Back to blog

¿Google Analytics cumple con el RGPD? 10 cosas a considerar

Analytics RGPD

Written by

Published septiembre 20, 2021

¿Google Analytics cumple con el RGPD? 10 cosas a considerar

Google Analytics (GA) es, con mucho, la herramienta de análisis más popular del mercado. Es gratis y le permite analizar el tráfico de la página web y recopilar datos valiosos sobre el comportamiento del usuario.

Sin embargo, la recopilación de datos analíticos requiere el cumplimiento de las regulaciones de protección de datos como RGPD.

En los últimos años, hemos escuchado informes de prácticas de privacidad cuestionables por parte de Google. Por ejemplo, rastrear el historial de compras de los usuarios según los recibos de correo electrónico, personalizar anuncios en navegadores configurados en modo incógnito , y comprar en secreto datos transaccionales de Visa y Mastercard. Algunos de ellas han dado lugar a acciones legales basadas en el RGPD. Hasta ahora, varias organizaciones han demandado a Google. La lista incluye la CNIL de Francia, la NYOB de Austria, la Fundación Panoptykon en Polonia, la Comisión de Protección de Datos de Irlanda (DPC) y la Organización Europea de Consumidores (BEUC).

Para los consumidores y las empresas que valoran la privacidad de sus datos, esto es alarmante. Surge así la pregunta: “¿Google Analytics cumple con el RGPD?” Tal vez no. Pero un simple sí o no es difícil de dar. Por lo tanto, a continuación se presentan 10 factores a tener en cuenta al evaluar el cumplimiento del RGPD por parte de Google Analytics.

Cumplimiento de Google Analytics y RGPD: 5 cambios clave en el producto

Pero primero, abordemos los cambios positivos en Google Analytics que se han realizado para cumplir con los estándares del RGPD. 

Si utiliza Google Analytics, Google es su procesador de datos. Ese es un papel importante según el RGPD.

Aquí puede leer más sobre los deberes de los procesadores de datos.

Dado que Google maneja datos de personas de todo el mundo, ha tenido que tomar medidas para cumplir con los estándares del RGPD. La lista de nuevas funciones y ajustes incluye:

1) Mecanismo de eliminación de datos

En Google Analytics, ahora tiene la capacidad de eliminar información sobre los visitantes si lo solicitan. Dicho esto, debe tener en cuenta que el mecanismo tiene algunas limitaciones importantes.

Por defecto, no le permite eliminar registros asociados con un solo visitante. En su lugar, le permite borrar todos los títulos de página, etiquetas de eventos, categorías de eventos, acciones de eventos, dimensiones personalizadas o ID de usuario que haya recopilado en un intervalo de tiempo determinado:

Solicitud de eliminación de datos en Google Analytics

Para eliminar datos basados en una cookie o ID de usuario en particular, deberá utilizar Google Analytics User Deletion API. Sin embargo, deberá editar algún código para integrar esta función en su cuenta.

2) Configuración de retención de datos

Google también ha introducido la Configuración de retención de datos. Esto le permite controlar cuánto tiempo se almacenan los datos de usuarios individuales antes de que se eliminen automáticamente:

Configuración de retención de datos en Google Analytics

La configuración predeterminada es 26 meses.

3) Nueva política de privacidad

Google también ha incluido nuevos términos del RGPD en el contrato estándar, donde se define a sí mismo como el “procesador de datos” con respecto a Analytics y Analytics 360. En su centro de ayuda, Google afirma que:

Google Analytics y Google Analytics para Firebase siguen siendo procesadores de datos de Analytics que no se comparten ni se utilizan en esta configuración. 

Pero si habilita la configuración para compartir datos en su cuenta de Google Analytics para compartir los datos con Google Ads, Google se convierte en un controlador compartido de los datos:

Cuando los clientes de Google Analytics habilitan la configuración de uso compartido de datos para “productos y servicios de Google” (Google Analytics) y aceptan las “Condiciones de protección de datos del controlador de medición-controlador” (que incorpora la Política de consentimiento del usuario de la UE), Google es, a los fines del RGPD, un controlador de los datos que se comparten y utilizan en esta configuración.

4) Términos de procesamiento de datos actualizados

Google ha realizado cambios significativos en sus términos de procesamiento de datos. Estos términos también actúan como acuerdo de procesamiento de datos  – uno de los documentos más importantes que debe firmar con cada entidad a la que otorgue acceso a los datos personales de sus visitantes.

El nuevo documento enumera sus responsabilidades, como informar y obtener el consentimiento válido de los residentes europeos.

Nota al margen: Actualizar la política de procesamiento de datos para que aborde las obligaciones bajo el RGPD es un gran paso. Sin embargo, pedir a los usuarios que marquen una casilla para acceder a los servicios obliga a los usuarios a elegir todo o nada. Y eso es una violación del RGPD. Max Schrems, un activista austriaco de privacidad de datos, abordó este tema en su primera demanda contra Google, presentada el primer día de aplicación del RGPD.

