Apuntarme a la lista

Google Analytics y el RGPD: riesgos en la UE, decisiones de las APD y alternativas

Por Iñigo Larrea Atriqo Última revisión
En este artículo (14 secciones)

Las autoridades de protección de datos europeas llevan años emitiendo resoluciones sobre usos concretos de Google Analytics. Si tienes un sitio web en la UE, este artículo explica el panorama regulatorio documentado y cómo es en la práctica una alternativa de analítica respetuosa con la privacidad.

Respuesta rápida

Las APD europeas han emitido resoluciones contra usos específicos de Google Analytics que implicaban transferencias de datos UE-EE. UU. e identificadores utilizados para analítica. GA4 puede configurarse de distintas formas, y el Marco de Privacidad de Datos UE-EE. UU. cambió el contexto de las transferencias, pero muchos equipos europeos prefieren herramientas de analítica privacy-first que evitan las cookies de seguimiento, el rastreo entre sitios, el fingerprinting y la infraestructura fuera de la UE. Si el uso concreto que haces de Google Analytics en tu sitio es lícito depende de tu configuración, de las directrices de tu APD y de tu base jurídica — este artículo no puede determinarlo por ti.

Puntos clave

  • Las APD europeas han emitido resoluciones contra usos concretos de Google Analytics que implicaban transferencias de datos UE-EE. UU.
  • GA4 introduce habitualmente la necesidad de gestionar el consentimiento de cookies y las transferencias internacionales en sitios con sede en la UE.
  • Las herramientas de analítica privacy-first reducen esa complejidad al evitar cookies de seguimiento, rastreo entre sitios y fingerprinting.
  • Atriqo no hace que tu sitio sea conforme con el RGPD en su totalidad; reduce los puntos de fricción específicos de la analítica.

Definiciones

Analítica privacy-first: analítica web diseñada para evitar cookies de seguimiento, rastreo entre sitios y fingerprinting. La identificación de sesiones se basa en mecanismos del lado del servidor en lugar de identificadores persistentes en el navegador.

RGPD-nativo por diseño: posicionamiento de producto que significa que la herramienta ha sido diseñada desde el inicio en torno a los principios europeos de protección de datos, no que se haya adaptado posteriormente con parches. No es una certificación de cumplimiento.

¿Es Google Analytics conforme con el RGPD?

La respuesta corta: depende de tu configuración, de tu base jurídica para las transferencias y de qué autoridad tenga jurisdicción — pero la tendencia regulatoria documentada en Europa ha sido sistemáticamente desfavorable para los patrones de uso habituales.

Varias autoridades nacionales de protección de datos (APD) han emitido resoluciones formales o directrices que concluyen que usos específicos de Google Analytics implican transferencias de datos ilícitas:

  • Austria (DSB): El 13 de enero de 2022, la APD austriaca emitió una resolución por la que declaró que el uso de Google Analytics en un sitio web austriaco infringía el artículo 44 del RGPD, dado que los datos de los usuarios (incluidas direcciones IP e identificadores del navegador) se transferían a Google en los Estados Unidos sin garantías adecuadas en virtud del entonces invalidado Privacy Shield. (noyb.eu)
  • Francia (CNIL): El 10 de febrero de 2022, la APD francesa emitió un requerimiento formal (mise en demeure) exigiendo a un sitio web francés que cumpliera con el RGPD, al considerar que las transferencias de datos a los servidores de Google en EE. UU. eran ilícitas en las circunstancias analizadas. (cnil.fr)
  • Italia (Garante): El 9 de junio de 2022, la APD italiana (Garante) emitió una resolución similar contra un sitio web italiano (Caffeina Media) que utilizaba Google Analytics, citando las mismas preocupaciones sobre las transferencias de datos UE-EE. UU. (garanteprivacy.it)
  • Alemania (diversas APD de los Länder): Las autoridades alemanas de protección de datos han publicado directrices en las que indican que Google Analytics, tal como se despliega habitualmente, es incompatible con el RGPD salvo que se apliquen medidas técnicas específicas y de considerable complejidad — la anonimización de IP por sí sola no se considera suficiente según las directrices alemanas. (resumen: Hunton Privacy Blog)

