Cómo afecta la normativa RGPD a Google Analytics (o GDPR)

Si todavía no sabes lo qué es la RGPD (o GDPR) tenemos que decirte que tienes poco tiempo para ponerte al día. Si ya estás informado y preocupado (como todos), en este artículo te explicamos en qué afecta el nuevo Reglamento General de Protección de Datos en lo relativo al uso de herramientas como Google Analytics.

Recientemente, Google Analytics ha enviado a sus usuarios (administradores) un email en el que anuncian por fin los primeros cambios importantes y accionables en lo que respecta a la adaptación de su herramienta de medición a la nueva normativa europea RGPD.

Lo primero que llama la atención de la información, es que te pide que ejecutes acciones, con lo cual ya nos damos cuenta de que la cosa es seria. No es como otras veces que simplemente «aceptabas» los nuevos términos. Aquí tienes que saber lo que haces.

Actualizaciones en Analytics para cumplir con la normativa RGPD

El típico mensaje de «Aceptas nuestras cookies…» tendrá que cumplir con la normativa de consentimiento explícito, y por tanto informar de lo que se hará con los datos recopilados del usuario (ya sea su cookie, su user-id, o cualquier otro identificador único que utilices).

Pero esto es a nivel global, no solo de Analytics. Tienes trabajo por delante, la verdad.

Las propiedades estándar de Universal Analytics dejarán de procesar hits a partir del 1 de julio de 2023

Por eso, es fundamental saber cambiar a GA4 de manera adecuada. ¡Deja que nosotros nos encarguemos mientras tú sigues enfocado en tu proyecto!

Los datos de usuarios de Analytics serán automáticamente borrados tras un período determinado

Se introduce un nuevo control de almacenamiento de datos a nivel granular que permite estipular el tiempo que los datos de los usuarios van a ser almacenados. El tiempo que decidas almacenar los datos de los usuarios en Analytics será notificado al usuario, y una vez alcanzado, todos los datos del usuario serán borrados automáticamente.

La locura.

Es importante destacar que los datos agregados no se verán afectados, es decir, que Analytics seguirá mostrando datos durante los períodos, pero claro, estos serán una agregación, no datos reales. Pero no podremos consultar datos individuales, es decir, aquellos pertenecientes a un usuario único (su sesión, sus eventos, etc).

Estás obligado a revisar tu configuración y escoger entre diferentes opciones predeterminadas de tiempo de almacenamiento y borrado de datos:

  • 14 meses
  • 26 meses
  • 38 meses
  • 50 meses
  • Que no expiren automáticamente *

*(Esta opción no terminamos de verla desde Disruptivos, ya que choca con una directiva expresa de GDPR sobre consentimiento inequívoco acerca del período de almacenamiento de los datos).

Destacar también que si decides bajar el tiempo de almacenamiento, en el próximo proceso mensual de borrado, todos los datos afectados se borrarán. Tendrás 24 horas para arrepentirte de este cambio y deshacer este cambio.

Por último, también puedes decidir que cada vez que el usuario que haya dado consentimiento expreso para el almacenamiento y procesado de sus datos vía Analytics visite tu web, su período se resetee y no expire basado en su primera visita. Es decir, que vaya ampliando su ventana de retención de datos.

Herramienta de borrado de datos de usuario en Analytics

Esta herramienta permitirá borrar de forma inmediata todos los datos almacenados (por ejemplo una visita) de un usuario individual. Estará basada en la cookie standard, en User ID o App Instance ID. Pronto habrá más detalles en la sección para desarrolladores.

Más herramientas de Analytics para cumplir con la GDPR

Entre otras herramientas que te ayuden a cumplir con la normativa europea tendrás a tu disposición, por ejemplo, la personalización de las cookies, los controles de privacidad, la configuración de uso compartido de datosborrado de datos al cancelar una cuenta o la útil anonimización de las IPs para evitar almacenar datos asociados a individuos.

Cambios contractuales de Google Analytics relacionados con la RGDP

Durante los últimos meses, Google ya ha estado sacando actualizaciones de los términos de servicio y contractuales relacionados con Analytics, sobre todo distinguiendo si tiene funciones de Controlador de Datos o de Procesador de Datos.

En el caso de Analytics, Google opera como Procesador de Datos. Como la normativa es para usuarios europeos, aquellos Controladores de Datos que operen fuera de la Unión Europea pueden revisar y aceptar los nuevos términos en su cuenta. Los que están basados en la Unión Europea ya tienen los términos incluidos en su cuenta desde hace semanas.

Consentimiento explícito para Analytics según la RGDP

Al usar las funcionalidades de publicidad (audiencias, remarketing, adsense, etc), los usuarios de Analytics deben cumplir con las políticas de consentimiento explícito. En este caso, Google por supuesto deja en mano del Controlador de Datos (es decir, el propietario de la web o la persona responsable al respecto) informar y conseguir el consentimiento explícito del usuario para poder después utilizar los servicios de Google.Aquí os recomendamos que os empapéis bien de toda la normativa, porque hay mucha tela que cortar.

Iremos actualizando el post sobre Analytics cuando salgan más novedades.

Más información acerca de la GDPR

Te animamos a que leas estos posts, para saber cómo afecta la RGDP a Adsense y cómo afecta la GDPR a Mailchimp.

Este artículo es una interpretación de la información pública distribuida por Google, y no contiene ningún tipo de asesoramiento legal.

No nos hacemos cargo de los usos indebidos del mismo ni de las posibles interpretaciones que el lector pueda hacer del mismo.

Compartir   Compartir en twitter
Javier Moral
Me encanta el olor a analítica por la mañana.

10 comentarios sobre “Cómo afecta la normativa RGPD a Google Analytics (o GDPR)

  • Hola Javier, en relación a los datos que se borraran según el periodo selleccionado en la » Retención de datos de usuarios y eventos «, ¿Podrías incluir en el post cuáles son los eventos que se borrarán? No deja muy claro si se refiere a los eventos que se registran en los informes o a otro tipo de eventos relacionados con DoubleClick, etc. Gracias.

    • Hola Jon, por lo que hemos leído en Google y otras fuentes, la definición es un poco dispersa por el momento. En teoría se habla de todos los datos que puedan estar relacionados inequívocamente con un usuario, para ello el usuario tendría que estar identificado por IP o con user-id u otro método. Creemos que dentro de esa definición entran tanto los eventos propios de Analytics, como los importados de otras plataformas y que se guarden en Analytics. Lo que dudo es que se borren en todas las plataformas, es decir, que si Adwords o Doubleclick guardan datos de usuarios (ojo, no los datos anónimos o, por ejemplo, con IPs anonimizadas) estos datos desaparezcan de estas otras plataformas.
      Si vamos sabiendo algo más con certeza, lo iremos actualizando en el post.
      Un saludo!

    • Javier Moral dice:

      Alejandro, la normativa debe ser aplicada por cualquier empresa que almacene datos de personas «que se encuentren» en la UE. Si tienes tráfico desde la UE y guardas datos de tus usuarios, estás obligado a cumplir la normativa aunque tu empresa esté fuera de la UE.

      • Sin animo de ofender, pero esa respuesta es muy ambigua ya que una empresa Mexicana puede recibir trafico Europeo y por lo tanto almacenar datos como los cookies (que en México no es obligatorio bloquear, tan solo es obligatorio tener un aviso de privacidad que indique donde se hable acerca de la política de cookies) sin ni siquiera tener relaciones comerciales en Europa, por lo tanto, según la explicación que ofreciste el equivalente sería decir que «todas las páginas están obligadas a seguir la normativa Europea porque cualquier página en el mundo es propensa recibir trafico desde Europa».

        Eso no tiene ningún sentido y es dictatorial porque es como si Tokelau con una población de unos 1400 habitantes hace una normativa y como cualquier página en el mundo es propensa de recibir trafico desde Tokelau en cualquier momento todas las personas en el mundo tenemos que adaptarnos forzosamente.

        • No me ofendes en absoluto, y lo ambiguo de la respuesta tiene que ver con la ambigüedad del Reglamento. Todo lo que dices es cierto y coincido en tu apreciación de que no tiene sentido práctico (y el que lo ha redactado no conocía las implicaciones reales de la implementación).

