Go Back
¿Cómo afectará RGPD a su Seguimiento de Análisis Web?

¿Cómo afectará RGPD a su Seguimiento de Análisis Web?

Date January 22, 2019 Author Category RGPD

Probablemente has oído hablar del RGPD, el nuevo reglamento de protección de datos de la UE. Su propósito es fortalecer y unificar la recopilación de datos de individuos dentro de la Unión Europea y reemplazar la obsoleta Directiva de Protección de Datos 95/46 / CE.

También es la ley de privacidad de datos más estricta que se haya introducido. Y aunque la lista de organizaciones involucradas puede sugerir lo contrario, el alcance territorial del nuevo reglamento es realmente amplio.

El RGPD afecta no solo a las entidades con base en la UE, sino a casi todas las empresas que tratan con clientes (sujetos de datos) dentro de la Unión Europea, tanto controladores de datos (por ejemplo, empresas) como procesadores de datos (por ejemplo proveedores de software en la nube).
Por lo tanto, si deseas evitar multas elevadas, en algunos casos, tan altas como:

El 4% de la facturación anual de tu empresa o 20 millones de euros,
lo que sea más alto – ¡duele!

ya es hora de ajustar tu política de procesamiento de datos a las demandas de la nueva legislación de la UE.

Ahora, veamos algunos aspectos más detallados del RGPD. En la siguiente sección de este artículo, te mostraremos cómo ajustar tu rastreamento de web analytics a las exigencias de la nueva ley.

Primero, permítenos presentar dos conceptos que son cruciales para el rastreamento web bajo el RGPD: datos personales y consentimiento.
Ninguno de ellos es tan obvio como puede parecer a primera vista.

¿Qué son los datos personales?

Echemos un vistazo más de cerca a los considerandos del Reglamento sobre datos personales. Examinaremos los centrados exclusivamente en la definición del término, ya que sería prácticamente imposible investigar todas las menciones de “datos personales” cuando se considera que la frase aparece en el texto ¡casi 600 veces!

En el artículo 4.1 del Reglamento General de Protección de Datos podemos encontrar la siguiente definición:

[…] Cualquier información relacionada con una persona física identificada o identificable (“sujeto de datos”); Una persona física identificable es una persona que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador online, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.

Es importante enfatizar que el Reglamento amplía significativamente la definición de datos personales en comparación con la definición provista por la Directiva 95/46 / CE.

Además, hay dos puntos particularmente interesantes en el caso del seguimiento web:

  • El RGPD trata los identificadores online y los datos de ubicación como datos personales y, por lo tanto, exige que se los proteja de la misma manera que otros identificadores, como la información sobre la identidad genética, económica o psicológica de un sujeto de datos.
  • Las cookies están incluidas en el alcance de los identificadores online, el RGPD también declara que todas las cookies, incluso las seudónimas, pueden ser consideradas datos personales si existe la posibilidad de utilizarlos para señalar o identificar a un individuo. Esto se detalla en el considerando 30 de la nueva ley:

Las personas físicas pueden asociarse con identificadores online proporcionados por sus dispositivos, aplicaciones, herramientas y protocolos, tales como direcciones de protocolo de Internet, identificadores de cookies u otros identificadores tales como etiquetas de identificación de radiofrecuencia. Esto puede dejar rastros que, en particular, cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden usarse para crear perfiles de las personas físicas e identificarlas.

¿Qué significa esto para usted? Significa que para cumplir plenamente con los requerimientos del RGPD, ¡tienes que ajustar tu política de cookies!
Ahora, puede que te estés preguntando si la nueva legislación arroja alguna luz sobre cómo hacerlo; después de todo, según las normas existentes, las cookies no necesariamente requieren consentimiento.

Afortunadamente, lo hace.

Un poco.

¿Qué es el consentimiento?

No será una sorpresa que la comprensión del consentimiento y los requisitos asociados con él se hayan reforzado y ampliado. El artículo 4.11 de la nueva legislación define el consentimiento como:

[…] Cualquier indicación de forma libre, específica, informada e inequívoca de los deseos del sujeto de los datos mediante la cual él o ella, mediante una declaración o una acción afirmativa clara, muestra que está de acuerdo con el procesamiento de los datos personales relacionados con él o ella.

Nota importante: como podemos ver, la legislación define el consentimiento como una acción afirmativa realizada de manera inequívoca e informada. Por lo tanto, elimina automáticamente una “implicación del acuerdo” de la lista de formas de consentimiento aceptadas. Volveremos sobre esto en una sección posterior del artículo.

En otro párrafo del nuevo reglamento también podemos encontrar una descripción del proceso de obtención del consentimiento. Aparece en el considerando 32 y está redactado de la siguiente manera:

El consentimiento debe otorgarse mediante un acto afirmativo claro que establezca una indicación libre, específica, informada e inequívoca del acuerdo del interesado en el procesamiento de datos personales […]. Esto podría incluir marcar una casilla al visitar una página web de Internet, elegir la configuración técnica para los servicios de la sociedad de la información u otra declaración o conducta […]. El silencio, las casillas pre-marcadas o la inactividad no deben constituir consentimiento.

