Volver a los artículos
Analytics
Analytics RGPD CNIL Google Analytics

Google Analytics y RGPD: legal en Francia en 2026?

5 de noviembre de 2025 6 min de lectura DPLIANCE

La cuestion de la legalidad de Google Analytics con respecto al RGPD es un feuilleton juridico que dura desde 2020. Seis años despues, la respuesta sigue sin ser simple. Y es precisamente eso lo que deberia preocuparle.

Google Analytics equipa todavia mas de 330 000 sitios en Francia y aproximadamente el 55 % de los sitios web en el mundo. Es la herramienta de analytics mas utilizada del planeta. Pero ser popular nunca ha significado ser conforme.

En DPLIANCE, pensamos que una empresa no deberia tener que hacer malabarismos con incertidumbres juridicas para entender su audiencia.

Cronologia: de Schrems II a las decisiones de 2025

Julio 2020: la sentencia Schrems II dinamita las transferencias UE-EE.UU.

El 16 de julio de 2020, el Tribunal de Justicia de la Union Europea (TJUE) dicta la sentencia “Schrems II” (asunto C-311/18). Invalida el Privacy Shield. Motivo: las leyes estadounidenses de vigilancia (FISA Section 702, Executive Order 12333) no garantizan un nivel de proteccion equivalente al RGPD.

Consecuencia inmediata: toda transferencia de datos personales hacia Estados Unidos sin garantias suplementarias se vuelve ilegal. Y Google Analytics transfiere sistematicamente datos hacia los servidores de Google en Estados Unidos.

Febrero 2022: la CNIL sigue

El 10 de febrero de 2022, la CNIL (autoridad francesa de proteccion de datos) publica su decision: el uso de Google Analytics, en las condiciones de la epoca, no es conforme al RGPD. La CNIL (autoridad francesa de proteccion de datos) requiere a un gestor de sitio web comercial frances que cese de usar Google Analytics en un plazo de un mes.

Julio 2023: el Data Privacy Framework cambia la situacion

El 10 de julio de 2023, la Comision Europea adopta una decision de adecuacion para el EU-US Data Privacy Framework (DPF). Google esta certificado bajo el DPF. Las transferencias de datos via Google Analytics vuelven a ser legalmente posibles.

Septiembre 2025: el DPF resiste, pero por cuanto tiempo?

El 3 de septiembre de 2025, el Tribunal General de la Union Europea rechaza el recurso de anulacion del DPF. Pero esta victoria juridica es fragil. Un “Schrems III” no esta descartado.

Estado de la situacion en marzo de 2026

Lo que esta autorizado

  • Usar Google Analytics 4 (GA4) con el Consent Mode si los usuarios dan su consentimiento explicito
  • Transferir datos hacia Google en Estados Unidos en el marco del Data Privacy Framework (mientras sea valido)

Lo que es obligatorio

  • Obtener el consentimiento explicito de los usuarios antes de depositar las cookies de GA4
  • Informar a los usuarios de la transferencia de datos hacia Estados Unidos
  • Documentar la base juridica del tratamiento en su registro de tratamientos

Lo que sigue siendo arriesgado

  • La perennidad del DPF: sus dos predecesores fueron invalidados por el TJUE
  • El consentimiento real: en Francia, segun los sectores, del 30 al 70 % de los visitantes rechazan las cookies
  • La multa en caso de no conformidad: en 2025, el total de multas pronunciadas por la CNIL (autoridad francesa de proteccion de datos) asciende a 487 millones de euros

Google lanzo el Consent Mode para permitir a los sitios usar GA4 incluso cuando los usuarios rechazan las cookies. El problema? Varios:

  1. Datos siguen siendo enviados a Google, incluso sin consentimiento
  2. La modelizacion estadistica no es medicion. Las cifras mostradas son estimaciones, no hechos
  3. La conformidad del Consent Mode no ha sido validada por la CNIL (autoridad francesa de proteccion de datos)
  4. Los datos siguen transitando por los servidores de Google en Estados Unidos

El coste oculto de Google Analytics

Google Analytics es “gratuito”, pero lo que es gratuito siempre tiene un coste.

Coste en conformidad

  • Implementacion y mantenimiento de un banner de cookies conforme (CMP)
  • Documentacion juridica (registro de tratamientos, analisis de impacto)
  • Vigilancia juridica permanente sobre el estado del DPF
  • Riesgo de multa en caso de no conformidad

Coste en datos perdidos

  • Del 30 al 70 % de su audiencia rechaza las cookies
  • Los bloqueadores de publicidad bloquean el script GA4
  • Solo ve una fraccion de su trafico real

Coste en dependencia

  • Sus datos estan en Google. No tiene el control total
  • Google puede modificar GA4, cambiar sus condiciones de uso o depreciar funcionalidades en cualquier momento
  • Sus datos alimentan el ecosistema publicitario de Google, lo quiera o no

Las alternativas conformes

Mirage Analytics

Mirage Analytics es la herramienta de analytics web editada por DPLIANCE. Sin cookies de terceros, sin rastreador persistente, alojada en Francia en Scaleway. Integra analytics, session replay, heatmaps y error monitoring en una sola solucion. Ninguna transferencia de datos fuera de la Union Europea. A partir de 19 EUR sin impuestos/mes.

Otras alternativas

  • Matomo: open source, autoalojable, elegible para la exencion CNIL. Gratuito autoalojado, a partir de 22 EUR/mes en Cloud.
  • Plausible: open source, minimalista, sin cookies. A partir de 9 EUR/mes.
  • Fathom: simple, sin cookies. A partir de 15 $/mes.

Para una comparativa completa, consulte nuestra guia de alternativas a Google Analytics.

Lo que recomendamos

  1. Si lanza un nuevo sitio en 2026, no elija Google Analytics por defecto. Evalue las alternativas conformes desde el principio.
  2. Si ya usa GA4, asegurese de que su banner de cookies es conforme, documente su base juridica y vigile la evolucion del DPF.
  3. Si quiere certeza juridica, privilegie una herramienta alojada en Europa, sin transferencia de datos fuera de la UE, compatible con la exencion de la CNIL (autoridad francesa de proteccion de datos).
  4. Si quiere datos completos, una herramienta sin cookies que mide el 100 % de su audiencia sera mas fiable que un GA4 que solo ve del 30 al 70 % que acepto las cookies.

FAQ

Google Analytics 4 es diferente de Universal Analytics para el RGPD?

GA4 recopila menos datos por defecto (sin direccion IP almacenada, por ejemplo) y propone el Consent Mode. Pero el problema fundamental sigue siendo el mismo: los datos transitan por los servidores de Google en Estados Unidos, y la herramienta requiere el consentimiento del usuario para depositar cookies. GA4 nunca se ha beneficiado de una exencion de la CNIL (autoridad francesa de proteccion de datos).

El Data Privacy Framework puede ser invalidado?

Si. Sus dos predecesores lo fueron (Safe Harbor en 2015, Privacy Shield en 2020). El DPF sobrevivio a un primer recurso en septiembre de 2025, pero otras impugnaciones son posibles.

Puedo usar Google Analytics con un proxy para ser conforme?

La CNIL (autoridad francesa de proteccion de datos) menciono esta posibilidad en 2022, pero con reservas importantes. El proxy debe anonimizar completamente los datos antes de cualquier transferencia, lo que es tecnicamente complejo y puede hacer los datos inutilizables para el analisis.

Cual es la multa maxima por no conformidad RGPD?

El RGPD preve multas de hasta 20 millones de euros o el 4 % de la facturacion anual mundial, el monto mas elevado siendo el retenido.

Fuentes: TJUE, sentencia Schrems II, 16 de julio de 2020, asunto C-311/18; CNIL, requerimiento Google Analytics, 10 de febrero de 2022 (cnil.fr); Comision Europea, decision de adecuacion DPF, 10 de julio de 2023; Tribunal General de la UE, sentencia del 3 de septiembre de 2025; CNIL, sancion Google 325 M EUR, 1 de septiembre de 2025.

Quiere analytics fiables sin incertidumbre juridica? Descubra Mirage Analytics: analytics web sin cookies, alojado en Francia, session replay y heatmaps integrados. A partir de 19 EUR sin impuestos/mes.

Escríbanos

contact@dpliance.com
Contáctenos