Las resoluciones austriaca, francesa e italiana son resoluciones administrativas formales sobre usos concretos de Google Analytics; la posición alemana es orientación regulatoria publicada por las APD de los Länder, no una resolución de un caso único. En cualquier caso, forman parte del registro público, no son meras opiniones. Una nota sobre el marco temporal: estas resoluciones de 2022 se referían a la era de Universal Analytics — la versión de Google Analytics desplegada entonces — no a GA4. Los cambios posteriores de GA4 en el tratamiento de IP fueron, en parte, una respuesta de Google a exactamente estas preocupaciones; pero la cuestión subyacente de las transferencias de datos UE-EE. UU. que plantearon las resoluciones sigue vigente. El Marco de Privacidad de Datos UE-EE. UU. (MPD), la decisión de adecuación de la Comisión que entró en vigor en julio de 2023, proporciona un nuevo mecanismo jurídico para las transferencias UE-EE. UU. que no existía en el momento de aquellas resoluciones. (Decisión de Ejecución (UE) 2023/1795 de la Comisión)

Este artículo no constituye asesoramiento jurídico. Si el uso concreto que haces de Google Analytics es lícito en tu jurisdicción depende de tu configuración, de tu APD y del panorama jurídico en evolución. Lo que muestra el registro público es una preocupación regulatoria documentada que muchos responsables de sitios en la UE están optando por abordar de forma proactiva.

¿Qué hace que Google Analytics sea un quebradero de cabeza para el RGPD?

Entender las razones técnicas documentadas por las que surgen estas preocupaciones te ayuda a evaluar las alternativas con mayor claridad.

Cookies e identificadores persistentes. GA4 instala por defecto cookies de origen (_ga, _ga_*) para identificar a los visitantes que regresan entre sesiones y páginas. (Documentación de desarrolladores de Google) En virtud de la normativa ePrivacy, instalar cookies no esenciales requiere consentimiento previo del usuario en la mayoría de las jurisdicciones de la UE. Eso implica un banner de consentimiento, con todos los costes en tasas de conversión que conlleva.

Transferencias de datos a EE. UU. GA4 es operado por Google LLC (EE. UU.), con Google Ireland Ltd actuando como entidad en la UE. Los datos recopilados en la UE fluyen hacia la infraestructura de Google en EE. UU. La base jurídica para esta transferencia — y si satisface el artículo 44 del RGPD — es precisamente lo que han estado examinando las APD europeas.

Complejidad en la relación responsable-encargado. Cuando utilizas GA4, Google trata los datos en virtud de un Acuerdo de Tratamiento de Datos — pero, dependiendo de la configuración de uso compartido de datos de tu cuenta (por ejemplo, "Productos y servicios de Google", o activar Google Signals o la vinculación con anuncios), Google también puede utilizar esos datos para sus propios fines, como la mejora de sus productos o la personalización de anuncios. (Google: configuración de uso compartido de datos) Cuando esa configuración está activada, la relación responsable-encargado se vuelve más compleja que un acuerdo de encargado puro, y las APD europeas lo han señalado en sus resoluciones.

Consent Mode. El Consent Mode de Google está diseñado para mitigar el problema del consentimiento, pero añade complejidad de implementación y no elimina la cuestión subyacente de las transferencias UE-EE. UU.

¿Cómo es una alternativa privacy-first?

Atriqo es una herramienta de analítica web privacy-first y sin cookies, alojada en la UE (Alemania), construida como alternativa RGPD-nativa por diseño a Google Analytics.

Una herramienta diseñada desde el inicio en torno a los principios europeos de protección de datos tiene un aspecto muy diferente al de GA4 con capas de mitigaciones añadidas encima.

