Logo Logo
Cookiebot

 

El Reglamento general de protección de datos (RGPD)y la directiva de ePrivacy (ePR) afectan a cómo usted, como propietario de una web, puede usar Google Analytics para realizar el seguimiento de sus visitantes de la UE.

 

Pruebe nuestro test de cumplimiento para comprobar si el uso de cookies de su web y su seguimiento online se ajusta al RGPD y a la ePrivacy.

Google Analytics es con diferencia la herramienta más popular para los propietarios de webs con el fin de obtener información de cómo se usa su sitio.

Pero ¿se ajusta al RGPD? ¿Puede continuar utilizándolo y cumplir con la legislación y qué conlleva? Determine si su uso de Google Analytics se ajusta al RGPD.

En este artículo, le damos una introducción a Google Analytics, al RGPD y qué conllevan realmente los requisitos legales para su web, su uso de cookies y las herramientas de seguimiento online.

¿Se adapta mi uso de Google Analytics al RGPD?  Averigüe qué ha hecho Google para cumplir con los requisitos y qué debe hacer USTED para asegurarse que se ciñe a la ley.

Averigüe cómo se está preparando Google para el RGPD, qué cambios debería usted de implementar en su cuenta de Google Analytics y como hacer que el uso de Google Analytics de su web se ciña a la ley.

Desplácese hasta la lista 1, si quiere saltarse la introducción y entrar en materia directamente.

¿Qué es Google Analytics?


Google Analytics es la poderosa y ampliamente usada herramienta de tráfico de Google que permite a los propietarios de las webs obtener conocimiento profundo y en tiempo real de cómo se usa su sitio, cuanto y por quién.

¿Cómo encuentran su web sus usuarios, cómo se mueven en ella, durante cuánto tiempo se quedan en ella y a dónde van desde ahí?

Google Analytics es esencialmente una herramienta de procesamiento de datos.

¿Qué es el RGPD y cómo afecta a mi web?


El Reglamento general de protección de datos es una ley europea que establece requisitos estrictos sobre cómo se pueden manejar los datos de los ciudadanos de la UE.

Entró en vigor el 25 de mayo de 2018 y afecta a compañías, organizaciones y webs, grandes y pequeñas, que manejan datos personales de usuarios procedentes de la UE.

Para los propietarios de la web, la regulación conlleva que usted tiene que repasar todas sus actividades de procesamiento de datos personales y asegurarse de que cumplen con la ley.

Normalmente, las actividades de procesamiento de datos personales son de dos tipos:

  1. por un lado, formularios de contacto, subscripciones vía email y acciones de este tipo, en las que se pide sus datos personales de manera expresa y son enviados directamente por el usuario
  2. y, por otro, cookies y seguimiento online.

El RGPD conlleva que tiene que comprobar las dos y revisar que datos está recogiendo, si realmente necesita esos datos o no y por qué, además de si los está manteniendo de manera segura.

El problema de las cookies en el RGPD

Debido a sus múltiples usos, las cookies son normalmente la parte más difícil para asegurarse el cumplimiento del reglamento.

Las cookies sirven para un amplio servicio de propósitos, desde funcionabilidad hasta rendimiento, pasando por estadísticas o marketing dirigido.

Algunas son necesarias para el funcionamiento de la web y otras no. Algunas mejoran la experiencia del usuario, otras sirven para la monitorización y la construcción de perfiles de los usuarios, y otras para las dos cosas.

Algunas se establecen por la propia web, mientras que la mayoría provienen de terceras partes, normalmente incrustadas por plug-ins (conectores) de terceras partes.

Además de todo eso, las cookies de las webs tienden a cambiar, lo que quiere decir que obtener un resumen una vez para siempre no es suficiente.

En términos generales, las cookies rastrean las acciones de los usuarios y por lo tanto están sujetas al RGPD.

El reglamento afecta a su uso de cookies y el seguimiento online, a la política de cookies y a la política de privacidad, y, por último, a la manera en que obtiene el consentimiento de los usuarios para establecer las cookies.