El texto del reglamento no da instrucciones específicas para obtener permiso para procesar datos personales. Sin embargo, el RGPD aclara que el consentimiento de señalización de “acciones afirmativas” puede incluir:

  • Elegir la configuración técnica para los servicios de la sociedad de la información
  • marcar una casilla en una página web, o
  • otra declaración o conducta que aclare la indicación de consentimiento.

Y entre las formas de acuerdo insuficientes el RGPD enumera:

  • silencio,
  • casillas pre-marcadas, o
  • inactividad.

Eso sigue siendo bastante ambiguo, ¿verdad? No te preocupes, la generalidad de las pautas proporcionadas por la nueva legislación no debería preocuparte demasiado.

A pesar de todo, debemos recordar que el RGPD es un marco que aborda a un alto nivel el tema del procesamiento de datos personales en todas sus formas. También hay una legislación más detallada que entrará en vigor junto con el RGPD (nos referimos al Reglamento de privacidad y comunicaciones electrónicas, conocido como Reglamento de e-Privacidad).

Sin embargo, en el RGPD en sí, hay muchos indicios sobre cómo deberían ser las mejores prácticas en relación con el seguimiento de análisis web.

Intentaremos resumirlos para ti y presentarlos como pasos que puedes seguir para preparar tu configuración de analitica web de acuerdo con la próxima legislación:

Seguimiento Web bajo el RGPD: 5 pasos necesarios

Paso 1: Deshazte de las cajas de cookies

Sí, estas pequeñas ventanas molestas tienen que irse. Bajo las nuevas normas, solo visitar tu página web por primera vez no será válido como consentimiento para procesar los datos, incluso si les proporciona información como “Al utilizar esta página, usted acepta cookies”.

Si no hay una acción realizada libremente para dar su consentimiento, éste no será válido.

En su lugar, deberás utilizar un cuadro de consentimiento y mostrarlo a cada usuario que visite tu página web por primera vez. ¿No estás seguro de cómo debería ser? Echa un vistazo a este cuadro de solicitud de consentimiento de muestra diseñado con un poco de ayuda de Piwik PRO RGPD Consent Manager:

A muestra de ventana emergente de solicitud de consentimiento RGPD
Esto es compatible con el RGPD porque es:

Dado libremente: no haces del consentimiento una condición previa de tus servicios. Solo preguntas cortésmente a tus visitantes si les gustaría compartir algunos de sus datos contigo.

Específico: permite que tus visitantes den un consentimiento por separado para cada tipo de procesamiento de datos.

Informado: Describe todos los propósitos de la recopilación de datos de los visitantes.

Sin ambigüedades: tus visitantes deben marcar una casilla para aceptar tu solicitud y tu solicitud de consentimiento se distingue claramente de otras cuestiones.

¡Nota IMPORTANTE! Resulta que no todos los tipos de rastreamento requerirán el consentimiento de tus usuarios. Los expertos predicen que el Reglamento e-Privacy (Reglamento sobre privacidad y comunicaciones electrónicas) hará una excepción para los datos personales utilizados con fines de análisis web. Por lo tanto, si aprovechas una herramienta de análisis web que utiliza los datos recopilados solo para examinar el rendimiento de tu página web, es probable que no tengas que preocuparte por esta parte.

Sin embargo, si pasas tus datos analíticos a otras plataformas de AdTech y MarTech (como DSP o CDP), utilizas píxeles de remarketing y códigos de seguimiento, o haces personalización del contenido de tu página web según el comportamiento del usuario, sin duda deberás solicitar el consentimiento de cada una de estas actividades.

Paso 2: La configuración del navegador será tratada como consentimiento (probablemente)

En el RGPD en sí (por razones obvias) no encontraremos ninguna mención de “configuración del navegador”. Pero el último borrador del Reglamento sobre la e-Privacidad sugiere que en el caso de las cookies utilizadas para el seguimiento, es muy probable que no tengas que informar a tus visitantes sobre el uso de cookies si tu navegador web está configurado para indicar su consentimiento o rechazo. Los usuarios deben activarlo manualmente, lo que indica una acción afirmativa, como se describe en el texto del RGPD.

Es importante recalcar que deberás respetar la decisión de tus visitantes para no ser rastreados, ¡incluso en el caso de un consentimiento emitido previamente!

Paso 3: Justifica y describe todos los propósitos de uso de los datos personales recopilados de tus usuarios

Según el RGPD, las páginas que usan diferentes tipos de cookies para diferentes propósitos necesitan obtener el consentimiento para cada propósito. ¿Cómo lidiar con esto? Te recomendamos que los incluyas en la sección de Política de privacidad de tu página web, para que los usuarios puedan conocerlos cuando visiten su página.

El considerando 32 de la nueva ley establece:

Cuando el procesamiento tiene múltiples propósitos, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se otorga a través de una solicitud por medios electrónicos, la solicitud debe ser clara, concisa y no debe interrumpir innecesariamente el uso del servicio para el que se presta.