Las diferencias clave en la arquitectura técnica:

Sin cookies. Una herramienta de analítica sin cookies identifica las sesiones utilizando un mecanismo del lado del servidor — normalmente un hash de la dirección IP, el user agent y un salt diario rotativo — sin instalar ninguna cookie en el navegador del visitante.

Dado que el tracker de Atriqo no instala cookies de analítica, no añade el motivo habitual para el banner de consentimiento de cookies que introduce GA4. Tu sitio puede seguir necesitando un banner si otras herramientas, integraciones, píxeles o proveedores requieren consentimiento.

IP descartada tras un hash de privacidad. La dirección IP en bruto no se almacena nunca. Se utiliza para calcular un hash (mediante HMAC con una clave secreta y un salt diario rotativo) y se descarta a continuación. El hash cambia cada día, por lo que el mismo visitante mañana producirá un hash diferente. Esto es seudónimo, no anónimo — el hash diario sigue funcionando como identificador de sesión — pero la IP original desaparece.

Infraestructura alojada en la UE. Los datos permanecen en la UE desde la recogida hasta el almacenamiento. Para un responsable de sitio web que se preocupa por las normas del artículo 44 del RGPD sobre transferencias de datos, elegir una herramienta donde la cuestión de las transferencias UE-EE. UU. no se plantea es una diferencia arquitectónica significativa.

Sin rastreo entre sitios. Cada sitio web es un silo de analítica independiente. No existe ningún mecanismo para rastrear a un visitante en diferentes sitios, porque los datos de cada sitio están indexados únicamente por el identificador de ese sitio.

GA4 vs. una alternativa privacy-first: comparación directa

La tabla siguiente compara GA4 con Atriqo en las dimensiones más relevantes para las preocupaciones de RGPD en la UE.

Comparación de funciones
Dimensión GA4 Atriqo
Cookies instaladas por defecto Sí — cookies de origen _ga, _ga_* (documentación de Google) No — cómo se identifican los visitantes: hash HMAC del lado del servidor, sin cookies instaladas
Banner de consentimiento habitualmente obligatorio (UE) Sí — las cookies no esenciales requieren consentimiento previo en virtud de la normativa ePrivacy en la mayoría de jurisdicciones de la UE (Directiva ePrivacy 2002/58/CE, art. 5(3)) No obligatorio para el tracker de Atriqo (comportamiento de cookies: sin cookies de analítica instaladas). Si tu sitio utiliza otras herramientas, tus obligaciones de consentimiento dependen del conjunto completo de proveedores.
Alojamiento de datos Mixto — Google opera centros de datos en la UE; matriz estadounidense (Alphabet) con Google Ireland como entidad en la UE; transferencias UE-EE. UU. en virtud de CCT / MPD UE-EE. UU. (decisión de adecuación MPD UE-EE. UU.) UE — infraestructura de analítica alojada en Alemania (Hetzner Falkenstein)
Tratamiento de la dirección IP Google la usa para geolocalización en el momento de la recogida; según Google, las IP no se registran para el tráfico de la UE, pero el tratamiento transitorio no elimina la cuestión de las transferencias UE-EE. UU. (Google GA4 datos y privacidad) Tratamiento de IP: descartada tras el hash de privacidad (HMAC); nunca almacenada
Rastreo entre sitios Limitado (GA4 usa cookies de origen; el ecosistema publicitario más amplio de Google utiliza identificadores entre sitios) (documentación de Google) No — aislamiento de sitios: cada sitio es un silo de datos independiente
Fingerprinting No es el mecanismo principal de GA4 (las cookies son preferidas) Sin fingerprinting — consulta lo que el tracker evita
Jurisdicción en la UE (entidad) No — matriz estadounidense Alphabet, Google Ireland Ltd como entidad en la UE Sí — entidad registrada en España
Preocupación documentada por transferencias UE-EE. UU. (RGPD art. 44) Presente — documentada en las resoluciones de las APD de Austria, Francia e Italia, más las directrices regulatorias alemanas (2022) (noyb.eu) No presente — los datos permanecen en la UE
Plan gratuito Sí (plan gratuito estándar de GA4 — con umbrales de informes y muestreo por encima de los límites de cuota) (GA4: muestreo de datos) Sí — 10.000 eventos facturables al mes, sin tarjeta de crédito, sin caducidad
Precio de entrada de pago GA360 (Analytics 360) — precio personalizado para grandes empresas, sin tarifa plana pública (Google Marketing Platform) Planes de pago desde €4/mes por 100.000 eventos facturables

