En 2026, cumplir con las normas de consentimiento ya no es solo marcar una casilla del RGPD. Para editores y marketers, se ha convertido en una prioridad estratégica que impacta el cumplimiento legal, el rendimiento del marketing y la calidad de la experiencia de usuario.
Con las nuevas obligaciones del Digital Markets Act, la generalización del Google Consent Mode v2 y el auge de las CMP certificadas, el panorama de la gestión del consentimiento ha cambiado radicalmente. Lo que aún funcionaba en 2023 ya no basta. La granularidad de las preferencias, los tiempos de procesamiento del consentimiento y los datos compartidos con las herramientas de marketing: todo está bajo la lupa, incluidos navegadores y reguladores.
Este artículo resume los cambios clave que hay que conocer y las buenas prácticas que adoptar en 2026 para:
- Entender cómo funciona el Consent Mode v2 de Google y sus beneficios concretos;
- Elegir una CMP certificada compatible con TCF 2.3 (y próximamente GPC);
- Gestionar de forma eficaz las preferencias de los usuarios, la duración del consentimiento y las herramientas a conectar en la stack (GTM, CRM, Analytics…);
- Anticipar áreas de riesgo (como el caso de GTM en Alemania) y optimizar el cumplimiento sin sacrificar el rendimiento.
Tanto si trabajas en adquisición, como en proyectos de CRM, eres editor de medios o e-commerce, esta guía te ayudará a poner tu stack en orden para seguir midiendo, activando y personalizando dentro de un marco 100 % conforme.
El marco regulatorio europeo evoluciona rápidamente, empujando a editores y marketers a revisar sus herramientas de recogida de consentimiento. El Digital Markets Act (DMA), en vigor desde marzo de 2024, exige a los “gatekeepers” (Google, Facebook, etc.) más transparencia sobre la recogida de datos. En respuesta, Google anunció a finales de 2023 que todos los anunciantes deben cumplir su política europea de consentimiento para seguir usando la personalización publicitaria.
En la práctica, desde el 16 de enero de 2024, cualquier sitio que sirva anuncios personalizados en el EEE o el Reino Unido debe usar una CMP certificada por Google integrada con el TCF de la IAB. En Suiza, este requisito rige desde el 31 de julio de 2024. En la práctica, solo los sitios donde una CMP certificada (OneTrust, Usercentrics, Cookiebot, Quantcast, Didomi, Axeptio…—lista oficial actualizada por Google) gestione el consentimiento pueden servir anuncios personalizados; el resto solo podrá ofrecer anuncios “limitados” o no personalizados.
Google Consent Mode v2: cómo funciona y qué exige
Para alinearse con estos requisitos, Google lanzó la versión 2 del Consent Mode a finales de noviembre de 2023. Esta versión exige que los sitios que usan Google Analytics o Google Ads informen a Google del estado de consentimiento del usuario al cargar las páginas. Google requiere que todos los sitios que sirven anuncios a usuarios de la UE/EEE implementen Consent Mode v2. Sin ello, GA4 y Google Ads apenas recogerán datos de conversión de usuarios europeos, lo que afecta gravemente a las campañas.
Técnicamente, Consent Mode v2 añade dos señales nuevas a la API de Google (gtag('consent', ...)) junto a ad_storage y analytics_storage (ya presentes en la v1). Los nuevos parámetros son: ad_personalization (consentimiento para publicidad personalizada) y ad_user_data (consentimiento para datos publicitarios del usuario). Un sitio debe enviar los cuatro estados de consentimiento en la carga (vía gtag o GTM configurado). Hay dos modos de implementación: el modo básico, donde las etiquetas de Google se bloquean hasta que el usuario interactúa con el banner y se aplica su elección (opt-in/opt-out); y el modo avanzado, donde las etiquetas se cargan antes de ver el banner y envían “cookieless pings” si se rechaza el consentimiento. Este modo avanzado captura señales agregadas para modelar conversiones perdidas cuando no hay consentimiento (ver abajo).
Concretamente: dos campañas A y B con 100 clics cada una y 10 conversiones registradas (10%) sin señales de consentimiento (“Unknown consent”). Con el Consent Mode v2, Google puede modelar los datos faltantes y estimar conversiones sin consentimiento—potencialmente hasta un 65% de las conversiones que se perderían dogdigital.com.
De hecho, Google destaca el valor del modelado de conversiones integrado en Consent Mode v2. Sin Consent Mode, las conversiones que ocurren sin consentimiento son invisibles en los informes (como arriba, ambas campañas parecen idénticas al 10%). Con Consent Mode v2, Google modela esas conversiones faltantes a partir del comportamiento observado en usuarios que sí consintieron. Según Google, este modelado puede recuperar alrededor del 65 % de conversiones perdidas por falta de consentimiento directo. En otras palabras, implementar correctamente Consent Mode v2 (con una CMP que notifique rápido a Google) ayuda a limitar la pérdida de rendimiento respetando la privacidad.
