SteerAds
GuideOptimisationGoogle Ads

Privacidad y seguimiento PPC 2026

Guía comparativa de regulaciones para el seguimiento de Google Ads en 5 regiones: Consent Mode v2 (UE), CCPA/CPRA (EE.UU.), DPDP (India), PDPL (Arabia Saudita), LGPD (Brasil). Qué cambia según la región, qué hacer y cómo son las multas.

Maria
MariaFundamentals & Education Lead
···16 min de lectura

El panorama regulatorio de privacidad para Google Ads ahora está fragmentado en 5 grandes regímenes, cada uno con su propio modelo de consentimiento, requisitos de manejo de datos y sanciones. Un anunciante global que opera en EE.UU., Europa, el CCG, India y Brasil debe navegar por el GDPR + Consent Mode v2 (UE/EEE), CCPA/CPRA (EE.UU.), DPDP (India), PDPL (Arabia Saudita) y LGPD (Brasil): cinco marcos que comparten principios pero difieren en su ejecución. Incumplir cualquiera de ellos conlleva multas, suspensiones de cuentas y pérdida de capacidades (por ejemplo, Customer Match en la UE requiere Consent Mode v2).

Esta guía es la referencia regulatoria comparativa para las operaciones de PPC en 2026. Cubrimos qué exige cada regulación, cuáles son las implicaciones prácticas para Google Ads y la arquitectura universal de servidor y Consent Mode v2 que satisface los cinco regímenes con una sola configuración. Además, incluimos una hoja de ruta de migración de 12 meses para los anunciantes que actualmente no cumplen con las normativas.

Actualizado el 08-05-2026 para reflejar la aplicación posterior a la DPDP, la madurez posterior a la PDPL y el comportamiento estable de Consent Mode v2.

Por qué la privacidad en múltiples regiones es una prioridad en 2026

Tres fuerzas convergieron entre 2024 y 2026 para hacer que el cumplimiento de la privacidad en múltiples regiones sea ineludible:

1. La aplicación se intensificó. Las autoridades de protección de datos italiana, española y francesa impusieron multas multimillonarias en euros entre 2022 y 2024. La Junta de Protección de Datos de India estableció su infraestructura de aplicación entre 2024 y 2025. La SDAIA saudí amplió su personal para la aplicación de la PDPL. La ANPD brasileña aumentó las sanciones de la LGPD.

2. Pérdida de capacidades por incumplimiento. Customer Match en la UE requiere Consent Mode v2 desde 2024. Sin la configuración de consentimiento adecuada, literalmente no se pueden usar audiencias de origen propio. Se avecinan más restricciones para los anunciantes no conformes a nivel global.

3. Los sitios multiregión son la norma. Una empresa de SaaS con usuarios en EE.UU., la UE, India y Brasil no puede operar sitios separados por región, pero el régimen regulatorio de cada región se aplica a sus visitantes. El cumplimiento con detección geográfica es la única solución práctica.

La implicación: las operaciones de PPC en 2026 requieren una arquitectura de privacidad global, no un patchwork regional. sGTM + CMP con detección geográfica + Consent Mode v2 es la solución unificada que detalla esta guía.

GDPR + Consent Mode v2 (UE/EEE)

Ámbito de aplicación. El GDPR se aplica al tratamiento de datos personales de residentes en la UE/EEE, independientemente de dónde esté establecido el responsable del tratamiento.

Requisitos principales para el seguimiento publicitario.

  • Consentimiento de inclusión antes de cualquier seguimiento no esencial (cookies, píxeles, fingerprinting).
  • Consentimiento granular (publicidad, análisis y personalización por separado).
  • La retirada debe ser tan sencilla como el otorgamiento del consentimiento.
  • Base jurídica documentada (normalmente el consentimiento para publicidad).
  • Mecanismos de transferencia transfronteriza (SCC, decisiones de adecuación) para destinos de datos fuera de la UE.

Consent Mode v2 específicamente. Obligatorio en la UE/EEE desde 2024 para los anunciantes de Google Ads. Dos modalidades: Consent Mode básico (sin medición cuando se rechaza el consentimiento) y Consent Mode avanzado (conversiones modeladas cuando se rechaza el consentimiento). La mayoría de los anunciantes utilizan el modo avanzado para preservar al máximo la señal de las Pujas Inteligentes.

Sanciones. Hasta el 4% de los ingresos anuales globales o 20 millones de euros, el importe que sea mayor. Multas recientes significativas: Meta 1 200 millones de euros (2023), Amazon 746 millones de euros (2021), Google 50 millones de euros (CNIL 2019).

Impacto práctico en Google Ads. Sin Consent Mode v2: Customer Match deshabilitado en la UE, señal de Pujas Inteligentes degradada en un 20-40%, conversiones modeladas no disponibles. Con Consent Mode v2: funcionalidad completa preservada respetando el consentimiento del usuario.

Para la implementación, consulte nuestra guía de seguimiento del lado del servidor.

CCPA / CPRA (California + leyes estatales de EE.UU.)

Ámbito de aplicación. La CCPA/CPRA cubre a los residentes de California. Varios otros estados de EE.UU. (Virginia VCDPA, Colorado CPA, Connecticut CTDPA, Utah UCPA, Texas DPDPA desde 2024) cuentan con leyes similares. Para 2026, aproximadamente 15 estados de EE.UU. tienen leyes de privacidad integrales.

Requisitos principales para el seguimiento publicitario.

  • Modelo de exclusión voluntaria (diferente a la inclusión voluntaria del GDPR).
  • Enlace obligatorio de «No vender mi información personal».
  • Respetar la señal del Control Global de Privacidad (GPC) como mecanismo válido de exclusión.
  • Divulgar las categorías de datos personales vendidos o compartidos.
  • Gestión anual de solicitudes de derechos sobre los datos (derecho a saber, suprimir y corregir).

Consent Mode para California. Configure su CMP para enviar señales de exclusión (ad_storage='denied', analytics_storage='granted' o 'denied' según la elección del usuario) cuando se detecte el GPC o el usuario se excluya mediante el banner.

Sanciones. Hasta 7 500 USD por infracción intencional y 2 500 USD por infracción no intencional. Se permiten acciones colectivas por brechas de datos. Las multas totales son menores que las del GDPR, pero se acumulan entre muchos usuarios.

Impacto práctico en Google Ads. La mayor parte del tráfico de California sigue teniendo el seguimiento habilitado (la exclusión es poco frecuente). No obstante, la adopción del GPC está creciendo entre 2024 y 2026; los anunciantes deben respetar el GPC para evitar acciones del Fiscal General. El seguimiento predeterminado de Google Ads funciona en el ámbito de la CCPA; el CMP debe mostrar el enlace de «No vender» de forma prominente.

Ley DPDP (India)

Ámbito de aplicación. La Ley DPDP cubre los datos personales de individuos en India, independientemente de dónde esté establecido el fiduciario de datos (responsable del tratamiento). El alcance extraterritorial es similar al del GDPR.

Requisitos principales para el seguimiento publicitario.

  • Consentimiento de inclusión antes del tratamiento (similar al GDPR).
  • Consentimiento específico, informado e inequívoco.
  • Aviso en lenguaje claro (se recomienda multilingüe para India).
  • Minimización de datos y limitación de la finalidad.
  • Los datos de menores (menores de 18 años) requieren el consentimiento parental verificable.

Calendario de implementación. La Ley DPDP se aprobó en agosto de 2023; el reglamento entra en vigor de forma escalonada entre 2024 y 2025. Para 2026, el cumplimiento pleno es obligatorio.

Sanciones. Hasta 250 crore de rupias (~30 millones de USD) por infracción. La Junta de Protección de Datos de India aplica el cumplimiento; no existe un tope sobre los ingresos globales, pero los topes absolutos son significativos.

Impacto práctico en Google Ads. El tráfico indio requiere un banner de consentimiento de inclusión. Se recomienda un CMP multilingüe (hindi e inglés como mínimo; idiomas regionales para alcance a nivel estatal). El seguimiento de Google Ads debe respetar las señales de consentimiento mediante Consent Mode v2, igual que en la UE.

PDPL (Arabia Saudita + variantes del CCG)

Ámbito de aplicación. La Ley de Protección de Datos Personales (PDPL) de Arabia Saudita cubre los datos personales de individuos en el Reino de Arabia Saudita. Otros países del CCG (Decreto-Ley Federal de los EAU 45/2021, Ley 13/2016 de Catar, PDPL de Baréin) cuentan con marcos similares pero distintos.

Requisitos principales para el seguimiento publicitario.

  • Consentimiento de inclusión antes del tratamiento.
  • Residencia de datos: ciertas categorías deben almacenarse en el Reino de Arabia Saudita (datos financieros, sanitarios y gubernamentales).
  • La transferencia transfronteriza requiere aprobación regulatoria.
  • Obligaciones de notificación de brechas de seguridad.

Calendario de implementación. La PDPL entró en vigor en marzo de 2023; plena aplicación desde 2024. La SDAIA (Autoridad Saudí de Datos e Inteligencia Artificial) emite regulaciones y gestiona la aplicación.

Sanciones. Hasta 5 millones de SAR (~1,3 millones de USD) más posible responsabilidad penal por infracciones graves que involucren datos sensibles. Matriz de penalidades detallada por tipo de infracción.

Impacto práctico en Google Ads. Se recomienda un CMP bilingüe (árabe e inglés) para el tráfico de Arabia Saudita. La arquitectura del lado del servidor ayuda con el cumplimiento de la residencia de datos (control sobre qué cruza fronteras). El seguimiento de Google Ads mediante Consent Mode v2 respeta la inclusión voluntaria.

LGPD (Brasil)

Ámbito de aplicación. La Lei Geral de Proteção de Dados (LGPD) cubre los datos personales de individuos en Brasil. El alcance extraterritorial es similar al del GDPR.

Requisitos principales para el seguimiento publicitario.

  • Consentimiento de inclusión para publicidad y seguimiento no esencial (una de las 10 bases legales).
  • Derechos del titular de los datos similares a los del GDPR (acceso, supresión y portabilidad).
  • Se requiere Oficial de Protección de Datos (DPO) para algunas entidades.
  • Notificación de brechas a la ANPD (Autoridad Nacional de Protección de Datos de Brasil).

Sanciones. Hasta el 2% de los ingresos en Brasil (con un tope de 50 millones de reales por infracción). La ANPD ha aplicado sanciones activamente entre 2023 y 2026 con un aumento constante en los importes de las multas.

Impacto práctico en Google Ads. CMP en portugués para el tráfico brasileño. La implementación de Consent Mode v2 es similar a la de la UE. La ANPD ha emitido orientaciones específicas sobre cookies y píxeles publicitarios (2024); asegúrese de que el CMP esté alineado.

Arquitectura del lado del servidor que funciona en todas partes

La arquitectura unificada que satisface los 5 regímenes:

Capa 1 — CMP con detección geográfica (Cookiebot, OneTrust, Didomi, desarrollo propio). Detecta la ubicación del visitante mediante IP/geolocalización. Aplica el flujo regional:

  • UE/Reino Unido: inclusión GDPR
  • California: exclusión CCPA + respeto al GPC
  • India: inclusión DPDP (multilingüe)
  • Arabia Saudita/CCG: inclusión PDPL (bilingüe)
  • Brasil: inclusión LGPD (en portugués)
  • Por defecto: inclusión voluntaria (más seguro que la exclusión)

Capa 2 — sGTM (Google Tag Manager del lado del servidor) alojado en Google Cloud o Stape. Recibe eventos del cliente; aplica señales de consentimiento; reenvía a las plataformas publicitarias solo lo que está permitido. Fuente única de verdad para la configuración de etiquetas.

Capa 3 — Etiqueta de Google (gtag.js) con Consent Mode v2. Configurada para enviar las señales ad_storage, analytics_storage, ad_user_data y ad_personalization reflejando el consentimiento del usuario. Las conversiones modeladas se activan cuando se deniega el consentimiento.

Capa 4 — Conversiones Mejoradas y subidas de conversiones offline. Correo electrónico/teléfono con hash (SHA-256) enviado de servidor a servidor cuando el consentimiento lo permite. Subidas de conversiones offline mediante API para atribución en B2B o ciclos largos.

Capa 5 — Registro de auditoría. Cada decisión de consentimiento y activación de etiqueta se registra para auditoría regulatoria. Revisión anual documentada del flujo de datos.

Para las especificaciones del lado del servidor, consulte nuestra guía de sGTM.