Plug-ins, contenido incrustado y las herramientas en uso en su web, todos establecen cookies.

Como propietario de la web, es responsable de todas las actividades de procesamiento de datos activas en su web, tanto propias como de terceros.

¿Qué se considera “datos personales” en el RGPD?

El problema para los propietarios de las webs cuando se utilizan herramientas como Analytics es la amplia definición de datos personales en el RGPD:

No solo direcciones de IP, datos de contacto e información sensible como expedientes médicos o financieros, sino también cualquier dato que pueda identificar a alguien “directa o indirectamente” utilizando “todos los medios razonablemente probables de ser utilizados”

Esto incluye datos de seudónimos, identificadores online y cookies que, como afirma el RGPD, se pueden combinar con otros datos para crear “perfiles de personas naturales e identificarlas”.

¿Qué datos personales recoge Google Analytics?

Google Analytics funciona mediante un código de seguimiento que se añade a las páginas de su web. Cada usuario es registrado con un identificador único, así, Google Analytics puede proveerle con el conocimiento de cuántos visitantes únicos hay en la web, por ejemplo, y, por ejemplo, cuántos usuarios regresan.

Con Google Analytics, un puede estudiar con qué frecuencia un solo visitante ha visitado la web, cuántas páginas visita, por cuánto tiempo permanecieron y como interactúan en el sitio.

Combinado con su gran cantidad de datos estadísticos de los internautas, Google Analytics puede proveer una información muy precisa de los segmentos a los que atrae su web de acuerdo con parámetros demográficos como edad, género, intereses profesionales y personales, localización geográfica, etc.

Un resumen exacto de los datos que Google Analytics rastrear es difícil de conseguir, porque está en constante desarrollo y mejora, y Google no provee transparencia sobre sus métodos.

De acuerdo con los términos de protección de datos de Google Ads: información del servicio, Google Analytics recoge los tipos de datos siguientes:

Para obtener una visión general de lo que Google está recogiendo, puede echar un vistazo a la política de privacidad de Google:

“Recogemos información para proporcionar los mejores servicios a todos nuestros usuarios: desde determinar información básica, como el idioma que hablas, hasta datos más complejos, como los anuncios que le resultarán más útiles, las personas que más le interesan online o los vídeos de YouTube que le pueden gustar.

Recogemos información de dos maneras:

1. Información que usted nos proporciona.
Por ejemplo, muchos servicios requieren que se registres en tu cuenta de Google. Cuando lo hace, le pediremos información personal, cómo su nombre, dirección de correo electrónico, número de teléfono o tarjeta de crédito. Si quiere beneficiarte completamente las funciones para compartir que ofrecemos, nosotros podremos pedirle que cree un perfil públicamente visible de Google, que puede incluir una foto.

2. Información que obtenemos de su uso de nuestros servicios.
Recogemos información sobre los servicios que utiliza y cómo los utiliza, como por ejemplo cuando ve un video de YouTube, visita una web que utiliza servicios de publicidad, o bien ve o interactúa con nuestros anuncios y contenido."

De acuerdo con la definición del RGPD de datos personales descrita anteriormente, el seguimiento del comportamiento del usuario y la creación de perfiles solamente cumple las leyes europeas cuando la web obtiene consentimiento previo del visitante, i.e. bloqueando Analytics hasta que el visitante lo haya aceptado.

Entonces, ¿Qué ha hecho Google Analytics para adaptarse al RGPD?


En su blog, Google en Europa, han compartido información sobre cómo se están preparando para cumplir los requisitos del RGPD desde agosto de 2017.