          En uno de los apartados, el Reglamento cita textualmente

          El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

          Te aconsejo que lo leas bien y saques tus propias conclusiones, como te digo, coincido contigo en el «sinsentido» de ciertos artículos del Reglamento y su ambigüedad en cuanto a la implementación correcta para poder cumplirlos.

          https://gdpr.algolia.com/es/gdpr-article-3#recital-24

          Un saludo

  • Hola Javier,
    Gracias por arrojar un poco de luz al tema 🙂

    Desde el punto de vista de querer guardar la menor cantidad de datos del usuario, me planteo estas dudas acerca del tema del periodo de retención de datos.

    Por un lado entiendo que al aplicar la reducción a 14 meses (que por defecto el período está a 26 meses) se eliminan 12 meses de datos almacenados que Google tiene de un visitante. ¿Supondrá algún tipo de «penalización» el hecho de recortar la información?

    Según Google dice en su ayuda:
    «Por ejemplo, si la retención de datos se ha establecido en 14 meses, pero el usuario inicia una sesión nueva cada mes, su identificador se actualiza cada mes y nunca alcanza el vencimiento de 14 meses. Si el usuario no inicia una sesión nueva antes de que venza el periodo de retención, se eliminarán sus datos.
    Si no desea que el periodo de retención de un identificador del usuario se restablezca con cada actividad nueva, desactive la opción. Los datos asociados al identificador del usuario se eliminarán automáticamente tras el periodo de retención.»

    Por otro lado, entiendo que al desmarcar la opción de «Reestablecer con cada actividad nueva» se elimina la cookie el usuario cuando finaliza el periodo establecido de retención.
    Tú dices que al desmarcar la opción de «Reestablecer con cada actividad nueva» *se va ampliando su ventana de retención de datos*. ¿Esto quiere decir que Google multiplica las cookies que tiene de un mismo visitante ya que no se superponen en cada visita?
    No tengo muy claro qué quieres decir con *ampliar la ventana*, ¿es que en realidad lo que parece que estamos «limitando», es todo lo contrario?

    Muchas gracias por la ayuda y saludos,
    Esther

    • Buenas Esther,

      la opción por defecto es que la cookie vuelva a reiniciar su validez durante el período seleccionado (14, 26, 50 meses… o para siempre) cada vez que el mismo usuario realice un evento en la web. Por ejemplo, que vea una página (hit de evento) en una nueva sesión.

      Si seleccionas lo contrario, la cookie del usuario se eliminará cuando se cumpla el período establecido que «aceptó explícitamente» en su primera visita. Es decir, si tu usuario acepta que guardes su cookie 14 meses, y tú has seleccionado que los datos expiren, a los 14 meses sus datos se borrarán y en su próxima visita a tu web, tendrá que volver a aceptar las condiciones de forma explícita, creándose una nueva cookie.

      No se multiplican las cookies: hay una activa hasta que expire. Si el usuario vuelve a entrar después de que haya expirado, se crea otra, donde no hay ningún tipo de relación con los datos anteriores.

      Como ocurría hasta ahora, y a menos que uses implementación user-ID y que el usuario se loguee, evidentemente un mismo usuario puede tener diferentes cookies según navegador y dispositivo desde el que navegue. En cada uno tendría que aceptar las condiciones, claro.

      Como usuario de Analytics, yo pondría por defecto que no expiren nunca, pero tampoco sé cómo van a reaccionar los usuarios cuando vean las nuevas condiciones y todo lo que implica. Es un misterio que está por descubrir.

      Espero haberme explicado mejor ahora, ¡aunque todo es tan difuso!
      Saludos

  • Hola Javier, Gracias por contestar.
    Creo que al final lo he entendido, ya que mi duda estaba con qué pasaba con la cookie cuando no estaba activa la opción de «Reestablecer» (de ahí que pensaba que se multiplicaran -que se creara una por cada sesión adicional 🙂
    Ahora veo que la fecha de caducidad de la cookie inicial no se amplía a cada visita nueva (+1), si no que expirará cuando le toque por la fecha de la primera visita, haya más visitas posteriores o no.

    Gracias, volveré a pasar por aquí a ver si hay novedades.
    Esther

  • Pingback: Reglamento de Protección de Datos en el sector editorial

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *