Google acaba de anunciar la supresión de un relevante mecanismo de control sobre los flujos de datos personales en Google Analytics 4 (“GA4”).

Esta modificación tiene implicaciones directas sobre la distribución de responsabilidades en el marco del RGPD.

Los responsables de páginas web que utilicen GA4 necesitan tomar una decisión técnica, con relevantes repercusiones jurídicas.

1 Resumen ejecutivo: acciones inmediatas

El titular de la web que use Google Analytics debe, antes de 15 de junio de 2026:

· Tomar una decisión expresa y documentada sobre la configuración del parámetro “ad_storage” y del resto de parámetros de Consent Mode- antes del 15 de junio de 2026.

· Revisar la configuración de su CMP (Consent Management Platform o “banner de cookies”) para asegurar que los defaults responden a una base jurídica válida y que el consentimiento, cuando sea exigible, cumple todos los requisitos.

· Actualizar la política de privacidad y la política de cookies para reflejar, en su caso, la nueva arquitectura de flujos de datos hacia Google Ads, cumpliendo el deber de información del artículo 13 RGPD.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad y derecho tecnológico de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas relacionadas con la normativa de protección de datos personales e inteligencia artificial. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com

2 Obligaciones aplicables hoy al tratamiento de datos del visitante de la web

En la actualidad y resumidamente, hay que cumplir dos normas distintas en relación con la configuración de GA4.

2.1 LSSI.- Ley 34/2002, de Servicios de la Sociedad de la Información

Las cookies analíticas, publicitarias o de perfilado -lo miren por donde lo miren, GA4 está comprendida-, requieren el consentimiento informado y granular del usuario.

Las autoridades (el EDPB, la CNIL, la AEPD) extienden esa exigencia al uso de cookies o procedimientos análogos (racking pixels, tracking links, local processings, flujos “server to server”, por citar alguna de estas interminables ideacas).

2.2 Los requisitos de consentimiento e información del RGPD

Cuando la información almacenada en o recabada del terminal del usuario incorpora datos de carácter personal -y precisamente para eso creó Dios cosas como los identificadores publicitarios, los identificadores únicos de GA4 y las signals asociadas-, su tratamiento queda sujeto al RGPD.

El consentimiento debe satisfacer los requisitos del RGPD: ha de ser libre, específico, informado e inequívoco, manifestado mediante una acción afirmativa clara y resultando verificable y revocable con la misma facilidad con la que fue prestado.

Cualquier cambio sustancial en la arquitectura del tratamiento -como el que motiva este texto- exige la actualización de los textos informativos antes de su aplicación efectiva.

3 La novedad: el cambio en Google Analytics 4

Hasta la fecha, GA4 ofrecía dos mecanismos de control diferenciados sobre el flujo de datos hacia Google Ads, que operaban de forma acumulativa e independiente:

• Google Signals: al desactivarse, impedía que GA4 compartiera cookies publicitarias e identificadores de usuario con la plataforma de Google Ads, con independencia del estado del consentimiento.

• Consent Mode (y, en particular, el parámetro ad_storage): condicionaba la recogida y tratamiento de datos a la manifestación del consentimiento del usuario en el CMP.

La coexistencia de ambos mecanismos permitía al responsable del tratamiento disponer de una doble capa de protección: la desactivación de Google Signals era una salvaguarda estructural con independencia de eventuales fallos o configuraciones permisivas del CMP.

A partir del 15 de junio de 2026, esta dualidad desaparece.

Google ha anunciado que la configuración de Google Signals dejará de gobernar el flujo de datos publicitarios hacia Google Ads.

Desde esa fecha, el único mecanismo que determinará si Google Ads puede recoger y utilizar señales publicitarias -incluyendo la asociación de la actividad del usuario con su cuenta Google autenticada- será el parámetro ad_storage de Consent Mode.

El cambio, explicado en términos operativos:

• Si ad_storage se encuentra configurado como “granted” (concedido), Google Ads podrá utilizar la totalidad de las señales disponibles.[1] A partir del 15 de junio, ad_storage=granted permite a Google Ads utilizar todas las señales disponibles, incluyendo vincular la actividad del usuario con su cuenta de Google registrada.

• Si ad_storage se encuentra configurado como “denied” (denegado), el flujo de datos queda restringido. Peeero Google advierte expresamente de que dicha configuración tendrá un impacto significativo en la medición publicitaria y en el rendimiento de las campañas.

El cambio, explicado en términos jurídicos:

El objetivo de la normativa es evitar el acceso al (o captación de datos del) dispositivo del usuario salvo que éste haya prestado su consentimiento activo.

Por tanto, “Ad_storage=granted” tiene el mismo efecto que una casilla de consentimiento premarcada en el banner de cookies.

· Si “ad_storage” se configura en “granted” antes de la interacción del usuario, la implementación es sancionable porque permite el flujo de datos del usuario a Google antes de que éste siquiera haya tenido oportunidad de interactuar con el CMP.

Aunque el usuario consienta el uso de cookies después, no se corrige el incumplimiento original: entre la carga de la página y la interacción del usuario con el banner, los datos ya han fluido (si el tag de Google se ha activado con ad_storage=granted).

Como muestra, el botón de 150 kilos que le emplumó la CNIL a Shein el año pasado.

El consentimiento requerido por el artículo 5(3) de la Directiva ePrivacy, transpuesta en el artículo 22.2 LSSI y en la práctica de la AEPD— es un consentimiento previo[2] al acceso al terminal, no uno que se valida retroactivamente cuando el usuario acepta.

Una configuración que no presentaría ese problema sería:

“Ad_storage=denied” por defecto, con transición a granted solo si el usuario acepta activamente en el banner.

El CMP dispara el update call después de la interacción, y el tag no recopila datos publicitarios hasta ese momento. En esta arquitectura el consentimiento es genuinamente previo.

¿Por qué incluyo esos otros dos controles “ad_user_data” y “ad_prsonalization”? Porque son relevantes.

Porque los cachondos de Google, como de costumbre, se pasan la negativa del consentimiento del usuario por el arco del triunfo: la propia documentación de Google indica que, aun cuando se deniegue el consentimiento, las etiquetas siguen enviando “measurements without cookies” y distintos pings: pings de estado de consentimiento, key event pings y Google Analytics pings.

Google reconoce que esos pings pueden incluir timestamp, user agent, referrer, una indicación booleana del estado del consentimiento y un número aleatorio por carga de página; pero con ad_storage denegado, declara que no se escriben ni leen nuevas cookies publicitarias, que se evitan ciertas third-party cookies y que las IP se truncan en la recogida para productos Ads.

Herramienta interactiva de autodiagnóstico

He montado con la ayuda de mi amiga Claude un interactivo en el que puedes ver, para cada opción, (i) el flujo de datos a Google y (ii) pistas sobre los efectos jurídicos.

Como Substack no permite insertar cosas de estas en la newsletter, tendrás que acceder a ella en mi blog, en este enlace.

4 Implicaciones jurídicas para el titular de la web

La decisión sobre el valor por defecto de ad_storage constituye un ejemplo perfecto de decisión de responsable de tratamiento.

Configurar ad_storage como “granted” o “denied” por defecto en el CMP tiene consecuencias jurídicas directas que únicamente el responsable puede adoptar y cuya responsabilidad no es delegable.

Dos comentarios:

· La delegación de facto de esta decisión en un tercero (agencia de publicidad, el gestor de vuestras webs…) -por acción u omisión-, o la continuidad inercial de configuraciones heredadas sin revisión documentada, no exonera al responsable frente a la autoridad de control. Al contrario: la imposibilidad de acreditar el análisis y la decisión conforme al artículo 5.2 RGPD agrava la posición del responsable en un eventual procedimiento sancionador.

· Los terceros (Google en este caso) que acceden a datos de los visitantes obtenidos sin su consentimiento pueden llegar a tener sus propias sanciones, pero se debe tener en cuenta que (i) para los interesados no siempre es fácil conocer qué terceros acceden a dichos datos y (ii) el interesado siempre denunciará al titular de la web, con quien mantiene una relación directa.

5 Escenarios de riesgo

La modificación anunciada por Google genera, al menos, los siguientes escenarios de riesgo que el titular de la web debe abordar con carácter previo al 15 de junio de 2026:

a) Configuraciones heredadas que dejan de ser efectivas.

Aquellos titulares de webs en los que GA4 se implementó con Google Signals desactivado como medida de privacidad -configuración relativamente frecuente en auditorías de cumplimiento- verán cómo dicha protección deja de ser operativa de forma automática a partir del 15 de junio.

Salvo revisión proactiva, el flujo de datos hacia Google Ads dependerá exclusivamente de la configuración del banner de cookies o CMP, que puede no reflejar la decisión material de privacidad que sustentaba la configuración previa.

b) CMPs con defaults permisivos o implementación deficiente.

Es habitual que los CMPs presenten ad_storage con valor “granted” por defecto, bien por inercia técnica, bien por evitar un impacto en la medición publicitaria.

Si el usuario no pulsa “acepto” en el banner, o si el banner no ejecuta eficazmente la exigencia de una acción afirmativa clara, los datos fluirán hacia Google Ads sin base jurídica válida, en incumplimiento directo del artículo 22.2 LSSI y del artículo 6 RGPD. La responsabilidad frente a la AEPD recae, en todos los casos, sobre el responsable del tratamiento.

c) Incongruencia entre la política de privacidad y el flujo real de datos.

Google ha previsto un “período de gracia” de sesenta días para la actualización de las políticas de privacidad.

Esta exigencia es muy reveladora: si el cambio fuera de verdad meramente “técnico”, -sin impacto material sobre el tratamiento de datos-, no requeriría la actualización de la información para el usuario.

d) Presión comercial y configuraciones permisivas adoptadas por terceros.

El impacto del que Google advierte sobre la medición y el rendimiento de las campañas es una presión implícita sobre los proveedores del titular para adoptar configuraciones permisivas.

Hay que tener en cuenta a estos efectos que hoy por hoy, tanto el tratamiento a efectos analíticos como para la personalización de publicidad comportamental (y cualquier tratamiento que no sea estrictamente técnico) requiere consentimiento activo del visitante.

6 ¿Y si se aprueba el Digital Omnibus?

El Digital Omnibus es la propuesta legislativa de simplificación del RGPD y de la Directiva ePrivacy, entre otros. Su votación está prevista para junio de este año.

En lo que aquí interesa, el Digital Omnibus introduciría, si llegara a aprobarse en su redacción actual, dos modificaciones de especial relevancia:

· Reducción de los supuestos sujetos a consentimiento. Determinados tratamientos de bajo riesgo - la medición de audiencias y la generación de estadísticas de uso del sitio web o de la aplicación- pueden fundamentarse en interés legítimo, sin necesidad por tanto de consentimiento.

En consecuencia, la recogida de métricas estrictamente estadísticas mediante GA4 no requeriría consentimiento previo del usuario.

Sin embargo, ni siquiera la reforma exime de consentimiento los flujos de datos con finalidad publicitaria hacia Google Ads que son precisamente el objeto de la modificación anunciada por Google para el 15 de junio de 2026.

• Reubicación del régimen del artículo 5.3 ePrivacy en el RGPD. El acceso y almacenamiento de información en el equipo terminal del usuario, cuando implique tratamiento de datos personales, pasaría a regularse por los nuevos artículos 88a y 88b RGPD, desapareciendo del ámbito de la Directiva ePrivacy.

La consecuencia directa sería que el incumplimiento de estos nuevos preceptos por empresas europeas se castigaría con las sanciones del RGPD, mucho más duras (al menos en España).

Otros players como Google y Meta quedan bajo jurisdicción exclusiva de la DPC irlandesa, librándose de las sanciones millonarias impuestas hasta ahora por la CNIL con base en la directiva ePrivacy.

Se debe tener en cuenta adicionalmente:

• El Digital Omnibus no está aprobado y su contenido final puede diferir sustancialmente de la propuesta actual.

• Aunque se apruebe en su actual redacción la entrada en vigor será, con toda probabilidad, posterior al 15 de junio de 2026. En consecuencia, la decisión debe adoptarse en función de la normativa actual descrita.

Jorge García Herrero

Abogado y Delegado de protección de datos

[1] Un CMP “correctamente configurado” en sentido técnico (que respeta la elección del usuario cuando esta se produce) no subsana una implementación técnica jurídicamente deficiente si el default es permisivo.

[2] De hecho, Google advierte expresamente que, en Consent Mode para web, hay que fijar el estado por defecto antes de cualquier comando que envíe datos de medición, y pone como ejemplo ad_storage=’denied’.