Todos los artículos del blog

Google Tag Manager y RGPD: cómo usar GTM con cookies de forma legal

Close
Tiempo de lectura
8 min
Actualizado
Oct 8, 2021
Compartir
  • Google Tag Manager (GTM) no instala cookies directamente, pero controla las etiquetas que sí las instalan. Y casi todas esas cookies están reguladas por el RGPD.
  • El RGPD exige consentimiento previo: las etiquetas de analítica y marketing deben permanecer bloqueadas hasta que el usuario lo autorice.
  • Desde marzo de 2024, el Modo de Consentimiento de Google v2 es obligatorio para los anuncios y la medición con servicios de Google dirigidos al EEE y al Reino Unido.
  • Cookiebot CMP escanea tu web, bloquea las cookies por defecto y solo activa cada etiqueta de GTM según la elección de cada usuario.
  • El cumplimiento no acaba en el navegador: el etiquetado del lado del servidor ayuda a mantener la medición cuando respetas las preferencias del usuario.

El Reglamento General de Protección de Datos (RGPD) y la Directiva ePrivacy regulan cómo puedes usar Google Tag Manager para medir el comportamiento de tus visitantes de la UE. Si gestionas etiquetas de analítica o marketing a través de GTM, casi todas instalan cookies que necesitan el consentimiento previo del usuario.

En esta guía verás qué hace Google Tag Manager, por qué afecta al RGPD y cómo usarlo de forma legal con Cookiebot CMP, incluida la configuración del Modo de Consentimiento de Google v2.

¿Qué es Google Tag Manager?

Google Tag Manager (GTM) es una herramienta que controla qué etiquetas (scripts) se ejecutan en tu web y cuándo. En lugar de programar y mantener cada evento a mano, puedes gestionar todo desde un único panel.

Un ejemplo habitual es Google Analytics 4 (GA4): a través de GTM recoge datos sobre cómo se comportan los usuarios en tu sitio. Esa información te permite optimizar la web y el contenido según el uso real.

¿Qué hace exactamente?

Una vez instalado, GTM administra todo tipo de etiquetas: scripts de analítica, etiquetas de marketing, píxeles publicitarios o plugins de redes sociales. Muchas de ellas instalan cookies que recopilan datos de tus usuarios.

Los usos más comunes incluyen:

  • Medir las visitas a la web
  • Registrar clics en botones y enlaces de salida
  • Medir conversiones, por ejemplo en Google Ads
  • Analizar cómo se desplaza y se comporta el usuario en la página
  • Recoger datos como la ubicación, el tipo de dispositivo o el tamaño de pantalla

Etiquetas y activadores: cómo funciona

GTM trabaja con dos elementos:

  • Etiquetas (tags): fragmentos de código (HTML o JavaScript) que se ejecutan en tu web con fines de analítica, marketing o integración. También se conocen como píxeles de seguimiento o balizas web.
  • Activadores (triggers): las condiciones que disparan una etiqueta. Pueden basarse en URLs o en eventos, como un clic o el desplazamiento por la página.

Es decir, las etiquetas son el qué y los activadores, el cuándo. Todas las etiquetas de una web se agrupan en un contenedor, que es lo que instalas una sola vez en tu sitio.

Conviene recordar que casi todas las etiquetas de terceros instalan cookies que, según el RGPD, requieren el consentimiento previo del usuario.

Google Tag Manager y el RGPD

Imagina que usas GTM para integrar cookies de analítica y marketing. En cuanto un usuario entra en tu web, esas cookies se activan y empiezan a recoger datos personales: direcciones IP, identificadores, datos de ubicación o comportamiento de navegación.

Este proceso es lo que regula el RGPD.

Qué exige el RGPD

El RGPD, aplicable desde mayo de 2018, vincula a los 27 estados miembros. Si tienes visitantes de la UE, debes cumplirlo aunque tu empresa esté fuera de la Unión.