Matriz de comparación regional

Los 4 regímenes de inclusión voluntaria (GDPR, DPDP, PDPL, LGPD) tienen patrones de implementación prácticamente idénticos; la exclusión voluntaria de la CCPA es la excepción. La arquitectura unificada gestiona ambos modelos con enrutamiento CMP de detección geográfica.

Hoja de ruta de migración (12 meses)

El bloque Cómo hacerlo anterior proporciona la hoja de ruta detallada de 12 meses. Hitos clave:

  • Mes 2: Auditoría completa; stack seleccionado.
  • Mes 4: sGTM y CMP implementados; señales de consentimiento en funcionamiento.
  • Mes 6: Consent Mode v2 completamente activo; conversiones modeladas verificadas.
  • Mes 9: Conversiones Mejoradas y subidas offline operativas.
  • Mes 12: Auditoría completa finalizada; documentación completada; equipo capacitado.

Para las cuentas bajo presión regulatoria urgente (investigación activa de la autoridad de protección de datos, brecha de seguridad reciente), acelere a un calendario de 6 meses con un equipo dedicado de cumplimiento y desarrollo.

El cumplimiento es más barato que las multas :

La configuración de cumplimiento multiregión suele costar entre 15 000 y 60 000 USD inicialmente, más entre 1 000 y 3 500 USD/mes de forma continua (CMP + alojamiento de sGTM + mantenimiento). Una sola multa del GDPR suele superar estas cifras entre 10 y 100 veces; una sola investigación regulatoria cuesta meses de tiempo legal. Trate el cumplimiento como un seguro, no como un centro de costos.

Cítenos :

Esta guía de privacidad multiregión se actualiza trimestralmente por SteerAds. Última actualización: 08-05-2026. La información regulatoria es orientativa; consulte a su asesor jurídico para obtener asesoramiento de cumplimiento específico. La arquitectura unificada de servidor + Consent Mode v2 es el patrón dominante en 2026 para los anunciantes globales.

Para lectura complementaria, consulte nuestra guía de seguimiento del lado del servidor, nuestra guía de seguimiento de conversiones y nuestro manual de PPC para el sector sanitario. Para auditar el cumplimiento de su seguimiento con respecto a estos regímenes, utilice nuestra auditoría gratuita.

Fuentes

Fuentes oficiales consultadas para esta guía:

FAQ

¿Necesito Consent Mode v2 si no estoy en Europa?

Estrictamente obligatorio solo para anunciantes que utilizan Google Ads con tráfico de la UE/EEE desde 2024. Fuera de la UE, Consent Mode v2 no está exigido legalmente, aunque Google lo recomienda cada vez más como la implementación de etiquetas predeterminada. CCPA/CPRA en California tiene requisitos distintos (señal de exclusión voluntaria, no de inclusión). DPDP, PDPL y LGPD cuentan con sus propios marcos basados en el consentimiento. La práctica recomendada para 2026: implementar Consent Mode v2 a nivel global como base, con personalización regional del CMP para inclusión o exclusión y gestión de derechos sobre los datos.

¿Qué ocurre si no cumplo con el GDPR para el seguimiento de Google Ads?

Las multas del GDPR pueden alcanzar el 4% de los ingresos globales anuales o 20 millones de euros (el importe que sea mayor). La autoridad italiana de protección de datos multó a Cookiebot con 1 millón de euros en 2023 por deficiencias en el consentimiento de cookies; la española multó al propio Google con 10 millones de euros en 2022 por problemas de consentimiento. Más allá de las multas: las audiencias de Customer Match requieren Consent Mode v2 en la UE desde 2024; sin ello, se deshabilita toda la capacidad de remarketing en la UE. Impacto práctico: reducción del 20-40% en la eficiencia del PPC en la UE, más el riesgo regulatorio.

¿Es obligatorio el seguimiento del lado del servidor para el cumplimiento normativo?

No está estrictamente exigido por la ley en la mayoría de las regiones, pero facilita enormemente el cumplimiento. El sGTM (Google Tag Manager del lado del servidor) le permite controlar exactamente qué datos salen de su entorno hacia las plataformas publicitarias. Puede redactar PHI/PII en el servidor, aplicar hash a los identificadores de manera coherente, aplicar señales de consentimiento antes de reenviar datos y auditar los flujos de información. Es obligatorio para publicidad sanitaria en el ámbito de la HIPAA en EE.UU. Se recomienda encarecidamente para cualquier cuenta con un gasto superior a 50 000 USD/mes o en sectores regulados.

