Volver al blog
5 min de lecturaLaw & Regulationprivacygdprcompliancetracking

Consent Mode v2 y el Fin de Google Signals en Junio de 2026

El 15 de junio de 2026, ad_storage pasa a ser el único control sobre los datos publicitarios en el stack de Google. Esto es lo que cambia el fin de Google Signals para los desarrolladores — y por qué toda esa maquinaria es algo que la analítica sin cookies nunca tuvo que construir.

Izac CavalheiroFounder

El 15 de junio de 2026, Google elimina Google Signals como control independiente sobre los datos publicitarios. A partir de esa fecha, la señal de consentimiento ad_storage que envía tu Plataforma de Gestión del Consentimiento (CMP) se convierte en la única puerta que decide si los datos a nivel de visitante llegan a Google Ads. Si tu CMP está mal configurada, ya no existe un ajuste del lado del servidor en Analytics que detecte el error.

Es un cambio discreto pero significativo. Traslada toda la carga de la corrección del consentimiento a una capa de JavaScript que se ejecuta en el navegador del visitante, antes de recopilar dato alguno. Vale la pena entender exactamente qué hace esa capa, porque es precisamente la complejidad en la que un diseño sin cookies nunca incurre.

Qué es realmente Consent Mode v2

Consent Mode v2 es el framework de Google para indicar a sus etiquetas si tienen permiso para usar almacenamiento. No es un banner de consentimiento — es el cableado entre tu banner y las etiquetas de Google. Tu CMP define cuatro señales:

gtag('consent', 'default', {
  ad_storage: 'denied',
  analytics_storage: 'denied',
  ad_user_data: 'denied',
  ad_personalization: 'denied',
});
  • ad_storage controla las cookies publicitarias, los identificadores de dispositivo y los datos a nivel de visitante enviados a Google Ads.
  • analytics_storage gobierna la cookie de Analytics que asigna un client ID.
  • ad_user_data permite generar el hash de datos primarios como el correo para Enhanced Conversions.
  • ad_personalization decide si los datos de Analytics alimentan la segmentación personalizada de anuncios.

Cuando el visitante acepta, tu CMP dispara una segunda llamada que actualiza las señales correspondientes a granted. Todo lo que sigue depende de que esa actualización llegue correctamente.

Basic vs. advanced, y por qué existe el advanced

Hay dos modos de implementación, y la diferencia importa legalmente.

En modo basic, las etiquetas de Google no se cargan en absoluto hasta que se concede el consentimiento. Si se deniega, no se envía nada.

En modo advanced, las etiquetas se cargan de inmediato con todas las señales en denied por defecto, y aun así envían cookieless pings a Google — una petición sin identificadores, sin client ID y sin estado almacenado. Google usa el volumen de esos pings, más el comportamiento de la minoría que sí consiente, para modelar las conversiones que no puede observar directamente.

El modo advanced existe porque las tasas de consentimiento son bajas y los anunciantes quieren recuperar sus números. Pero un cookieless ping enviado antes del consentimiento sigue siendo una transmisión de datos a un tercero, y la lectura tecnológicamente neutral del Artículo 5(3) de la ePrivacy por parte del EDPB no exime peticiones solo porque omitan una cookie. Las conversiones modeladas también requieren un conjunto mínimo de sesiones con consentimiento para producir algo fiable, así que los sitios pequeños obtienen ruido.

Qué elimina el fin del 15 de junio

Hasta ahora, Google Signals actuaba como una segunda puerta. Podías dejarlo desactivado en Analytics para restringir el intercambio de datos publicitarios sin importar lo que reportara el Consent Mode. Ese backstop ha desaparecido.

Tras el cierre:

  • Google Ads deja de leer los ajustes del lado de Analytics y depende exclusivamente de las señales de Consent Mode que envía tu CMP.
  • Google Signals queda limitado a un uso solo en Analytics — asociar sesiones con usuarios que han iniciado sesión dentro de GA4.
  • Las direcciones IP se siguen recopilando y se cifran antes de reenviarse a las cuentas de Ads vinculadas, donde toman el control los ajustes de la cuenta de destino.

El efecto práctico: una sola llamada gtag('consent', 'update', ...) que falle — una condición de carrera, una CMP que carga después de la primera etiqueta, un despliegue que elimina el estado por defecto — ahora envía silenciosamente datos que pretendías bloquear. Bajo el GDPR eso es tratamiento sin base legal, y la eliminación de la red de seguridad del lado del servidor dificulta argumentar que la exposición estuvo contenida.

Esto también es, según orientaciones recientes, un cambio material en la forma de compartir los datos publicitarios. Para sitios con visitantes de la UE, eso puede activar una obligación de notificación a los usuarios — una revisión que conviene hacer antes del plazo, no después.

La complejidad que nunca tuvo que existir

Da un paso atrás y observa lo que exige una configuración conforme de Consent Mode v2: una CMP, cuatro señales de consentimiento, estados por defecto, llamadas de actualización ordenadas correctamente respecto a la carga de las etiquetas, una decisión entre advanced y basic con consecuencias legales, conversiones modeladas que solo funcionan por encima de un umbral de tráfico y, ahora, un único punto de fallo sin backstop.

Toda esa maquinaria existe para seguir usando identificadores — el client ID, la cookie publicitaria, el correo con hash — mientras se permanece del lado correcto de la ley de consentimiento. Elimina los identificadores y todo el aparato se desmorona hasta quedar en nada.

Un tracker sin cookies no tiene ad_storage que bloquear porque no establece ningún almacenamiento publicitario. No tiene client ID que denegar porque la identidad es un hash unidireccional SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD) calculado en memoria en el edge y que nunca se revierte. La IP en bruto y el User-Agent se usan solo para calcular ese hash; D1 almacena el hash, no las entradas. No hay señal de consentimiento que pueda fallar porque no hay nada que consentir bajo el Artículo 5(3) — el acceso al dispositivo del visitante es estrictamente necesario para entregar la página, y el script de menos de 2 KB que envía a /collect no lee ningún almacenamiento.

El cierre del 15 de junio es un buen momento para hacerse una pregunta más afilada que "¿está bien configurado mi Consent Mode?". Pregúntate por qué estás ejecutando una máquina de estados de consentimiento para medir páginas vistas en primer lugar. Las conversiones que Google modela a partir de cookieless pings son una estimación de datos que nunca tuviste permiso para recopilar. Contar lo que de verdad ocurrió, sin un identificador, siempre fue el sistema más simple.

Fuentes

Related posts

4 min de lecturaLaw & Regulation

El Digital Omnibus quiere eximir del consentimiento a la analítica first-party

El Digital Omnibus de la UE, de noviembre de 2025, propone eximir del consentimiento la medición de audiencia first-party y de uso interno. Es el modelo que la analítica sin cookies ya ejecuta.

Leer más
5 min de lecturaLaw & Regulation

La Ley de Cookies Ya No Trata Sobre Cookies: Qué Cubre Ahora el Artículo 5(3)

Las Directrices 2/2023 del EDPB extendieron las reglas de consentimiento de ePrivacy a píxeles, seguimiento por URL e identificación solo por IP. Las decisiones recientes de la CNIL y el Garante confirman la lectura neutra en cuanto a tecnología. Esto es lo que cambia para los desarrolladores.

Leer más
5 min de lecturaLaw & Regulation

¿Cuándo Es un Hash un Dato Personal? La Sentencia SRB del TJUE y la Identidad en Analítica

La sentencia EDPS v SRB del TJUE convirtió la identificabilidad en una prueba relativa y contextual. Esto es lo que significa para la analítica basada en hash, y por qué un hash con salt que rota a diario sobrevive tanto a la lectura del tribunal como a la más estricta del EDPB.

Leer más

Comments

Loading comments…