Si tu web usa cualquier cookie o tecnología de seguimiento que trate datos personales, el RGPD te obliga a:

  • Obtener el consentimiento previo, claro e inequívoco del usuario antes de tratar sus datos.
  • Informar de todas las cookies y tecnologías de seguimiento presentes en tus páginas.
  • Permitir aceptar o rechazar cada categoría de cookies con la misma facilidad.
  • Documentar de forma segura la elección de cada usuario.
  • Renovar la autorización de forma periódica. El RGPD no fija un plazo único, pero algunas autoridades, como la CNIL francesa, recomiendan revisarla con frecuencia. Consulta las guías de tu autoridad local.

Las guías del CEPD sobre el consentimiento válido

El Comité Europeo de Protección de Datos (CEPD) marca la pauta sobre cómo aplican el RGPD las autoridades de cada país. Sus directrices sobre el consentimiento dejan tres reglas claras:

  • El banner de cookies no puede llevar casillas premarcadas. Todas las categorías, salvo las necesarias, deben estar desactivadas por defecto.
  • Seguir navegando o desplazarse por la web no equivale a consentir. El usuario debe realizar una acción afirmativa clara.
  • Los muros de cookies no sirven para obtener un consentimiento válido como, por ejemplo, permitir acceder a la web solo si se aceptan las cookies.

Las sanciones son reales

Aunque para muchas empresas la amenaza de una sanción por incumplir el RGPD parezca algo muy lejano, lo cierto es que las autoridades sí que multan con asiduidad. Y las sanciones pueden llegar hasta los 20 millones de euros o el 4 % de la facturación anual global, la cifra que sea mayor.

En enero de 2022, la CNIL francesa multó a Google con 150 millones de euros y a Facebook con 60 millones precisamente por un motivo de banner: no permitían rechazar las cookies con la misma facilidad con que se aceptaban. En 2025, la CNIL volvió a sancionar a Google, esta vez con 325 millones de euros, por prácticas relacionadas con cookies y publicidad.

El mensaje es claro: GTM y el RGPD no son incompatibles, pero si usas GTM con visitantes de la UE, necesitas una base de consentimiento sólida.

Cómo cumplir el RGPD con Cookiebot CMP

Cookiebot CMP es una plataforma de gestión del consentimiento que permite utilizar GTM en tu web y cumplir el RGPD. Funciona en tres sencillos pasos.

1. Escanea tu web. La tecnología patentada de Cookiebot rastrea todas tus páginas y detecta cada cookie y tecnología de seguimiento presente: cookies HTTP y de JavaScript, almacenamiento local de HTML5, IndexedDB, balizas web, píxeles y más.

2. Informa y pide la elección del usuario. Cookiebot genera una declaración de cookies con la descripción de cada una y muestra un banner personalizable. El usuario decide por categoría: preferencias, estadísticas y marketing.

3. Bloquea hasta que haya autorización. Hasta que el usuario decide, Cookiebot bloquea de forma automática todas las cookies salvo las estrictamente necesarias. Después activa solo las etiquetas que correspondan a su elección.

En la práctica, Cookiebot le indica a Google Tag Manager qué etiquetas puede ejecutar. Si un usuario rechaza el marketing, Cookiebot cambia las condiciones de GTM para que esas etiquetas no se disparen. Actúa como un intermediario que protege la privacidad sin que tengas que configurar nada a mano.

Modo de Consentimiento de Google v2: obligatorio desde 2024

Aquí está el cambio más importante de los últimos años. El Modo de Consentimiento de Google (Google Consent Mode) permite que tus servicios de Google —GTM, GA4, Google Ads— se comporten según la elección de cada usuario.

Desde el 6 de marzo de 2024, la versión v2 es obligatoria para aquellos que usen servicios de Google con fines de medición o publicidad dirigidos al EEE y al Reino Unido. El cambio responde a la Ley de Mercados Digitales (DMA), que traslada a plataformas como Google la responsabilidad de recoger un consentimiento válido.

La v2 añade dos señales nuevas a las ya existentes:

  • ad_user_data: si los datos del usuario pueden enviarse a Google con fines publicitarios.
  • ad_personalization: si pueden usarse para publicidad personalizada y remarketing.

¿Qué pasa si no implementas la nueva versión? Google deja de recoger datos de los nuevos usuarios del EEE para tus audiencias de Google Ads y GA4. Es decir, pierdes capacidad de medición y de remarketing.

Cookiebot CMP es una CMP certificada por Google: comunica el estado de consentimiento de cada usuario a la API del Modo de Consentimiento, que ajusta el comportamiento de los servicios de Google en consecuencia. Cuando un usuario no acepta las cookies, Google sigue recibiendo datos agregados y no identificativos que permiten modelar conversiones sin rastrear a la persona.

Puedes profundizar en los plazos y requisitos en nuestro artículo sobre los nuevos requisitos de privacidad de Google.

Más allá del navegador: medición del lado del servidor

El bloqueo del navegador es la base, pero la medición ha evolucionado. Cuando respetas las preferencias del usuario, parte de los datos deja de estar disponible. Las soluciones del lado del servidor ayudan a recuperar precisión sin renunciar al cumplimiento:

  • Server-Side Tagging: traslada el procesamiento de etiquetas de GTM del navegador a tu propio servidor, lo que te da más control sobre qué datos se envían y a quién.
  • Meta Signals Gateway: mejora la calidad de la señal hacia Meta respetando las elecciones del usuario.

Ambas se integran con tu configuración de consentimiento, de modo que la medición sigue las preferencias de cada visitante.

Cómo implementar GTM con Cookiebot CMP

Para combinar una buena medición con el cumplimiento del RGPD, la configuración base es esta:

  1. El script de Google Tag Manager debe ser el primero que se carga en tu web.
  2. Marca ese script con data-cookieconsent="ignore" para que GTM siempre pueda cargarse.
  3. Inserta el script de Cookiebot con el bloqueo automático justo después del de GTM.
  4. Crea en GTM tres activadores para el evento personalizado cookie_consent_[category], con category = {preferences, statistics, marketing}.

Tienes los detalles técnicos en la documentación para desarrolladores de Cookiebot y en los recursos del Modo de Consentimiento de Google.

Resumen

Si tu web usa cookies, lo más probable es que también uses Google Tag Manager y que trates datos personales de tus usuarios. Tanto GTM como las cookies que instala están reguladas por el RGPD.

Con visitantes de la UE, estás obligado a informar de todas las cookies, permitir aceptarlas o rechazarlas y no tratar ningún dato antes de obtener el consentimiento. Desde 2024, además, necesitas el Modo de Consentimiento v2 para seguir midiendo con servicios de Google.

La buena noticia: puedes usar GTM con etiquetas de analítica y marketing de forma legal si te apoyas en una solución de consentimiento como Cookiebot CMP.

Cookiebot bg shield

Prueba Cookiebot CMP gratis durante 14 días (o sin coste de forma permanente si tu sitio es pequeño) y configura el consentimiento y el modo de consentimiento v2 sin tocar código.

Preguntas frecuentes

Google Tag Manager (GTM) es una herramienta para gestionar las etiquetas de una web desde un único panel: scripts de analítica, etiquetas de marketing o píxeles publicitarios. Sirve para medir visitas, clics, conversiones y comportamiento, y así optimizar la web según el uso real.

Funciona con etiquetas y activadores. Las etiquetas son fragmentos de código que instalan rastreadores como píxeles o balizas web. Los activadores son las condiciones que las disparan, por ejemplo un clic o el desplazamiento por la página. Casi todas las etiquetas de terceros necesitan el consentimiento del usuario antes de activarse.

Sí, si usas servicios de Google para medir o anunciar a usuarios del EEE o el Reino Unido. Es obligatorio desde marzo de 2024. Sin él, Google deja de recoger datos de los nuevos usuarios para tus audiencias de Google Ads y GA4.

GTM puede usarse de forma conforme, pero exige consentimiento previo: las cookies de analítica y marketing deben permanecer desactivadas hasta que el usuario las autorice. Una CMP como Cookiebot bloquea esas etiquetas por defecto y solo las activa según la elección de cada visitante.

El Reglamento General de Protección de Datos (RGPD) es una ley de privacidad de datos de la UE que regula el tratamiento de datos personales de los individuos dentro de la UE. El RGPD exige que los sitios web obtengan el consentimiento claro y afirmativo de los usuarios antes de que puedan activar cookies que procesen datos personales, como direcciones IP o historiales de búsqueda y navegación.

Más información sobre el RGPD y las cookies