Durante la primavera de 2018, han emitido regularmente actualizaciones para adaptarse al RGPD: han actualizado su política de consentimiento del usuario en la UE, han realizado cambios a sus términos de contrato y han renovado sus productos con el propósito de cumplir los requisitos:

Política actualizada de consentimiento de Google Analytics para usuarios de la UE

En concordancia con su política de funciones publicitarias, tanto los clientes de Google Analytics como los de Analytics 360 utilizando funciones de publicidad deben ceñirse a la política de consentimiento del usuario europeo de Google. La política de consentimiento del usuario de la UE se ha actualizado para reflejar los requisitos legales del RGPD.

Establece las responsabilidades de los propietarios de la web por revelar y obtener consentimientos de clientes procedentes del Área Económica Europea (de ahora en adelante AEE).

Por ejemplo, bajo esa política, se requerirá a los anunciantes obtener el consentimiento de los usuarios para la recogida de información para anuncios personalizados (ej. el re-etiquetado para crear listas de audiencia) y para el uso de cookies donde se exige legalmente (ej. etiquetas de conversión).

La política se incorpora a los contratos de la mayoría de los anuncios de Google y productos de mediciones a nivel global.

Cambios contractuales de Google Analytics

Google ha estado extendiendo actualizaciones de sus contratos para muchos de sus productos desde agosto de 2017, reflejando su estatus como, bien procesador o bien controlador bajo el RGPD (vea la clasificación completa de los productos de Google Ads).

Los términos del nuevo RGPD complementa su contrato con Google y entró en vigor el 25 de mayo de 2018.

En ambos, Google Analytics y Analytics 360, Google opera como procesador de datos personales que se manejan en el servicio.

Cambios en los productos de Google Analytics

Para cumplir con el RGPD y apoyar el cumplimiento de sus clientes del mismo, Google está:

Averigüe más sobre la puesta a punto de Google Analytics para el RGPD.

Visite privacy.google.com/businesses para aprender más sobre las políticas de privacidad de Google y enfoque, junto con sus términos de procesamiento de datos y de controlador de datos.

¿Qué debería hacer para adaptar su uso de Google Analytics al RGPD?

A pesar de todos estos pasos inadvertidos, como propietario de la web, usted es parte responsable por los datos personales de sus visitantes que están siendo manejados en su sitio.

Vea este útil artículo de como se preparar su uso de Google Analytics para el RGPD.

Para preparar su uso de Google Analytics para el RGPD, hay básicamente dos cosas que hacer:

  1. Realizar cambios en la configuración de su cuenta de Google Analytics
  2. Asegurarse de que el uso de su web de Google Analytics y otras herramientas se ciñe a la ley.

Lista 1: Pasos para hacer que su Google Analytics cumpla con el RGPD


1. Controla como está transmitiendo datos personales a Google

No es suficiente filtrar datos personales a través de los filtros de Google Analytics.

La transmisión se debe detener a nivel de código fuente para evitar que los datos sean enviados a Google Analytics.

Combrueba que la url de su página, los títulos de sus páginas y otras dimensiones. Asegúrese de que no se está recogiendo datos personales.

Un ejemplo común de la recogida de datos personales es cuando captura una url que contiene un parámetro “email= querystring”.

Si este es el caso, es probable que usted esté filtrando datos personales a otras tecnologías de marketing activas en su web.

2. Active la anonimización IP en su cuenta de Google Analytics

La dirección de IP son datos personales de acuerdo con la definición del RGPD. Las direcciones de IP nunca se exponen en un informe, por defecto, pero Google las utiliza para proveer datos de geolocalización.

Por lo tanto, es una buena idea encender la función de anonimato de IP de Google Analytics.

Este cambio reducirá ligeramente la precisión del informe geográfico de su cuenta de Google Analytics.

Para encender el anonimato, debe realizar un cambio en el código.

Si usted utiliza Google Tag Manager, ajuste su etiqueta o la variable Google Analytics ajustes haciendo clic en Más ajustes -> Campos a establecer y luego añada un nuevo campo denominado ‘anonymizeIp’ con un valor de verdad.

Si usted no utiliza Google Tag Manager, su sistema de administrador de etiquetas puede tener este ajuste expuesto como una opción, o usted puede necesitar editar el código directamente.