Hechos vs interpretación

La tabla anterior contiene dos tipos de información que merece la pena distinguir:

Hechos documentados: Las resoluciones del DSB austriaco, la CNIL francesa y el Garante italiano — y las directrices de las APD de los Länder alemanes — son de dominio público. El MPD UE-EE. UU. entró en vigor en julio de 2023. GA4 instala cookies _ga y _ga_* por defecto. Son hechos verificables sobre resoluciones concretas y configuraciones técnicas por defecto.

Nuestra interpretación: Que estos hechos constituyan un motivo para considerar el cambio de herramienta es la posición comercial de Atriqo. Un abogado que asesore a tu organización podría llegar a una conclusión diferente sobre tu perfil de riesgo específico, tu jurisdicción y si tu configuración actual de Google Analytics mitiga suficientemente las preocupaciones documentadas.

"Pero llevo años usando GA4 sin ningún problema"

Es una reacción habitual y comprensible. La aplicación regulatoria no es uniforme. Los recursos de las APD son limitados; las investigaciones activas se centran en denunciantes específicos y en casos de alto perfil más que en auditorías generalizadas.

Lo que el registro documentado nos indica es la dirección de marcha: las APD de Austria, Francia e Italia han emitido resoluciones — y las autoridades alemanas han publicado directrices — que concluyen que usos específicos de Google Analytics que implican transferencias UE-EE. UU. generan preocupaciones regulatorias documentadas.

El MPD UE-EE. UU. ha creado un nuevo mecanismo de transferencia desde 2023, y el 3 de septiembre de 2025 el Tribunal General de la UE desestimó un recurso contra su validez (asunto T-553/23, Latombe c. Comisión), confirmando la decisión de adecuación de la Comisión. (curia.europa.eu) Esa resolución ha sido recurrida posteriormente: el 31 de octubre de 2025 Philippe Latombe interpuso recurso ante el Tribunal de Justicia (asunto C-703/25 P), por lo que la validez de la decisión de adecuación sigue siendo objeto de revisión en el tribunal supremo de la UE. (EUR-Lex, DO C/2025/6610) La estabilidad a largo plazo de los marcos de transferencia UE-EE. UU. sigue siendo, por tanto, objeto de debate, y los responsables de sitios web siguen necesitando entender qué datos envía su stack de analítica, a dónde y bajo qué mecanismo.

La cuestión del riesgo práctico es algo que tú y tu asesor jurídico necesitáis responder para vuestra situación específica. La respuesta factual a la pregunta "¿existe una preocupación regulatoria documentada sobre usos específicos de Google Analytics?" es sí.

¿Qué es "RGPD-nativo por diseño"?

"RGPD-nativo por diseño" es una afirmación de posicionamiento, no una certificación de cumplimiento. Significa que la herramienta fue construida desde el inicio para alinearse con los principios europeos de protección de datos, en lugar de adaptarse posteriormente con parches.

Para Atriqo específicamente, "RGPD-nativo por diseño" significa:

  • El tracker no instala cookies.
  • Sin fingerprinting de visitantes.
  • Las direcciones IP se descartan tras el cálculo de un hash de privacidad (HMAC con un salt diario rotativo). La IP en bruto nunca se escribe en disco.
  • Sin rastreo entre sitios — los datos de cada sitio están aislados.
  • Infraestructura de analítica alojada en la UE, con infraestructura específicamente en Alemania (Hetzner Falkenstein).

