Saltar al contenido
CookieSafe
Empezar gratis

10 de febrero de 2026 · 3 min read · Equipo técnico CookieSafe

Cómo configurar Google Analytics 4 cumpliendo la AEPD en España

Guía técnica paso a paso para instalar GA4 en una web española sin incumplir la guía de cookies de la AEPD. Consent Mode v2, bloqueo previo y anonimización.

Google Analytics 4 (GA4) es probablemente el tracker más instalado en webs españolas. También es la fuente más habitual de notificaciones de la AEPD. Aquí tienes cómo instalarlo bien.

El problema base

GA4 instala cookies de finalidad analítica (_ga, _ga_*). La AEPD las considera no estrictamente necesarias y, por tanto, requieren consentimiento previo. Si tu web carga gtag.js en cuanto el usuario aterriza, ya estás incumpliendo.

Sanción real: SEAT (16.000 €) por instalar GA y Google Ads antes del consentimiento. Caso público, septiembre 2023.

Paso 1 — Bloqueo previo del script

En lugar de:

<script async src="https://www.googletagmanager.com/gtag/js?id=G-XXXX"></script>

Usa:

<script
  type="text/plain"
  data-cs-category="statistics"
  async
  src="https://www.googletagmanager.com/gtag/js?id=G-XXXX"
></script>

CookieSafe (o cualquier CMP serio) no ejecuta scripts con type="text/plain" hasta que el usuario consiente la categoría statistics.

Paso 2 — Consent Mode v2

Google introdujo Consent Mode v2 en 2024, obligatorio si usas GA4 con audiencias publicitarias de Google. Permite enviar "pings" anónimos antes del consentimiento y datos completos después.

Configuración estándar:

<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}

  // Por defecto, todo denegado (AEPD-friendly).
  gtag('consent', 'default', {
    'ad_storage': 'denied',
    'analytics_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'wait_for_update': 500
  });
</script>

Cuando el usuario acepta, el CMP lanza un consent update:

gtag('consent', 'update', {
  'analytics_storage': 'granted',
  'ad_storage': 'granted',
  'ad_user_data': 'granted',
  'ad_personalization': 'granted'
});

CookieSafe genera este código automáticamente según las categorías que el usuario aceptó.

Paso 3 — Anonimización de IP (recomendado)

Aunque GA4 no expone la IP por defecto, conviene activar explícitamente la anonimización por si la AEPD considera la IP en logs intermedios como dato personal:

gtag('config', 'G-XXXX', {
  'anonymize_ip': true
});

Paso 4 — Política de cookies actualizada

Tu política debe listar:

  • _ga: GA4 cliente, 24 meses, finalidad analítica, transferencia a EE. UU. bajo Data Privacy Framework.
  • _ga_<container-id>: 24 meses, finalidad analítica.

CookieSafe genera esta política automáticamente al detectar GA4 en el escáner.

Errores típicos

  1. Cargar gtag.js desde el <head> sin bloqueo. Es la causa nº 1 de sanción.
  2. No re-pedir consentimiento tras 24 meses. La AEPD considera caducado el consentimiento.
  3. Cookie wall que bloquea contenido si rechazan GA. Considerado abusivo.
  4. Olvidar Consent Mode v2 y luego perder audiencias publicitarias.

Checklist final

  • [x] Script de GA marcado con type="text/plain" data-cs-category="statistics".
  • [x] Consent Mode v2 inicializado en denied.
  • [x] CMP que dispara consent update al aceptar.
  • [x] Anonimización de IP activa.
  • [x] Política de cookies actualizada con _ga.
  • [x] Re-solicitud de consentimiento configurada cada 12-24 meses.
Compartir:Twitter / XLinkedInEmail

Cubre tu riesgo desde 0 €/mes

Activa el banner CookieSafe en tu web hoy mismo. Sin tarjeta. Sin permanencia. Compliance AEPD desde el primer minuto.