Esto va rápido. El 15 de junio de 2026 —dentro de exactamente cinco días— Google elimina una pieza del rompecabezas que muchas pymes españolas usaban como escudo sin saberlo: la configuración de Google Signals dejara de bloquear el flujo de datos hacia Google Ads. A partir de ese día, el único mecanismo que decide si Google puede usar datos publicitarios de tus visitantes es tu banner de cookies.

Si tu banner tiene el parámetro "ad_storage" en "granted" por defecto —y muchos lo tienen, por inercia o por que el plugin que instalaste lo configuró así—, Google ya está recopilando datos de cualquier persona que entre en tu web. Antes de que acepte nada. Antes de que lea una sola línea de tu política de cookies.

No importa si hoy no inviertes en Google Ads. Si tu cuenta de Analytics está vinculada a una de Ads (aunque sea una que creaste hace años y no recuerdas), este cambio te afecta.

Te explico qué está pasando, por qué importa más de lo que parece y qué puedes hacer antes del 15 de junio.

El cambio en una frase: un cerrojo desaparece y solo queda otro

Hasta ahora, el flujo de datos entre Google Analytics 4 y Google Ads funcionaba con dos capas de control independientes. Piensa en ellas como dos cerrojos en la misma puerta. Podías desactivar uno y el otro seguía cerrado.

Cerrojo 1: Google Signals. Era una configuración dentro de tu propiedad de GA4. Cuando la desactivabas (y muchas pymes la desactivaban por defecto, o nunca la activaban), GA4 dejaba de compartir cookies publicitarias e identificadores de usuario con Google Ads. No importaba lo que pasara con el banner de datos seguía restringido por esta capa técnica adicional.

Cerrojo 2: Consent Mode (parámetro ad_storage). Este es el mecanismo que comunica la decisión del usuario en tu banner de cookies a los sistemas de Google. Si el usuario rechaza, ad_storage queda en "denied" y Google no activa cookies publicitarias.

A partir del 15 de junio, el cerrojo 1 desaparece. Google Signals deja completamente de gobernar el flujo de datos hacia Google Ads. Se quite, se quede como está, dé igual. Solo queda el cerrojo 2: tu banner de cookies.

Y aquí viene el problema.

15 junio Fecha límite: Google Signals deja de bloquear datos a Google Ads
70% De webs españolas con CMP configurado por agencia de marketing (fuente: Presenceinternet, 2026)
60% De usuarios rechazan cookies cuando se les da una opción real

Por qué tu banner de cookies puede estar incumpliendo la ley ahora mismo

La mayoría de los banners de cookies que veo en webs de pymes españolas comparten un defecto común: el parámetro "ad_storage" viene configurado como "granted" (concedido) por defecto. Antes de que el usuario haga clic en nada.

Eso significa lo siguiente: alguien entra en tu web, el banner aparece, el usuario lo ignora o lo cerrar sin aceptar ni rechazar, y mientras tanto Google ya está activando cookies publicitarias, recogiendo identificadores de dispositivo y vinculando la sesión del usuario con su cuenta de Google.

Sin consentimiento previo. Sin base legal válida. En incumplimiento directo del artículo 22.2 de la LSSI y del artículo 6 del RGPD.

No importa que el banner tenga buen diseño. No importa que aparezca un pop-up con tres categorías. Si el valor por defecto de "ad_storage" es "granted" en el código antes de la interacción del usuario, la implementación es sancionable. Así de simple.

Y la responsabilidad, como siempre con el RGPD, recae en el titular de la web. No en Google. No en tu agencia de marketing. No en el plugin que instalaste. En ti.

"Configurar ad_storage como 'granted' antes de la interacción del usuario tiene el mismo efecto que una casilla de consentimiento premarcada en un formulario: el consentimiento no es libre, no es específico, y por tanto no es válido." — C-673/17 Planet49, Tribunal de Justicia de la Unión Europea
Infografía: Cambios en Google Analytics 4 el 15 de junio de 2026 - Google Signals desaparece, ad_storage se convierte en el único control, configuración correcta del banner de cookies y riesgos legales
Cómo cambia el flujo de datos entre GA4 y Google Ads el 15 de junio de 2026. El banner de cookies (CMP) se convierte en el único mecanismo de control. Si ad_storage está en "granted" por defecto, los datos fluyen hacia Google sin consentimiento real del usuario.

A quién afecta esto (pista: a casi todas las pymes con web)

Si tu web tiene Google Analytics instalado, esto te afecta. Si además tienes una cuenta de Google Ads vinculada a esa propiedad, te afecta el doble. Y la vinculación no requiere que esté invirtiendo en publicidad: si conectaste ambas cuentas alguna vez, o si tu agencia lo hizo, la conexión existe.

Incluso si no usas Google Ads en absoluto, los datos que recoge GA4 están sujetos al RGPD cuando almacenan identificadores únicos, direcciones IP o información de comportamiento que permite identificar a una persona. El hecho de que Google sea un tercero al que envías datos no te exime de responsabilidad.

El Instituto Nacional de Ciberseguridad (INCIBE) registró más de 97.000 incidentes en 2024, y la AEPD ha intensificado la supervisión de cookies y rastreo en webs de pymes precisamente porque sabe que el cumplimiento real es bajo.

Qué dice exactamente Google que tienes que hacer

Google publicó la documentación técnica del cambio en abril de 2026. Entre los requisitos que destacan:

Primero: debes revisar cómo está configurado el parámetro ad_storage en tu CMP (Consent Management Platform, alias banner de cookies). Si está en "granted" por defecto, necesitas cambiarlo a "denied" y solo pasar a "granted" cuando el usuario acepte activamente las cookies publicitarias.

Segundo: debes actualizar tu política de privacidad y tu política de cookies para reflejar la nueva arquitectura de flujos de datos. Google lo exige explícitamente como parte del cumplimiento del artículo 13 del RGPD.

Tercero: debes documentar la decisión que has tomado sobre la configuración de ad_storage. Fecha, responsable, justificación. El RGPD exige que puedas acreditar el cumplimiento en todo momento, no solo cuando te llegue una inspección.

Y hay un matiz que muchos se están perdiendo: Google advierte de que si configuras ad_storage como "denied" por defecto, tus campañas de Google Ads pierden capacidad de medición. Esto es una decisión de negocio (quieres cumplir la ley) que tiene un coste en datos, y tienes que ser consciente de ello.

Lo que se rumorea (y cuidado con esto)

En las últimas semanas está circulando una idea por el sector: que la propuesta de reforma del RGPD llamada "Digital Omnibus" va a eximir del consentimiento para la analítica web. Que después del 15 de junio todo esto dará igual porque la ley cambiará.

No te lo creas. Por dos razones.

Una: el Digital Omnibus no está aprobado. Está en fase de tramitación en el Parlamento Europeo. Su contenido final puede cambiar sustancialmente. Y aunque se apruebe tal como está ahora, su entrada en vigor sería posterior al 15 de junio. La normativa que aplica es la que está vigente hoy, no la que quizá apruebe el Parlamento dentro de unos meses.

Dos: incluso en el mejor escenario, la propuesta solo permitiría usar interés legítimo para medición estadística. Los flujos de datos con finalidad publicitaria —que es exactamente lo que regula el cambio de Google — seguirían requiriendo consentimiento. No hay escape.

Qué hacer antes del 15 de junio: checklist práctico

Si quieres asegurarte de que tu web está en orden antes de que cambien las reglas del juego, esto es lo que necesitas revisar esta semana:

1. Comprueba el valor por defecto de ad_storage. Abre tu web en una ventana de incógnito. Antes de interactuar con el banner de cookies, abra la consola del navegador (F12, pestaña Consola) y busca el estado de consentimiento. Si ves "ad_storage: granted" antes de haber aceptado nada, tienes un problema. Si usas Google Tag Manager, revisa que los triggers de las etiquetas de Google Ads están bloqueados hasta que el usuario consienta.

2. Verifica que rechazar realmente rechaza. Haz clic en "Rechazar todo" en tu banner. Luego revisa con una herramienta como Cookiebot Scanner, el inspector de cookies del navegador o el modo Tag Assistant de Google que no se estén cargando cookies de publicidad de Google. Si después de rechazar sigue habiendo cookies de Google Ads, tu implementación no funciona.

3. Revisa que aceptar y rechazar tengan la misma prominencia visual. La AEPD sanciona los diseños que dificultan el botón de rechazo. Si "Aceptar todo" es un botón grande de color corporativo y "Rechazar" es un enlace gris pequeño, tienes un dark pattern. Y la AEPD ya ha sancionado por esto.

4. Actualiza tu política de privacidad. Debe reflejar qué datos envías a Google, con qué finalidad y en qué basas el consentimiento. No basta con una frase genérica tipo "usamos cookies para mejorar tu experiencia". Tiene que ser específico, concreto y comprensible.

5. Documenta lo que has hecho. Fecha de revisión, qué configuración cambiaste, quién lo decidió. Guarda una captura del estado de tu CMP antes y después. Si algún día la AEPD te pide cuentas, esto es lo que demuestra que tomaste decisiones informadas.