Aunque en este momento no está del todo claro cómo debería ser la descripción de cada propósito, hay un par de ejemplos de buenas prácticas que podrías seguir.

Por ejemplo, así es como PayPal resolvió el problema.

Paso 4: ¡No hablar legalmente nunca más!

Tien en cuenta la forma en que se está comunicando con tus usuarios a través de la Política de privacidad publicada en tu página web. El nuevo reglamento le prohíbe formular un mensaje de manera que no sea comprensible para el “tipo promedio” de Internet”.

Después de todo, no podemos hablar de un verdadero consentimiento cuando los visitantes no saben a qué se están inscribiendo. Esta declaración también está respaldada por el principio de transparencia descrito en el considerando 58 del RGPD:

El principio de transparencia requiere que cualquier información dirigida al público o al sujeto de los datos sea concisa, de fácil acceso y fácil de entender, y que se use un lenguaje claro y sencillo y, además, cuando sea apropiado, se usará visualización […]Esto es de particular relevancia en situaciones donde la proliferación de actores y la complejidad tecnológica de la práctica hacen que sea difícil para el sujeto de los datos saber y comprender por quién y con qué propósito se recopilan los datos personales que se relacionan con él o ella, como en el caso de la publicidad online.

Paso 5: Tus visitantes deben poder darse de baja en CUALQUIER momento

Incluso después de que hayas obtenido un consentimiento válido, tus visitantes deben tener una forma fácil de cambiar de opinión. Debería ser tan fácil retirar el consentimiento como darlo.

El artículo 8.2 de la nueva regulación lo define así:

El sujeto de los datos tendrá el derecho de retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará la legalidad del procesamiento basado en el consentimiento antes de su retirada. Antes de dar su consentimiento, el interesado deberá ser informado al respecto. Deberá ser tan fácil retirarse como dar su consentimiento.

¿No estás seguro de cómo aplicar esta norma?

En Piwik PRO resolvimos este problema creando un widget de Configuración de Privacidad para que puedes instalarlo en tu Página de Política de Privacidad. Es una de las características del RGPD Consent Manager – una nueva adición a Piwik PRO Marketing Suite, para ayudar a nuestros clientes a recopilar, administrar y almacenar los consentimientos del RGPD y procesar las solicitudes de los sujetos de datos de manera legal.

Visualización de muestra del widget de configuración de privacidad RGPD

¡Respetar los derechos de los sujetos de datos!

También hay un aspecto increíblemente importante del RGPD que debes analizar en detalle. El RGPD presenta una lista de derechos de los sujetos de datos que deben ser respetados, tanto por los procesadores de datos, como por los recolectores de datos. La lista incluye:

  • Derecho de acceso por parte del interesado (sección 2, artículo 15).
  • Derecho de rectificación (Sección 3, Art. 16).
  • Derecho a objetar al procesamiento (Sección 3, Art. 14).
  • Derecho de borrado, también conocido como “derecho a ser olvidado” (Sección 3, Art. 17).
  • Derecho a restringir el procesamiento (Sección 3, Art. 18).
  • Derecho a la portabilidad de datos (Sección 3, Art. 20).

Como el tema de los derechos de un sujeto de datos es realmente amplio (y también bastante complicado), nos comprometemos a cubrirlo en una publicación de blog separada.

Lo que debes saber ahora es que la decisión sobre cómo deseas aplicar esas reglas y responder a las solicitudes de sus usuarios depende de ti. Pero no hace falta decir que el proveedor de análisis web correcto debería ayudarte a cumplir con las obligaciones que le impone el RGPD.

¿Cómo saber si tu socio comercial está informado de todo y si está preparado adecuadamente para la próxima legislación?

Te recomendamos que te pongas en contacto con tu proveedor de análisis web y que compruebes cómo va a resolver este problema. Si no puede responder a tus preguntas, eso significa que ya es hora de considerar encontrar una solución más respetuosa con la privacidad que te proporcione una manera de cumplir con la nueva ley (como Piwik PRO Consent Manager).

¡Es hora de actuar ya!

Esperamos que los consejos presentados anteriormente te ayuden a ajustar sus métodos de seguimiento de análisis web a las exigencias de la nueva ley. Por supuesto, sabemos que es imposible responder a todas las preguntas que puedas tener en una sola publicación de blog.

Por lo tanto, si aún no está seguro de cómo optimizar sus análisis para el cumplimiento de la privacidad, no te desesperes. Los expertos de Piwik PRO están aquí para ayudar– ¡puedes ponerte en contacto con nosotros en cualquier momento!

Además, te animamos a que te suscribas a nuestro boletín informativo: te mantendremos informado de todas las actualizaciones relacionadas con el RGPD, el Reglamento de e-Privacidad (cuyo segundo borrador está actualmente en revisión) y otros reglamentos de protección de datos que pueden afectar a tu negocio.

Author:

Karolina Lubowicka, Content Marketer

Content Marketer and Social Media Specialist at Piwik PRO. An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

See more posts of this author

Share