¿Es ilegal Google Analytics en Europa?

La respuesta corta: depende de a quién preguntes y cuándo. Varias autoridades europeas de protección de datos han declarado ilegal Google Analytics, esas resoluciones fueron parcialmente neutralizadas por un nuevo acuerdo de transferencia de datos UE-EE.UU., y ese acuerdo está ahora bajo amenaza política. Si gestionas un sitio web con visitantes europeos, esto es lo que necesitas saber.

Las resoluciones que lo iniciaron todo

En agosto de 2020, el activista Max Schrems y su organización noyb presentaron 101 denuncias en toda la UE contra sitios web que usaban Google Analytics y Facebook Connect. Las denuncias argumentaban que estas herramientas transfieren datos personales europeos a EE.UU., donde leyes de vigilancia como la Sección 702 de FISA permiten el acceso gubernamental — violando los requisitos del RGPD sobre protección adecuada de datos.

Las resoluciones llegaron una tras otra:

• Austria (enero de 2022) — La Autoridad Austriaca de Protección de Datos (DSB) fue la primera en dictaminar, declarando que el uso de Google Analytics por un sitio web violaba el RGPD al transferir datos personales a EE.UU. sin garantías adecuadas.
• Francia (febrero de 2022) — La CNIL dictaminó que Google Analytics violaba el artículo 44 del RGPD, citando protección insuficiente de datos en EE.UU.
• Italia (junio de 2022) — El Garante dictaminó de forma similar, dando a los sitios web 90 días para dejar de usar Google Analytics o encontrar alternativas conformes.
• Dinamarca (septiembre de 2022) — Datatilsynet concluyó que Google Analytics no podía usarse de forma conforme al RGPD.
• Noruega (2023–2024) — Datatilsynet emitió una resolución preliminar determinando que Google Analytics violaba el RGPD, confirmando posteriormente su posición.

No eran opiniones marginales. Fueron acciones de aplicación coordinadas basadas en un análisis jurídico compartido por el Comité Europeo de Protección de Datos (CEPD).

El Marco de Privacidad de Datos: ¿una solución temporal?

El 10 de julio de 2023, la Comisión Europea adoptó el Marco de Privacidad de Datos UE-EE.UU. (DPF), el tercer intento de crear una base legal para las transferencias transatlánticas de datos. Google LLC obtuvo la certificación bajo el DPF en agosto de 2023, lo que significa — en teoría — que las transferencias de datos a los servidores de Google en EE.UU. ahora tienen una base legal válida.

Esto hizo que Google Analytics fuera técnicamente legal de usar otra vez en la UE, al menos en lo que respecta a la transferencia de datos. Varias autoridades lo reconocieron, incluida la Datatilsynet noruega, que señaló que el uso de Google Analytics había sido ilegal hasta que el DPF entró en vigor.

Pero el DPF solo resuelve una parte del problema. Los operadores de sitios web aún deben cumplir con los demás requisitos del RGPD: base legal para el tratamiento, minimización de datos, transparencia y — crucialmente — consentimiento para las cookies.

Por qué el terreno legal sigue siendo inestable

El DPF es el sucesor de Safe Harbor (invalidado en 2015 por Schrems I) y Privacy Shield (invalidado en 2020 por Schrems II). Ambos fueron anulados por el Tribunal de Justicia de la Unión Europea (TJUE) porque las leyes de vigilancia estadounidenses no eran compatibles con los derechos fundamentales de la UE.

El caso Latombe: En septiembre de 2023, el político francés Philippe Latombe solicitó la anulación del DPF. El 3 de septiembre de 2025, el Tribunal General de la UE desestimó su caso, confirmando la validez del marco. Pero Latombe apeló ante el TJUE el 31 de octubre de 2025. El TJUE — el mismo tribunal que anuló Safe Harbor y Privacy Shield — revisará ahora si el DPF proporciona protección adecuada. Su historial sugiere que no será una mera formalidad.

El factor Trump: En enero de 2025, el presidente Trump firmó una orden ejecutiva que exigía la revisión de todas las decisiones de seguridad nacional de la era Biden en 45 días — incluida la orden ejecutiva en la que se basa el DPF para sus protecciones de privacidad. Max Schrems de noyb ha advertido que el DPF está construido sobre un "parchwork frágil" de mecanismos legales estadounidenses, y que el fallo de un solo elemento podría hacer que las transferencias de datos UE-EE.UU. sean instantáneamente ilegales de nuevo.

El problema del PCLOB: La Junta de Supervisión de Privacidad y Libertades Civiles de EE.UU. (PCLOB), un mecanismo clave de supervisión citado en el DPF, fue efectivamente desmantelada a principios de 2025, dejándola incapaz de funcionar correctamente. Sin una supervisión operativa, la justificación de la UE para confiar en la protección de datos estadounidense se debilita considerablemente.

Google Analytics sigue necesitando un banner de cookies

Incluso si el DPF se mantiene, Google Analytics 4 sigue estableciendo cookies y recopilando datos personales (direcciones IP, identificadores de dispositivo, comportamiento de navegación). Bajo el RGPD y la Directiva ePrivacy, esto significa que necesitas:

1. Un banner de consentimiento que cumpla requisitos estrictos (botones de "Aceptar" y "Rechazar" igualmente prominentes, sin casillas pre-marcadas, sin patrones oscuros)
2. Cargar GA4 solo después de que el usuario consienta
3. Una política de privacidad completa explicando qué datos recopilas y por qué

Los estudios muestran consistentemente que el 30–40% de los visitantes rechazan el rastreo cuando se les da una opción justa. Eso significa que tus datos de GA4 están incompletos desde el primer día — y estás añadiendo peso a la página, complejidad y riesgo legal por ese privilegio.

Qué puedes hacer en su lugar

Si quieres medir el tráfico de tu sitio web sin la incertidumbre legal, busca herramientas de analítica que:

• No usen cookies — sin necesidad de consentimiento ePrivacy
• No recopilen datos personales — sin necesidad de consentimiento RGPD
• No transfieran datos a EE.UU. — sin dependencia del DPF
• Tengan una huella pequeña — mejor rendimiento, visitantes más contentos

Herramientas como Plausible, Fathom y Fairlytics siguen este enfoque. Te dan las métricas que importan — páginas vistas, referentes, páginas principales, tipos de dispositivo — sin el lastre legal. Fairlytics va más lejos en los valores predeterminados de privacidad: con 510 bytes es el tracker más pequeño disponible, y es el único que respeta tanto las señales Do Not Track como Global Privacy Control por defecto.

La conclusión

¿Es ilegal Google Analytics en Europa ahora mismo? Técnicamente no — el DPF proporciona una base legal para las transferencias de datos. Pero el DPF está siendo impugnado ante el TJUE, sus fundamentos políticos están amenazados, y sigues necesitando un banner de consentimiento que la mayoría de visitantes rechazará. Para la mayoría de sitios web, la respuesta práctica es la misma en cualquier caso: hay opciones más simples y seguras.

¿Quieres analítica sin incertidumbre legal? Prueba Fairlytics gratis — 10.000 páginas vistas/mes, sin cookies, sin banner de consentimiento necesario.