítica con privacidad por delante debería evitar identificadores persistentes, recopilar solo datos de medición agregados, minimizar o evitar los datos personales, eliminar las URLs sensibles y ofrecer condiciones claras de retención y hosting. Eso no elimina todo el trabajo de cumplimiento, pero reduce el número de piezas legales en movimiento.

El cumplimiento de GA4 no es una propiedad de sí o no del nombre del producto. Es una propiedad de tu implementación. Configúralo de manera deliberada, documenta el análisis y no recopiles más de lo que tu equipo pueda justificar.

Lista de revisión de GA4

Documenta los ajustes exactos de la propiedad de GA4 antes del lanzamiento: modo de consentimiento, Google Signals, personalización de anuncios, cuentas vinculadas de Google Ads, User-ID, medición mejorada, ajustes regionales, retención, exportación a BigQuery y dimensiones personalizadas. Después compara una prueba en navegador limpio con el aviso de privacidad y el banner de consentimiento. Si GA4 recibe eventos antes de una elección válida, recibe URLs sensibles o utiliza funciones publicitarias fuera de la finalidad divulgada, la implementación necesita más trabajo.

La respuesta final es específica de cada implementación. Una configuración cuidadosa de GA4 puede reducir el riesgo, pero el nombre de la marca no aporta la base lícita, el flujo de consentimiento, la evaluación de transferencia ni la disciplina de minimización.