Una vez implementado, Google anonimizará la dirección IP tan pronto como le sea técnicamente posible, quitando el último octeto de la dirección de IP antes de que empiece ningún almacenamiento o procesamiento (su IP se convierte en 123.123.123.0 — donde la última porción/octeto es sustituido por ‘0’). Una vez esta función está habilitada, la dirección completa de IP nunca estará escrita en el disco, según Google.

3. Repase la colección de Identificadores Pseudónimos de Google Analytics

Su implementación de Google Analytics puede estar ya utilizando identificadores de pseudónimos. Estos pueden incluir lo siguiente:

Identificador de usuario: controla que los identificadores de usuarios es una base alfanumérica, y no datos escritos en simple texto, como emails, nombre de usuario, etc.

Datos troceados/encriptados como direcciones de correo electrónico. Comprueba si puede hacerlo sin datos encriptados o troceados. Google tiene un requisito de troceado mínimo de SHA256. Sin embargo, se recomienda evitar recoger datos de esta manera.

Identificadores de transacción: son técnicamente identificadores pseudónimos, ya que cuando vinculados con otra fuente de información, puede llevar a la identificación de un individuo. Asegúrese de que este identificador es un de una base de datos alfanumérica.

Lista 2: Pasos para adaptar el uso de Google Analytics de su web y la política de privacidad al RGPD


1. Provea transparencia sobre el procesamiento de datos en su web en su política de privacidad y/o en su política de cookies.

Asegúrese que el procesamiento de datos actual en uso en su web está claramente indicado, por ejemplo, en su política de privacidad. En un requisito del RGPD, que la información de la recogida de datos…

Lea más acerca de los requisitos y como ceñirse a la ley en nuestro artículo Política de privacidad.

¿Tiene una política de cookies apropiada? La política de cookies debería ser accesible para sus usuarios y subrayas las cookies que están en uso, que propósito tienen y como uno puede aceptarlas o rechazarlas.

No importa si su política de cookies es un documento independiente o está integrado dentro de su política de privacidad, siempre que la información sea de fácil acceso para sus usuarios.

Lea más sobre los requisitos de la política de cookies y como ceñirse a los mismos.

Con Cookiebot, el informe mensual del escaneo de su web se puede publicar como una parte integrada de su política de privacidad y su política de cookies.

De esa manera, la información para sus usuarios es siempre específica y actualizada con el procesamiento de datos real en uso, sin importar como cambien sus herramientas y sus cookies.

Además, la declaración automáticamente provee las opciones obligatorias para cambiar y revocar el consentimiento.

2. Google Analytics y el consentimiento del RGPD a cookies y al seguimiento online.

Obtener el consentimiento apropiado al uso de cookies de sus visitantes es una parte crucial para hacer que su web se ciña al RGPD. Para que esto ocurra, el consentimiento debe ser…

Lea más sobre el asunto en nuestro sobre el consentimiento de cookies y el RGPD.

Cookiebot es una de las pocas soluciones de consentimiento que realiza todo lo anterior.

No puede controlar Google. Pero implementando Cookiebot, usted puede hacer que el uso de cookies y el seguimiento online de su web se ciña al RGPD.

Fuentes


GDPR Report: GDPR and Google Analytics
Digital Third Coast: How does Google Analytics actually work?
Shivarweb: What does Google Analytics do?
Google developers guide: Google Analytics cookie usage on websites
Stackoverflow: What data is collected by Google Analytics (by default)
Google's Privacy policy
Medium: Google Analytics and GDPR Compliance
Google Ads Data Protection Terms: Service Information
GOOGLE IN EUROPE Getting ready for Europe’s new data protection rules
Googles EU User Consent Policy
Full classification of Googles Ads products

Haga que el uso de cookies y rastreadores online de su web cumpla el RGPD/ePR

PRUÉBELO AHORA GRATIS