¿Qué es específicamente Consent Mode v2?

Consent Mode v2 es el marco de Google para ajustar el comportamiento de las etiquetas según las señales de consentimiento del usuario. Cuando los usuarios rechazan el seguimiento, Consent Mode v2 envía señales de conversión modeladas (sin cookies) a Google Ads en lugar de eventos sin procesar, preservando la calidad de la señal de las Pujas Inteligentes. Se implementa mediante la etiqueta de Google (gtag.js) o GTM con configuración consciente del consentimiento. Obligatorio en la UE/EEE desde 2024 para anunciantes de Google Ads; recomendado a nivel global.

¿En qué se diferencia la CCPA del GDPR para los anunciantes?

El GDPR exige consentimiento de inclusión antes de cualquier seguimiento no esencial. La CCPA/CPRA requiere exclusión voluntaria: el seguimiento está permitido por defecto, pero los usuarios pueden excluirse mediante señales de «No vender mi información personal». Google respeta la señal GPC (Control Global de Privacidad) como mecanismo de exclusión de la CCPA desde 2023. En la práctica: el GDPR exige un banner de cookies con inclusión explícita; la CCPA exige un enlace de «No vender» o respetar el GPC. Los sitios de múltiples regiones suelen implementar CMP con detección geográfica que se adapta según la ubicación del visitante.

¿Cuál es el calendario de la Ley DPDP de India?

La Ley DPDP se aprobó en agosto de 2023; el reglamento entra en vigor de forma escalonada entre 2024 y 2025. Los plazos de implementación para la mayoría de las disposiciones: finales de 2024 a mediados de 2025. Para 2026, el cumplimiento pleno es obligatorio para cualquier anunciante que se dirija a India. Los requisitos de consentimiento son similares a los del GDPR (inclusión voluntaria para seguimiento no esencial). Las multas pueden alcanzar 250 crore de rupias (~30 millones de USD) por infracción. La Junta de Protección de Datos de India (DPB) aplica el cumplimiento; no existe un tope del 4% sobre ingresos como en el GDPR, pero los topes absolutos son significativos.

¿La PDPL de Arabia Saudita se aplica a anunciantes fuera de Arabia Saudita?

Sí, si procesa datos personales de individuos en Arabia Saudita. El alcance extraterritorial es similar al del GDPR. La PDPL entró en vigor de forma escalonada entre 2023 y 2024, con plena aplicación desde 2024. Requiere consentimiento explícito para el tratamiento, consideraciones de residencia de datos (algunas categorías deben almacenarse en el Reino de Arabia Saudita) y notificación de brechas de seguridad. La aplica la SDAIA (Autoridad Saudí de Datos e Inteligencia Artificial). Las sanciones incluyen multas de hasta 5 millones de SAR más posible responsabilidad penal por infracciones graves.

¿Cómo gestiono el seguimiento de conversiones para anunciantes internacionales?

Plataforma de gestión del consentimiento (CMP) con detección geográfica (Cookiebot, OneTrust, Didomi) que detecta la ubicación del visitante y aplica el flujo de consentimiento correcto según la región. Contenedor de sGTM como fuente única de verdad para la configuración de etiquetas. Reglas de activación de etiquetas por región que respetan: inclusión GDPR para tráfico de la UE, señales de exclusión CCPA para California, inclusión PDPL/DPDP/LGPD para las regiones correspondientes. Auditoría documentada del flujo de datos anualmente. Configuración estándar de 2026 para cualquier anunciante global.

Ready to optimize your campaigns?

Start a free audit in 2 minutes and discover the ROI potential of your accounts.

Start my free audit

Free audit — no credit card required

Keep reading

Guide

Reducir tu CPA de Google Ads: guía 2026

10 palancas concretas para bajar tu CPA: match types, negativas, smart bidding, quality score, audiencias, creatividades, dayparting.

Fondamentaux

ROAS, CPA, CPC: la guía clara 2026

Definiciones, fórmulas y valores objetivo por sector de las 5 métricas clave. La guía pedagógica para entender por fin el panel PPC.