Google Analytics es la herramienta de medición de audiencia más utilizada del mundo: más de 28 millones de sitios web la integran en 2026. Sin embargo, desde que la CNIL (autoridad francesa de protección de datos) declaró Google Analytics no conforme al RGPD en febrero de 2022, la legalidad de esta herramienta se ha convertido en una cuestión central para todo editor de sitios web europeo. La Agencia Española de Protección de Datos (AEPD) se ha alineado con esta posición, y la llegada de Google Analytics 4 junto con la adopción del marco EU-US Data Privacy Framework en julio de 2023 han modificado el panorama, aunque los riesgos no han desaparecido. Si gestionas un sitio web accesible desde la UE, comprender estos aspectos es imprescindible para evitar sanciones de hasta 20 millones de euros.
Por qué Google Analytics plantea problemas con el RGPD
El conflicto entre Google Analytics y el RGPD se centra en un punto fundamental: la transferencia de datos personales a Estados Unidos. Cuando un internauta visita un sitio que utiliza Google Analytics, datos como su dirección IP, su identificador de cookie, su resolución de pantalla y su comportamiento de navegación se recopilan y envían a los servidores de Google situados en Estados Unidos.
La sentencia Schrems II y sus consecuencias
En julio de 2020, el Tribunal de Justicia de la Unión Europea invalidó el Privacy Shield, el mecanismo que autorizaba las transferencias de datos entre la UE y EE. UU. Esta sentencia, conocida como Schrems II, creó un vacío jurídico para todos los servicios estadounidenses que tratan datos de residentes europeos. Google Analytics, que transfiere sistemáticamente datos a los servidores americanos de Google, se vio directamente afectado.
Las decisiones de las autoridades europeas en 2022
En febrero de 2022, la CNIL francesa puso en aviso formal a un gestor de sitio web por utilizar Google Analytics en su configuración estándar. La autoridad consideró que las cláusulas contractuales tipo de Google no proporcionaban garantías suficientes frente al acceso a los datos por parte de los servicios de inteligencia estadounidenses. Las autoridades de Austria, Italia y Dinamarca adoptaron decisiones similares. La AEPD, si bien no emitió una resolución idéntica, ha reiterado que las transferencias internacionales de datos deben cumplir con las garantías del capítulo V del RGPD y la LOPDGDD.
El doble problema de las cookies
Más allá de la transferencia de datos, Google Analytics deposita cookies de seguimiento en el dispositivo del usuario. En virtud del artículo 22.2 de la Ley 34/2002 (LSSI-CE), todo depósito de cookies no esenciales requiere el consentimiento previo del internauta. Un sitio que carga Google Analytics sin esperar el consentimiento comete una doble infracción: violación de las normas sobre cookies y transferencia no autorizada de datos a Estados Unidos.
El Data Privacy Framework: una mejora incierta
En julio de 2023, la Comisión Europea adoptó el EU-US Data Privacy Framework (DPF), un nuevo marco jurídico destinado a resolver el problema de las transferencias transatlánticas de datos. Google ha sido certificado en el marco del DPF, lo que en teoría legaliza de nuevo las transferencias a sus servidores estadounidenses. Sin embargo, este marco se basa en compromisos de las autoridades estadounidenses, y ya hay recursos jurídicos en curso. La organización noyb ha anunciado su intención de impugnar el DPF ante el Tribunal de Justicia de la UE, como hizo con el Privacy Shield. Una eventual sentencia «Schrems III» podría invalidar este marco a su vez. En 2026, la incertidumbre jurídica persiste.
Google Analytics 4: ¿es suficiente?
Desde julio de 2023, Google ha retirado Universal Analytics y lo ha sustituido por Google Analytics 4 (GA4). Esta nueva versión aporta mejoras significativas en materia de protección de datos.
Los avances de GA4
GA4 anonimiza las direcciones IP por defecto, sin configuración adicional. Los períodos de retención de datos son más cortos (2 o 14 meses en lugar de los 26 meses por defecto de Universal Analytics). El modelo de datos se basa en eventos en lugar de sesiones, y GA4 ofrece mayor control sobre los datos recopilados.
Las limitaciones persistentes
A pesar de estas mejoras, GA4 sigue depositando cookies en el dispositivo del usuario, lo que sigue requiriendo un consentimiento previo conforme. Los datos siguen siendo tratados por Google, una empresa sometida al derecho estadounidense (Cloud Act, FISA Sección 702). El DPF podría ser invalidado, lo que colocaría a GA4 en la misma situación que su predecesor. Además, incluso con consentimiento, los datos transmitidos a Google alimentan un ecosistema publicitario fuera del control del usuario.
Posición actual de las autoridades
En 2026, GA4 se considera utilizable siempre que se cumplan tres requisitos acumulativos: obtener el consentimiento previo del usuario antes de cualquier depósito de cookie, configurar GA4 de manera estricta (desactivar los señales de Google, reducir la retención, limitar el intercambio de datos) y mencionar GA4 en su política de cookies. Sin embargo, esta tolerancia se basa en la validez del DPF, que sigue siendo jurídicamente frágil.
Las alternativas conformes al RGPD
Ante los riesgos asociados a Google Analytics, varias alternativas permiten medir la audiencia de su sitio web en plena conformidad con el RGPD.
Matomo (anteriormente Piwik)
Matomo es la principal alternativa de código abierto a Google Analytics. Ofrece un abanico de funcionalidades comparable (informes de tráfico, conversiones, mapas de calor) garantizando el control total de los datos. Alojado en Europa (autoalojamiento o a través de Matomo Cloud en Alemania), elimina el problema de la transferencia transatlántica. Bajo ciertas condiciones de configuración (sin cruce de datos, duración de cookies limitada, recopilación mínima), Matomo puede utilizarse sin recabar el consentimiento previo bajo la exención reconocida por la CNIL, cuyo criterio ha sido referenciado por otras autoridades europeas. La versión autoalojada es gratuita; Matomo Cloud parte de 19 euros al mes.
Plausible Analytics
Plausible es una herramienta ligera y centrada en la privacidad. No deposita ninguna cookie, no recopila datos personales y pesa menos de 1 KB (frente a unos 45 KB de GA4). Al no utilizar cookies, no se necesita ningún banner de consentimiento para la medición de audiencia. Los datos se alojan en la Unión Europea. El precio parte de aproximadamente 9 euros al mes. La interfaz es deliberadamente minimalista, ideal para pymes que buscan métricas esenciales sin complejidad.
Fathom Analytics
Fathom comparte la filosofía de Plausible: sin cookies, sin datos personales, conformidad con el RGPD por diseño. Ofrece una interfaz limpia, un script ultraligero y un alojamiento conforme. Se distingue por su filtrado inteligente de tráfico de bots y sus informes por correo electrónico. El precio parte de aproximadamente 14 dólares al mes.
AT Internet (Piano Analytics)
AT Internet, ahora Piano Analytics, es una solución francesa de medición de audiencia utilizada por numerosas administraciones públicas y grandes empresas. La CNIL le ha concedido la exención de consentimiento en su configuración de medición de audiencia. Es la herramienta de referencia para organizaciones con exigencias de conformidad estrictas. Los precios se proporcionan bajo presupuesto, generalmente adaptados a sitios con alto tráfico.
Solución híbrida: lo mejor de ambos mundos
En 2026, numerosos sitios web adoptan un enfoque híbrido: una herramienta sin cookies (Plausible o Matomo exento) para capturar las estadísticas básicas de todos los visitantes, complementada con GA4 activado únicamente tras el consentimiento para los usuarios que lo acepten. Esta estrategia permite obtener datos de base sobre el 100 % del tráfico conservando las funcionalidades avanzadas de GA4 para los visitantes que dan su consentimiento.
Cómo configurar GA4 de manera conforme
Si decide conservar Google Analytics 4, una configuración estricta es indispensable para limitar el riesgo jurídico.
Obtener el consentimiento antes de cualquier depósito de cookie. El script de GA4 solo debe cargarse tras la aceptación explícita a través de un banner de consentimiento conforme. Herramientas como Tarteaucitron, Axeptio o Cookiebot permiten condicionar la carga de scripts al consentimiento.
Configurar GA4 de manera restrictiva. En la interfaz de administración de GA4: desactivar los señales de Google (Google Signals), reducir el período de retención de datos a 2 meses, desactivar la recopilación de datos publicitarios granulares y activar el modo de consentimiento avanzado (Consent Mode v2).
Documentar la conformidad. Mencionar Google Analytics en su política de cookies precisando la finalidad (medición de audiencia), los tipos de cookies depositados, su duración y las transferencias de datos a Estados Unidos en el marco del DPF.
El impacto en su política de cookies
El uso de Google Analytics o de cualquier alternativa tiene un impacto directo en su política de cookies. Este documento debe enumerar con precisión cada herramienta de medición de audiencia utilizada, las cookies que deposita (o la ausencia de cookies en el caso de Plausible o Fathom), los datos recopilados y su finalidad, las transferencias eventuales fuera de la Unión Europea y la base jurídica del tratamiento (consentimiento o exención).
Si utiliza un enfoque híbrido, ambas herramientas deben documentarse por separado. Para redactar una política de cookies completa y conforme, consulte nuestra guía sobre normas y sanciones en política de cookies. Recuerde que una política de cookies es uno de los 4 documentos legales obligatorios para todo sitio de comercio electrónico. El incumplimiento puede exponer su sitio a multas de hasta 300 000 euros, como detalla nuestro análisis de las mayores multas RGPD.
Conclusión: ¿qué solución elegir en 2026?
La elección de su herramienta de medición de audiencia depende de su perfil y sus necesidades.
Pyme o startup con presupuesto limitado: Plausible Analytics (desde 9 euros/mes) o Matomo autoalojado (gratuito) ofrecen una conformidad RGPD nativa sin exigencia de consentimiento para la medición de audiencia. Estas herramientas cubren las necesidades esenciales de seguimiento de tráfico.
Empresa mediana con necesidades de marketing: Matomo Cloud (desde 19 euros/mes) o Plausible, complementado con GA4 con consentimiento previo. El enfoque híbrido permite conservar las funcionalidades avanzadas de Google garantizando datos de base sobre la totalidad del tráfico.
Gran empresa o administración pública: Piano Analytics (AT Internet) ofrece una solución francesa exenta por la CNIL, con un nivel de detalle y personalización adaptado a sitios con alto tráfico y exigencias de conformidad estrictas.
Sea cual sea su elección, un punto sigue siendo innegociable: su política de cookies debe estar actualizada y reflejar fielmente las herramientas utilizadas. La conformidad analítica es inseparable de la conformidad documental. No deje que una herramienta de medición de audiencia ponga en peligro la conformidad global de su sitio web.