5) Herramientas existentes que ayudan a cumplir con el RGPD

Google Analytics también recuerda a sus usuarios todas las configuraciones de privacidad que ya están disponibles en sus cuentas, herramientas y características como:

  • Configuración de cookies personalizable
  • Configuración para compartir datos
  • Controles de privacidad
  • Eliminación de datos por cancelación de la cuenta
  • Anonimización de IP

Cumplimiento del RGPD de Google Analytics: algunos problemas sin resolver

Hasta aquí todo bien. Pero también hay cosas que Google no ha abordado, a pesar de que el RGPD ha estado en vigor durante más de dos años.

1) Google Analytics no le permite almacenar la mayoría de los tipos de datos personales.

En sus términos de procesamiento Google prohíbe a los usuarios recopilar todo tipo de datos personales que no sean:

Identificadores online, incluidos identificadores de cookies, direcciones de protocolo de Internet e identificadores de dispositivos; identificadores de cliente

Esto podría ser útil para Google, ya que les quita de encima algunas obligaciones relacionadas con el RGPD. Pero desde su perspectiva, este enfoque no es en absoluto beneficioso. ¿Y si quiere tratar más datos personales y asumir todas las responsabilidades que ello conlleva? Por ejemplo, tal vez desee cargar datos de CRM o estadísticas de marketing por correo electrónico en su instancia de análisis.

Si este es el caso, tendrá que cambiar a una plataforma de análisis que le permita hacerlo.

2) Aún tiene que recopilar el consentimiento incluso si no desea procesar datos personales

Incluso si no desea procesar datos personales, hay un problema. En Google Analytics, cada usuario está registrado con una ID única. Gracias a esta identificación, Google Analytics le proporciona información sobre cuántas personas visitan su web y, por ejemplo, cuántas de ellas regresan. Esos identificadores online se consideran datos personales según el RGPD.

¿Quiere obtener más información sobre la PII y los datos personales? Descargar esto: PII, Personal Data or Both? A Helpful Cheat Sheet

Para evitar enviar datos personales a Google Analytics, Google le aconseja que aproveche un requisito de hash mínimo de SHA256. Aquí puedes encontrar las guías de Google sobre cómo evitar la recopilación de PII y anonimizar las direcciones IP.

Sin embargo, según el RGPD, los datos hash todavía se consideran datos personales y necesita un consentimiento de visitante válido para recopilarlos y procesarlos. Eso puede suponer una pérdida de datos grave, ya que entre el 30% y el 70% de los visitantes no optan por realizar un seguimiento de sus datos personales.

Alternativamente, puede cambiar a un producto que le permita evitar los datos personales y las responsabilidades que conlleva su recopilación. La mejor forma de hacerlo es mediante el uso de métodos avanzados de anonimización. Vea cómo realizar análisis útiles sin datos personales.

3) Google Analytics no tiene un marco de consentimiento fiable

Eso nos lleva al siguiente tema: gestionar los consentimientos de los visitantes y las solicitudes de datos.

Google inicialmente intentó asignar la tarea a los editores y usuarios de Google Analytics. Pero un acuerdo reciente entre Google y IAB Europe señala un cambio en su enfoque. El primer resultado de la colaboración es Funding Choices. Funding Choices es una plataforma de gestión de consentimiento dedicada a los grandes editores que monetizan su inventario de datos a través de los productos de Google.

Lamentablemente, aunque la herramienta se integra con Ad Manager y AdMob de Google, no ofrece ninguna solución para manejar datos analíticos. Esto significa que los usuarios que desean recopilar información sobre los visitantes con Google Analytics aún deben encontrar su propia forma de manejar los consentimientos y las solicitudes de datos.

4) Por defecto, Google utiliza los datos de los visitantes para sus propios fines.

También existe un problema de propiedad de los datos. Google utiliza datos de Google Analytics para mejorar sus servicios. La información que los usuarios recopilan en la plataforma se comparte con los usuarios de otros productos de Google como:

  • Google Ads 
  • YouTube
  • Google AdSense

Como puede leer en Google’s Privacy Policy & Terms:

Muchas páginas web y aplicaciones utilizan los servicios de Google para mejorar su contenido y mantenerlo gratuito. Cuando integran nuestros servicios, estas páginas y aplicaciones comparten información con Google.

Por ejemplo, cuando visita una página web que utiliza servicios publicitarios como AdSense, incluidas herramientas de análisis como Google Analytics, o incorpora contenido de video de YouTube, su navegador web envía automáticamente cierta información a Google. Esto incluye la URL de la página que está visitando y su dirección IP. También podemos configurar cookies en su navegador o leer cookies que ya están allí. Las aplicaciones que utilizan los servicios de publicidad de Google también comparten información con Google, como el nombre de la aplicación y un identificador único para la publicidad.