Esto no significa que Atriqo haga que tu sitio sea conforme con el RGPD. La conformidad de tu sitio depende de tu stack completo de proveedores, de tus actividades de tratamiento y de las directrices de tu APD. Lo que significa es que la herramienta de analítica en sí no es la fuente de los puntos de fricción habituales con el RGPD.

¿Y la calidad de los datos de analítica?

La analítica sin cookies funciona de manera diferente a la analítica basada en cookies. Merece la pena ser honestos al respecto.

Lo que funciona bien: recuentos de páginas vistas, estimaciones de visitantes únicos dentro de un día, métricas de sesión, páginas principales, referrers, distribución geográfica (a nivel de país), desglose por dispositivo y navegador, seguimiento de campañas UTM, eventos personalizados dentro de una sesión, visitantes activos en tiempo real, objetivos de conversión en la misma sesión.

Lo que es menos preciso: identificación de visitantes que regresan en días diferentes (el hash rota diariamente, por lo que el mismo visitante físico mañana produce un hash diferente), análisis de recorrido multi-sesión, análisis de retención de cohortes a largo plazo, atribución de ingresos para compras que abarcan múltiples sesiones.

Es una compensación deliberada. Si tu caso de uso principal es el análisis de tráfico agregado, el rendimiento de campañas y entender qué páginas y fuentes generan visitas, la analítica sin cookies es suficientemente precisa. Si necesitas un rastreo preciso de usuarios individuales durante semanas o meses, eso requiere identificadores persistentes — lo que significa cookies — y es un producto diferente para un caso de uso diferente.

¿Es Atriqo lo que necesitas?

Atriqo está pensado para:

  • Desarrolladores y profesionales de marketing en empresas europeas que quieren datos de tráfico limpios sin la carga de RGPD de los banners de consentimiento de cookies que introducen las herramientas de analítica.
  • Sitios que principalmente necesitan métricas agregadas (tráfico, fuentes, conversiones) en lugar de seguimiento de usuarios individuales.
  • Equipos que quieren un panel simple y rápido sin la complejidad de GA4.
  • Cualquiera que esté migrando de Google Analytics porque su APD ha planteado preocupaciones o porque quiere reducir ese riesgo de forma proactiva.

Atriqo no es la opción adecuada para:

  • Equipos de producto que necesitan grabación de sesiones, mapas de calor o pruebas A/B (eso es una categoría diferente de herramienta).
  • Sitios que necesitan recorridos de usuario individuales precisos a lo largo de varios días (el seguimiento sin cookies tiene límites reales aquí).
  • Analítica empresarial de gran escala que requiere almacenamiento de datos personalizado o modelado de atribución complejo.

Lo que este artículo no puede decirte

Este artículo no puede determinar si tu sitio web concreto cumple con la legalidad. No puede revisar tu stack completo de proveedores, contratos, base jurídica, implementación de consentimiento, configuración de retención o directrices de tu APD. Puede explicar las preocupaciones regulatorias documentadas y las diferencias técnicas entre Google Analytics y una arquitectura de analítica privacy-first. Si tienes preguntas de cumplimiento específicas para tu sitio, consulta con un profesional jurídico cualificado familiarizado con la legislación europea de protección de datos.

Cómo empezar

Atriqo está actualmente en desarrollo. El plan gratuito — 10.000 eventos facturables al mes (un evento facturable es cualquier evento registrado: página vista, clic saliente, descarga de archivo, error 404 o evento personalizado), sin tarjeta de crédito, sin caducidad — estará disponible en el lanzamiento.

Si quieres acceso anticipado, únete a la lista de espera. Te avisaremos cuando el producto esté listo.

Únete a la lista de espera

Este artículo describe resoluciones documentadas de autoridades europeas de protección de datos y la arquitectura técnica de Atriqo. No constituye asesoramiento jurídico. Para orientación específica de cumplimiento, consulta con un profesional jurídico cualificado familiarizado con la legislación europea de protección de datos.

Analítica sin el banner de cookies

Privacidad primero, RGPD-nativo, alojado en la UE (Alemania). Únete a la lista de espera.

Apuntarme a la lista Todos los artículos