CMP certificadas y evolución del TCF
Más allá de Consent Mode, el IAB TCF sigue siendo el estándar de mercado para sincronizar el consentimiento entre CMP y el ecosistema publicitario. Google exige que las CMP usadas no solo estén integradas con el TCF, sino que además estén “certificadas por Google” (este programa verifica la compatibilidad técnica con el TCF y la especificación Additional Consent de Google). Solo la transmisión del TC string a través de una CMP certificada garantiza la elegibilidad para anuncios personalizados. Además, el TCF v2.3—adoptado por el IAB Tech Lab—sustituirá a la v2.2. Los editores y proveedores de CMP tienen hasta el 28 de febrero de 2026 para migrar a TCF v2.3. Después de esa fecha, cualquier nuevo TC string deberá cumplir la v2.3 (las cadenas v2.2 generadas antes del 28/02/26 seguirán aceptándose). Google ya anunció que acepta v2.3 desde octubre de 2025 y anima a iniciar la migración cuanto antes. La nueva versión, entre otros puntos, clarificará la declaración de proveedores e introducirá un segmento de “Disclosed Vendors” para reforzar transparencia y control del usuario.
Ejemplos de herramientas CMP (no exhaustivo): Didomi, OneTrust, Usercentrics, Cookiebot, Quantcast, Sourcepoint, Priduct y el proveedor francés Axeptio, entre otros. Estas soluciones ofrecen banner de cookies multilingüe y, en la mayoría de casos, un centro de preferencias donde el usuario puede ajustar sus elecciones en cualquier momento (categorías de cookies, campañas de email, etc.). Cualquier CMP usada para anuncios personalizados debe figurar como “certified” por Google (para Francia: Didomi, Axeptio, Cookiebot, Commanders Act, etc.).
Preferencias del usuario y buenas prácticas
La normativa también exige una gestión responsable del consentimiento más allá del simple clic en “Aceptar”. Por ejemplo, el RGPD establece que el consentimiento solo es válido mientras sea “libre, específico, informado e inequívoco”. La CNIL recomienda además una validez corta para consentimientos significativos: “en general, conservar las elecciones durante 6 meses constituye una buena práctica”. Tras ese periodo, es recomendable volver a solicitar el consentimiento—sobre todo si cambian los usos de los datos o se añaden cookies de terceros. Además, cualquier persona debe poder retirar fácilmente su consentimiento. Por ello, las CMP modernas incluyen un panel (“preferencias”) que permite modificar las elecciones en cualquier momento, no solo en la primera visita.
Desde el punto de vista técnico, hay que sincronizar bien estas preferencias en toda la stack de marketing: Google Analytics, herramientas de CRM y plataformas publicitarias. Por ejemplo, si el usuario rechaza cookies publicitarias, el código del sitio debe actualizar las etiquetas correspondientes (ad_storage='denied', etc.) en todas las herramientas. Para que sea robusto, se recomienda cargar primero la CMP, esperar su señal y luego inicializar (o bloquear) etiquetas vía Google Tag Manager o con carga condicional de scripts. Asimismo, Europa trabaja en iniciativas como el Global Privacy Control (GPC), una señal de opt-out a nivel de navegador; aunque no es obligatoria en Francia por ahora, algunas CMP (Didomi, OneTrust…) la soportan de forma anticipada.
Caso especial: Google Tag Manager y el cumplimiento en Alemania
Un último punto clave para “poner tu stack en orden”: una reciente sentencia alemana (marzo de 2025) determinó que Google Tag Manager requiere consentimiento explícito previo. El Tribunal Administrativo de Hannover dictaminó que la mera carga de GTM (gtm.js) envía datos técnicos (dirección IP, etc.) a Google antes de cualquier consentimiento del usuario, lo que infringe la ley alemana (TTDSG) y el RGPD. Es decir, desplegar GTM sin opt-in previo es arriesgado en Alemania (y potencialmente en la UE). La solución es “puentear” GTM: cargar GTM solo después de que el usuario haya dado consentimiento de marketing en la CMP. En concreto, carga primero la CMP y, tras el clic del usuario, inyecta dinámicamente el contenedor de GTM. Así garantizas que gtm.js no se ejecute (ni envíe datos) si el usuario rechaza. Ten en cuenta que este enfoque bloqueará todas las etiquetas gestionadas por GTM cuando no haya consentimiento, por lo que conviene probar a fondo. Algunas soluciones avanzadas (como el contenedor “Addingwell” de Didomi) ofrecen arquitecturas server-side para evitar fugas de datos en el cliente, pero la idea central es que GTM + Consent Mode no basta: hay que impedir cualquier ping a Google antes del consentimiento explícito.
En resumen, a inicios de 2026 un editor debería tener:
- Implementada una CMP certificada por Google y conforme a TCF 2.3 (y GPC cuando proceda);
- Configurado Google Consent Mode v2 (básico o avanzado según necesidad) a través de dicha CMP;
- Verificada la integración técnica en GTM y demás etiquetas para asegurar que no se activa ningún servicio de terceros sin consentimiento;
- Asegurado que las preferencias de los usuarios (duración, acceso/modificación) siguen las recomendaciones (p. ej., CNIL).
Esto garantizará el cumplimiento con RGPD/ePrivacy y te ayudará a sacar el máximo partido de las herramientas de Google (Analytics, Ads, etc.) limitando la pérdida de datos de marketing.
