Categorías
Analítica Web | derecho | Google

¿Qué pasa con el Google Tag Manager en Alemania?

autor Alexis Petit Alexis Petit

Es que uno en estos temas no se aburre… ahora todas las webs alemanas (.de) que usen GTM requieren de un re-etiquetado ya que, el 19 de marzo de 2025, el Tribunal Administrativo de Hannover (VG Hannover), caso 10 A 5385/22, dictaminó que Google Tag Manager (GTM) requiere consentimiento previo y explícito del usuario en Alemania a pesar de no disparar ningun tipo de cookies.

La justificación de este dictamen, es que incluso antes de activar otras etiquetas, GTM transmite datos personales (dirección IP, referencia, información del dispositivo) a los servidores de Google. Según el artículo 5(3) de la Directiva de ePrivacy (a través del RGPD), esto no se considera “estrictamente necesario”, por lo que el consentimiento es obligatorio.
Esta sentencia tiene enormes implicaciones para todos los dominios .de y cualquier sitio web con tráfico significativo desde Alemania.

Tabla de Contenidos

¿Cómo gestionar el GTM en Alemania o en páginas Alemanas?

Por ahora tenemos 2 opciones para gestionar o configurar el GTM en páginas alemanas o de Alemania.

Opción 1: Usar una CMP (Consent Management Platform) para pedir consentimiento explícito para GTM.

Opción 2: Dejar de usar GTM y codificar todas las etiquetas manualmente.

Veamos mas información sobre la opción 2.

Opción 2 (dejar de usar GTM y codificar todas las etiquetas manualmente):

En el caso de las webs alemanas, esta opción es bastante mejor que seguir usando el GTM como lo hacemos en webs de otros países, por las siguientes razones:

  1. Minimiza problemas de cumplimiento, ya que GTM pueda llegar a dejar de usarse. Si dejas de usar GTM, no existe la posibilidad de que el contenedor del GTM se cargue, incluso por accidente, sin consentimiento del usuario.
  2. Las etiquetas o script codificados manualmente, funcionan mucho mejor si se gestionan sus consentimientos manualmente también. Al codificar etiquetas manualmente, puedes cargar scripts de forma condicional según el estado de consentimiento en el CMP. Con GTM, simplemente al cargar gtm.js ya se envían IP y referencia a Google, mientras que con etiquetas codificadas, nada se transmite hasta que el usuario lo permita expresamente mediante la lógica del consentimiento.
  3. Si pides consentimiento explícito para cargar GTM, la mayoría de usuarios lo rechazará y, en ese caso, no se podrá hacer ninguna petición a GTM. Eso significa que ninguna etiqueta dentro de GTM (analytics, ads, píxeles, etc.) se activará, deteniendo ABSOLUTAMENTE todo seguimiento. En cambio, al codificar etiquetas, los usuarios solo dan consentimiento para tecnologías de seguimiento específicas (Google Analytics, Meta Pixel, Ads, etc.), no para GTM en sí, evitando la “doble penalización” de que un usuario diga no a GTM y bloquee incluso etiquetas que sí hubiera aceptado. En la práctica, perderías muchos más datos pidiendo consentimiento para GTM que pidiéndolo directamente para cookies de analítica y marketing.
  4. No necesitas pedir consentimiento dos veces: una para cargar el contenedor GTM y otra para las cookies.

Por tanto, la mejor opción para cumplir con la privacidad en Alemania es codificar todas las etiquetas manualmente.

Soluciones técnicas y Opciones adicionales para gestionar GTM en Alemania (CUIDADO!!):

Por ahí ya hay muchísimas opciones flotando que buscan resolver esta situación, sin embargo, es importante tener cuidado con ellas.