Si usas un plugin de cookies barato (o gratuito), lee esto

Muchas pymes usaron plugins gratuitos o muy baratos para cumplir con el RGPD cuando empezó la moda del banner. La realidad es que la mayoría de estos plugins no implementan Consent Mode v2 correctamente. No gestionan los cuatro parámetros (analytics_storage, ad_storage, ad_user_data, ad_personalization), o no hacen el bloqueo previo de scripts, o no registran el consentimiento de forma auditable.

Para webs con tráfico real y riesgos reales, necesitas un CMP que realmente gestione Consent Mode v2: OneTrust, Cookiebot, Iubenda o soluciones similares certificadas. No es tanto un tema de precio como de funcionalidad: si tu plugin no soporta ad_user_data y ad_personalization (los dos parámetros nuevos en la v2), Google Ads no va a poder hacer remarketing con audiencias de tu web a partir de junio.

La buena noticia es que herramientas como CookieYes o Cookie Script tienen planes gratuitos que sí soportan Consent Mode v2 y funcionan para webs de menos de 25.000 visitas mensuales. No hay excusa técnica para no hacerlo bien.

El dato que debería hacerte actuar

Empezamos este artículo con una fecha: 15 de junio de 2026. Estamos a cinco días. Muchas pymes descubrirán que tenían Google Signals desactivado como medida de privacidad —y que eso funcionaba— solo cuando esa protección desaparezca sin aviso el próximo lunes.

Las cookies de seguimiento sin consentimiento son una de las dos causas más frecuentes de denuncia ante la AEPD en 2025 y 2026. Un cambio como este de Google convierte un cumplimiento que parecía correcto en un incumplimiento real, sin que la empresa se haya enterado.

Revisa tu banner esta semana. No la que viene. Esta.

Preguntas frecuentes

¿Qué es exactamente Google Signals y por qué desaparece su función?

Google Signals era una configuración dentro de Google Analytics 4 que, al activarse, permitía vincular la actividad de la web con las cuentas de Google de los usuarios autenticados. Al desactivarse (que era lo común entre pymes), bloqueaba el flujo de datos publicitarios hacia Google Ads. A partir del 15 de junio de 2026, esta configuración deja de tener efecto sobre el flujo de datos a Google Ads. Solo queda el parámetro ad_storage del Consent Mode como control.

¿Necesito tener Google Ads contratado para que esto me afecte?

No. Basta con que tu propiedad de GA4 esté vinculada a una cuenta de Google Ads, aunque no hayas invertido un solo euro. La responsabilidad sobre los datos que recoges aplica independientemente de si usas publicidad o no.

¿Qué pasa si mi banner de cookies no tiene opción de rechazar?

Tu banner ya incumple la normativa actual. La LSSI y las directrices de la AEPD exigen que exista una opción de rechazo con la misma prominencia visual que la opción de aceptar. Los diseños que esconden el rechazo o lo hacen menos visible son considerados "dark patterns" y son sancionables.

¿Puedo no hacer nada y esperar a que aprueben el Digital Omnibus?

No es recomendable. El Digital Omnibus no está aprobado, su contenido puede cambiar, y aunque se apruebe no entraría en vigor antes del 15 de junio. Además, los flujos de datos publicitarios seguirían requiriendo consentimiento incluso con la reforma. La normativa vigente aplica hoy, no la que se debatirá mañana.

¿Cuánto cuesta arreglar esto si mi banner no cumple?

Depende de la plataforma. Si tu plugin o CMP tiene la opción de cambiar el valor por defecto de ad_storage a "denied", es un ajuste que puedes hacer en 15 minutos. Si necesitas cambiar de herramienta, herramientas como CookieScript tienen planes gratuitos que cubren webs pequeñas. Si necesitas que alguien lo revise y documente profesionalmente, una auditoría legal-técnica de privacidad web para pyme suele costar entre 500 y 2.000 euros.

¿El consentimiento influye en la calidad de mis datos de Google Ads?

Sí. Si ad_storage queda en "denied" por defecto (que es lo correcto legalmente), Google no podrá asociar las conversiones de los usuarios que rechacen a sus perfiles publicitarios. Esto reduce la medición y la eficacia del remarketing. Google Consent Mode v2 ayuda a recuperar parte de ese dato mediante modelado estadístico, pero nunca será un 100%. Es la consecuencia de cumplir la ley: menos datos publicitarios, pero un negocio que no vive con la espada de una sanción encima.

¿Cómo sé si mi web ya está incumpliendo?

Abre tu web en modo incógnito. No toques el banner. Abre las herramientas de desarrollador del navegador (F12) y busca en las cookies del dominio si hay cookies de Google (como _ga, _gcl_au o IDs publicitarios). Si ya están ahí antes de que hayas aceptado algo, tu implementación tiene un problema. También puedes usar herramientas gratuitas como el Tag Assistant de Google para verificar qué etiquetas se están disparando antes del consentimiento.