Forskare har upptäckt dolda dataläckor och säkerhetsbrister i Google tag Manager (GTM), inklusive godtyckliga skriptinjektioner och samtycke för datainsamling som är aktiverat som standard. En juridisk analys pekar på potentiella överträdelser av EU:s dataskyddslagstiftning, särskilt med server-side GTM som försvårar granskning och efterlevnad. Studien visar att GTM:s behörighetssystem tillåter taggar att infoga okontrollerade skript, vilket skapar sårbarheter, och att utgivare ofta är omedvetna om den omfattande datainsamlingen från taggar som Google tag och Pinterest tag. Även Consent Management Platforms (CMP) kan felaktigt tolka odefinierade variabler som godkänt samtycke, vilket leder till att användardata samlas in utan uttryckligt medgivande. Forskarna har rapporterat sina fynd till Google via deras bug bounty-system.