  1. “Alojar GTM en local” – Aunque hospedes gtm.js en tus propios servidores, el problema legal no es el alojamiento, sino la transmisión de datos personales (IP, dispositivo) al cargarse antes del consentimiento. Los tribunales se fijan en cuándo se transmiten esos datos y por qué fluyen los datos, no en dónde está alojado el archivo.
  2. “Usar una alternativa a GTM” – La mayoría de “alternativas” (Tealium, Segment, Adobe Launch, etc.) también contactan con sus propios servidores al cargarse. Eso las hace estar en la misma situación que GTM.
  3. “Usar GTM del lado servidor” – El mismo problema: el contenedor de GTM se carga primero.
  4. “Clasificar GTM como funcional o esencial” – Esa categorización no evita las exigencias legales. GTM no es “estrictamente necesario” según la Ley de Protección de Datos Alemana TTDSG §25, porque la web puede funcionar sin él.

Soluciones técnicas rechazadas por las Cortes Alemanas a la hora de gestionar GTM.

La DPA y las Cortes Alemanas se han encargado de rechazar 5 veces las siguientes soluciones para gestionar el GTM.

Ejemplos de rechazos de la DPA de Hamburgo:

  1. Anonimización de IP en analítica.
    Argumento: las empresas decían que truncar la IP después de recogerla hacía legal el tracking.
    Respuesta: rechazado, porque la transmisión de la IP ocurre antes de anonimizarse.
  2. Cajas preseleccionadas o consentimiento implícito.
    Argumento: banners con casillas ya marcadas o frases como “si continúas aceptas”.
    Respuesta: inválido, solo vale el consentimiento explícito, informado y afirmativo.
  3. Categorizar GTM como funcional.
    Argumento: GTM no rastrea usuarios directamente.
    Respuesta (VG Hannover, 2025): rechazado, porque el contenedor GTM ya transmite IPs/datos de dispositivo a Google antes de consentimiento.
  4. Uso de servicios en EE. UU. con cláusulas contractuales y medidas adicionales.
    Ejemplo: el Senado de Hamburgo alegó que Zoom cumplía con SCCs + salvaguardas.
    Respuesta: rechazado, Schrems II exige más. Resultado: Zoom fue prohibido en el Senado de Alemania hasta cumplir con la regulación.
  5. Uso “solo estadístico” (caso H&M, 2020).
    Argumento: monitorización de empleados como necesaria para estadísticas de RR. HH.
    Respuesta: inválido, los datos eran desproporcionados. Multa: 35,3 M€.

La DPA de Hamburgo juzga según principios legales: consentimiento previo a la transmisión, estricta necesidad y proporcionalidad. Los “atajos técnicos” los considera soluciones cosméticas.

Seis casos judiciales alemanes muestran un patrón común:

La transmisión no autorizada de direcciones IP a terceros para servicios no estrictamente necesarios sin consentimiento explícito infringe el RGPD.

Casos relevantes:

  1. Patrick Breyer vs. Alemania (2016, CJEU C-582/14) – IPs dinámicas son datos personales si son vinculables por ISPs.
  2. Planet49 GmbH vs. Verbraucherverbände (2019, CJEU C-673/17) – Requiere consentimiento explícito para cookies que recogen IPs con fines publicitarios no esenciales.
  3. Caso H&M (2021, Hamburgo) – Multa de 35,3 M€ por recogida de datos no necesarios de empleados.
  4. Caso Zoom (2021, Hamburgo) – Prohibido en organismos públicos hasta cumplir, por transmisión de IPs a EE. UU. sin consentimiento.
  5. Caso Google Fonts (2022, Múnich) – Multa de 100 € a un sitio por transmitir IPs con fuentes de Google sin consentimiento.
  6. Caso GTM (2025, Hannover) – Dictaminó que GTM requiere consentimiento previo y explícito.

Si operas en Alemania o tienes mercado alemán relevante:

  1. Usa servicios autoalojados siempre que sea posible, para evitar transmisión de IPs a terceros.
  2. Limita la recogida de IPs a fines estrictamente necesarios.
  3. Audita regularmente los scripts de terceros para detectar transmisiones no autorizadas.
  4. Vigila los comunicados de las DPAs (ej. datenschutz.hamburg.de) para anticiparte a nuevos casos.
  5. Deja de usar GTM y codifica todas las etiquetas manualmente.

Como siempre, si te gustó, guarda comenta y comparte que quizás a alguien le venga bien esta información.

Por Alexis Petit

Compartir:   Facebook Whatsapp Telegram Twitter Email

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *