Articles
Noticias del sector
¿Google Tag Manager (GTM) requiere el consentimiento del usuario? Desglosando la decisión de Alemania de 2025
Noticias del sector
Nuevo

¿Google Tag Manager (GTM) requiere el consentimiento del usuario? Desglosando la decisión de Alemania de 2025

Publicado  

11/3/2025

por 

Thierry Maout

6
min lectura

Published  

November 3, 2025

by 

Thierry Maout

10 min read
Resumen

A principios de este año, el Tribunal Administrativo de Hannover (Alemania) emitió una resolución en la que declaraba que Google Tag Manager (GTM) exige el consentimiento del usuario antes de su activación.

Si bien la decisión inicialmente atrajo una atención limitada más allá de las fronteras de Alemania, sus implicaciones ahora están cobrando impulso, a medida que las organizaciones se dan cuenta del posible impacto en sus operaciones.

En este artículo, abordamos las complejidades de la decisión, lo que significa para las organizaciones que utilizan GTM y presentamos formas de garantizar el cumplimiento en Alemania y (posiblemente pronto) más allá.

Comprende la decisión sobre GTM del Tribunal Administrativo de Hannover

El Tribunal Administrativo de Hannover dictó una sentencia a principios de este año, que establece que Google Tag Manager (GTM) requiere el consentimiento explícito del usuario antes de la activación.

¿Qué significa eso?

En primer lugar, es importante entender cómo funciona técnicamente el GTM:

  1. Al cargar una página web (y antes de cualquier interacción de consentimiento), el navegador contacta con GTM.
  2. Durante este contacto, los datos del dispositivo del usuario, incluidas las direcciones IP, la configuración del dispositivo, el país y la URL de referencia, se transmiten a los servidores de Google.
  3. Además, un script gtm.js personalizado se almacena en el dispositivo del usuario.

¿Cuál es el problema? Este comportamiento requiere el consentimiento según la ley de privacidad alemana (TTDSG §25 (1)) para almacenar o acceder a la información del dispositivo, y una base legal en virtud de Reglamento general de protección de datos (GDPR).

Sin embargo, en este caso, se rechazó la base jurídica del interés legítimo, ya que el Tribunal Administrativo no consideró «necesario» el GTM antes del consentimiento, y los derechos de privacidad de los usuarios prevalecen sobre los intereses comerciales, especialmente si se tiene en cuenta que los flujos de datos entre sitios hacia una gran plataforma son dados con anterioridad.

Resumiendo: según esta decisión, Google Tag Manager requiere el consentimiento del usuario.

¿Esta decisión de GTM tiene el potencial de extenderse más allá de Alemania?

Si bien la sentencia se dictó en Alemania, sienta un precedente que podría influir en casos similares en toda la Unión Europea. No sería la primera vez que hemos visto varias acciones dirigidas a Google en toda Europa y a varias DPA en los últimos años:

Fundamentalmente, la decisión aplica la Directiva de privacidad electrónica de la UE (implementada en Alemania como TTDSG) y el marco europeo general del GDPR, apelando a principios que podrían ser consistentes en otras jurisdicciones (es decir, la aplicación debe comenzar en el momento de la ejecución del script).

Ten en cuenta que el razonamiento sobre los servicios no esenciales que requieren el consentimiento del usuario se aplica a implementaciones técnicas similares en todo el ecosistema de tecnología de marketing, incluidas otras plataformas importantes de administración de tags más allá de Google Tag Manager.

¿Qué significa para las organizaciones que utilizan GTM?

Tras esta decisión, GTM puede considerarse un «riesgo legal» en Alemania, y las organizaciones pueden enfrentarse a riesgos de incumplimiento incluso antes de que se active cualquier píxel de seguimiento. Precargar el GTM, incluso con fines analíticos o de rendimiento, implica asumir un riesgo regulatorio.

Por lo tanto, las organizaciones deben considerar la posibilidad de tomar medidas prácticas para garantizar el cumplimiento.

¿Qué opciones tienes si utilizas Google Tag Manager?

Entonces, ¿qué puedes hacer? La clave de la decisión es que los datos personales (por ejemplo, las direcciones IP) no deben transmitirse a un tercero sin el consentimiento explícito.

Vale la pena señalar que Modo de consentimiento de Google por sí sola no bastará para resolver el problema, ya que la carga inicial de GTM seguirá transmitiendo identificadores técnicos antes del consentimiento, ni tampoco lo hará cargar una plataforma de gestión del consentimiento (CMP) a través de GTM antes del consentimiento.

Las autoridades de protección de datos (DPA) y los tribunales alemanes también han rechazado:

  • Alojamiento local de gtm.js (el problema legal es la transmisión de datos durante la carga, no la ubicación del archivo).
  • Clasificar el GTM como «funcional» o «esencial» (no se considera «estrictamente necesario»).

Estas son las opciones actuales y válidas disponibles para las organizaciones que utilizan Google Tag Manager:

1. Obtén un consentimiento previo válido para GTM

La sentencia del tribunal significa que GTM no puede funcionar hasta que el usuario diga explícitamente que sí. Por lo tanto, existe la opción de bloquear GTM con el consentimiento, lo que garantiza que el archivo gtm.js o los contactos en googletagmanager.com no se produzcan hasta que el usuario haya aceptado su consentimiento.

La secuencia de implementación más segura es cargar tu Plataforma de gestión del consentimiento (CMP) primero, esperar hasta que el usuario exprese una señal de consentimiento (preferiblemente con fines de marketing o seguimiento) y, a continuación, inyectat GTM de forma dinámica solo una vez que se haya registrado ese consentimiento.

Asegúrate de que haya sistemas para eliminar o deshabilitar GTM si el consentimiento se revoca más adelante. Además, ten en cuenta la posibilidad de que se pierdan datos con esta solución: si los usuarios no dan su consentimiento para usar GTM en sí, no se activará ninguna de las etiquetas de GTM (análisis, anuncios, píxeles, etc.), lo que impedirá el seguimiento de esos usuarios.

2. Retira o reemplaza el GTM por completo

Otros profesionales sugieren abandonar GTM por completo y adoptar enfoques alternativos, como:

  • Codificar todas las etiquetas: Si bien minimiza los problemas de cumplimiento, esto limitaría significativamente las capacidades digitales de las organizaciones.
  • Implementar cargadores directos y condicionados al consentimiento: Utilice un código personalizado o la activación de etiquetas integrada en CMP para activar las etiquetas solo después del consentimiento.
  • Considerar gestores de etiquetas alternativos: Si bien existen opciones como Adobe Launch o Tealium IQ, es posible que muchos sigan encontrando problemas similares al hacer ping a sus propios servidores cuando están cargados, lo que podría hacer que no cumplan con esta norma.

Si bien son una alternativa válida, estas opciones no son realistas para todas las organizaciones, especialmente para los equipos que han dedicado mucho tiempo y esfuerzo a configurar Google Tag Manager y no están preparados para empezar de nuevo (es comprensible).

3. Implementa Addingwell by Didomi

Al implementar una CDN entre el navegador y los servidores de Google mediante Addingwell by Didomi, las organizaciones pueden evitar enviar datos a Google mientras se cargan los archivos.

¿Cómo garantizar el cumplimiento mediante una correcta implementación de GTM server-side?

Addingwell by Didomi ofrece una infraestructura diseñada para alojar un contenedor GTM server-side diseñado específicamente para abordar estos problemas de cumplimiento. En esencia, funciona de la siguiente manera:

  1. Cuando se solicitan archivos principales de GTM como gtm.js y gtag/js, Addingwell realiza la solicitud como servidor y luego la reenvía al usuario. Esto significa que ningún dato ni encabezado del usuario se envía directamente a Google desde el navegador del usuario para estos archivos.El servidor de Addingwell realiza una llamada fetch a la URL original de Google, excluyendo cualquier encabezado o información de la solicitud.
  2. En cuanto al “geo token” de GTM (utilizado por gtm.js), Addingwell obtiene el país y la región de la solicitud original del usuario. Luego solicita a Google un token regional basado en estos valores, realizando otra llamada fetch sin que pasen encabezados. Durante este proceso, la huella digital real del usuario nunca se envía a Google.

Consulta el siguiente diagrama para obtener una imagen clara de cómo funciona el proceso, con y sin Addingwell:

Los beneficios de privacidad de este enfoque abarcan dos áreas:

  • Protección de carga de archivos:
    • Al cargar archivos comunes de Google (gtm.js, analytics.js, etc.), no llega ningún dato de usuario a Google
    • Solo los servidores de Addingwell se comunican con Google; los usuarios finales permanecen en el anonimato
    • Los archivos se almacenan en caché, por lo que la mayoría de las solicitudes ni siquiera necesitan contactar a Google
  • Información geográfica:
    • En el caso de las funciones basadas en la ubicación, Addingwell solo comparte la información básica del país o la región con Google
    • No se incluyen identificadores personales, direcciones IP ni huellas digitales del navegador.

Empieza hoy mismo con Addingwell by Didomi

Didomi adquirió la plataforma de server-side tracking Addingwell a principios de este año.

Nuestra experiencia y soluciones conjuntas nos permiten ayudar a los clientes a afrontar con confianza este tipo de escenarios. Estaremos encantados de analizar tu caso específico para garantizar que evites resultados desfavorables en Alemania, al mismo tiempo que maximizas tus oportunidades de recopilación de datos.

Reserva una cita con uno de nuestros expertos para obtener más información.

El autor
Los autores
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Acceder al perfil del autor
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Access author profile
Access author profile

Artículos relacionados

Noticias del sector
Combinando privacidad y rendimiento en un mundo centrado en el usuario (evento)
October 21, 2024
Leer el artículo
Noticias del sector
Actualización sobre Google's Privacy Sandbox: Navegando el nuevo paradigma de las third-party cookies
July 29, 2024
Leer el artículo
Noticias del sector
Las nuevas regulaciones para CTV de Google para la recolección del consentimiento
July 11, 2024
Leer el artículo
Noticias del sector
El final de las third-party cookies en Chrome: la guía definitiva
May 29, 2024
Leer el artículo
Noticias del sector
Las cookies analíticas, ¿necesitan consentimiento en España? Actualización de la AEPD
January 26, 2024
Leer el artículo
Noticias del sector
Paywalls en España: Últimas actualizaciones de la AEPD
January 26, 2024
Leer el artículo