Los datos proporcionados por los usuarios de Google Analytics permiten a Google participar en la elaboración de perfiles de usuarios. A medida que recopila datos de varias fuentes, puede determinar rasgos de los usuarios como el género y la ubicación. Posteriormente, hace que los datos estén disponibles en informes.

Además, gracias al hecho de que tiene el código de Google Analytics en su web, los anunciantes de Google Ads conocen las preferencias de sus visitantes en función del contenido que consumen. Eso, a su vez, le permite dirigirse a esos usuarios con publicidad.

Como propietario de la web, acepta esto de forma predeterminada en la configuración para compartir datos:

Para cualquier organización que requiera una privacidad total de los datos, eso puede resultar alarmante. Cuantas más entidades tengan acceso a sus datos, mayor será la posibilidad de que su seguridad se vea comprometida. Además, el uso de los datos de los visitantes para todos esos fines requiere consentimiento. Pero no hay forma de que la recopilación de datos dependa del consentimiento del visitante.

Por eso, la mejor opción es inhabilitar el uso compartido de datos. Pero luego pierde el acceso a muchas funcionalidades, incluidas las integraciones con los productos de Google Ads y los informes de datos demográficos.

5) Google Analytics almacena sus datos en servidores ubicados de forma remota 

Por último, hablemos de la residencia de datos. Los usuarios de Google Analytics tienen sus datos dispersos en centros de datos de nube pública seleccionados al azar, la mayoría de los cuales están localizados en EEUU.

Para garantizar la seguridad de esas transferencias de datos UE-EE. UU., Google solía confiar en el marco del Privacy Shield (escudo de privacidad).

Actualización: a partir del 16 de julio de 2020, Privacy Shield ya no es un marco legal válido para transferir datos de la UE y Suiza a los EE. UU. La situación está evolucionando rápidamente, no obstante. Aquí  hemos escrito sobre la decisión y proporcionaremos actualizaciones cuando algo cambie.

Esto significa que para garantizar que el procesamiento de sus datos con Google Analytics sea legal, deberá firmar una Clausula Estándar Contractual (CEC) con Google. Google ya está adoptando esta solución:

[…]Google pasará a depender de las cláusulas contractuales estándar para las transferencias de datos relevantes, que, según la regulación, pueden seguir siendo un mecanismo legal válido para transferir datos según el RGPD. Compartiremos más información sobre estas actualizaciones (incluidos los plazos) lo antes posible. [fuente]

Dicho esto, debe saber que las CEC le imponen fuertes obligaciones como controlador de datos. Las CEC le transfieren la responsabilidad de mantener los estándares de privacidad de los datos a usted, el firmante del contrato. De acuerdo con Declaración de la Junta Europea de Protección de Datos:

Al realizar dicha evaluación previa, el exportador (si es necesario, con la ayuda del importador) deberá tener en cuenta el contenido de las CEC, las circunstancias específicas de la transferencia, así como el régimen legal aplicable en el país del importador. […] 

Si el resultado de esta evaluación es que el país del importador no proporciona un nivel de protección esencialmente equivalente, el exportador puede tener que considerar la posibilidad de implementar medidas adicionales a las incluidas en las CEC. La Junta Europea de Protección de Datos está estudiando más a fondo en qué podrían consistir estas medidas adicionales.

Esto hace que los riesgos para las empresas individuales sean mucho mayores de lo que eran bajo el Escudo de Privacidad.

Muchas APD europeas, incluidas la Autoridad Holandesa de Protección de Datos y el Comisionado de Protección de Datos de Hamburg están preocupados por la transferencia de datos a países sin leyes estrictas de privacidad de datos. Por ejemplo, afirman que en ausencia de una ley general de privacidad de datos en los EE. UU., el país no proporciona un nivel de protección comparable al que ofrece el RGPD.

En total, parece que la mejor manera de abordar este tema es estar al tanto de las regulaciones de privacidad y esperar a que los legisladores europeos proporcionen una opinión más clara sobre el tema.

Google Analytics y RGPD: ¿cuáles son las alternativas?

Esperamos que con este texto hayamos logrado responder al menos algunas de sus preguntas sobre Google Analytics y RGPD. Mientras tanto, si quiere comparar Piwik PRO con Google Analytics, aquí tiene un informe técnico útil: Piwik PRO vs. Google Analytics: The Ultimate Guide to Choosing the Right Web-Analytics Tool

Y si tiene más preguntas, no dude en ponerse en contacto con nuestro equipo. Estaremos encantados de mostrarle cómo podemos ayudarle a realizar análisis de alta calidad y respetar las leyes de privacidad.

Author

Karolina Lubowicka

Content Marketer

Content Marketer and Social Media Specialist at Piwik PRO. An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all

See more posts of this author

Core – a new plan for Piwik PRO Analytics Suite

Privacy-compliant analytics, built-in consent management and EU hosting. For free.

Sign up for free

New Call-to-action

Categories