Cómo afecta la normativa RGPD a Google Analytics

Cómo afecta la normativa RGPD a Google Analytics

gdpr google analytics
Si todavía no sabes lo que es la RGPD (o GDPR) tenemos que decirte que tienes poco tiempo para ponerte al día. Si ya estás informado y preocupado (como todos), en este artículo te explicamos en qué afecta el nuevo Reglamento General de Protección de Datos en lo relativo al uso de herramientas como Google Analytics.
Recientemente, Google Analytics ha enviado a sus usuarios (administradores) un email en el que anuncian por fin los primeros cambios importantes y accionables en lo que respecta a la adaptación de su herramienta de medición a la nueva normativa europea RGPD.
Lo primero que llama la atención de la información, es que te pide que ejecutes acciones, con lo cual ya nos damos cuenta de que la cosa es seria. No es como otras veces que simplemente "aceptabas" los nuevos términos. Aquí tienes que saber lo que haces.

Actualizaciones en Analytics para cumplir con la normativa RGPD


El típico mensaje de "Aceptas nuestras cookies..." tendrá que cumplir con la normativa de consentimiento explícito, y por tanto informar de lo que se hará con los datos recopilados del usuario (ya sea su cookie, su user-id, o cualquier otro identificador único que utilices).

Pero esto es a nivel global, no solo de Analytics. Tienes trabajo por delante, la verdad.

Los datos de usuarios de Analytics serán automáticamente borrados tras un período determinado


Se introduce un nuevo control de almacenamiento de datos a nivel granular que permite estipular el tiempo que los datos de los usuarios van a ser almacenados. El tiempo que decidas almacenar los datos de los usuarios en Analytics será notificado al usuario, y una vez alcanzado, todos los datos del usuario serán borrados automáticamente.

La locura.
Es importante destacar que los datos agregados no se verán afectados, es decir, que Analytics seguirá mostrando datos durante los períodos, pero claro, estos serán una agregación, no datos reales. Pero no podremos consultar datos individuales, es decir, aquellos pertenecientes a un usuario único (su sesión, sus eventos, etc).
Estás obligado a revisar tu configuración y escoger entre diferentes opciones predeterminadas de tiempo de almacenamiento y borrado de datos:
  • 14 meses
  • 26 meses
  • 38 meses
  • 50 meses
  • Que no expiren automáticamente *
Destacar también que si decides bajar el tiempo de almacenamiento, en el próximo proceso mensual de borrado, todos los datos afectados se borrarán. Tendrás 24 horas para arrepentirte de este cambio y deshacer este cambio.
Por último, también puedes decidir que cada vez que el usuario que haya dado consentimiento expreso para el almacenamiento y procesado de sus datos vía Analytics visite tu web, su período se resetee y no expire basado en su primera visita. Es decir, que vaya ampliando su ventana de retención de datos.

Herramienta de borrado de datos de usuario en Analytics


Esta herramienta permitirá borrar de forma inmediata todos los datos almacenados (por ejemplo una visita) de un usuario individual. Estará basada en la cookie standard, en User ID o App Instance ID. Pronto habrá más detalles en la sección para desarrolladores.

Más herramientas de Analytics para cumplir con la GDPR

Entre otras herramientas que te ayuden a cumplir con la normativa europea tendrás a tu disposición, por ejemplo, la personalización de las cookies, los controles de privacidad, la configuración de uso compartido de datos, borrado de datos al cancelar una cuenta o la útil anonimización de las IPs para evitar almacenar datos asociados a individuos.

Cambios contractuales de Google Analytics relacionados con la RGDP


Durante los últimos meses, Google ya ha estado sacando actualizaciones de los términos de servicio y contractuales relacionados con Analytics, sobre todo distinguiendo si tiene funciones de Controlador de Datos o de Procesador de Datos.

En el caso de Analytics, Google opera como Procesador de Datos. Como la normativa es para usuarios europeos, aquellos Controladores de Datos que operen fuera de la Unión Europea pueden revisar y aceptar los nuevos términos en su cuenta. Los que están basados en la Unión Europea ya tienen los términos incluidos en su cuenta desde hace semanas.

Consentimiento explícito para Analytics según la RGDP


Al usar las funcionalidades de publicidad (audiencias, remarketing, adsense, etc), los usuarios de Analytics deben cumplir con las políticas de consentimiento explícito. En este caso, Google por supuesto deja en mano del Controlador de Datos (es decir, el propietario de la web o la persona responsable al respecto) informar y conseguir el consentimiento explícito del usuario para poder después utilizar los servicios de Google.
Aquí os recomendamos que os empapéis bien de toda la normativa, porque hay mucha tela que cortar.

Iremos actualizando el post sobre Analytics cuando salgan más novedades.
Este artículo es una interpretación de la información pública distribuida por Google, y no contiene ningún tipo de asesoramiento legal. No nos hacemos cargo de los usos indebidos del mismo ni de las posibles interpretaciones que el lector pueda hacer del mismo.
Javier Moral
Javier Moral
Me encanta el olor a analítica por la mañana.

2 Comments

  1. Jon dice:

    Hola Javier, en relación a los datos que se borraran según el periodo selleccionado en la ” Retención de datos de usuarios y eventos “, ¿Podrías incluir en el post cuáles son los eventos que se borrarán? No deja muy claro si se refiere a los eventos que se registran en los informes o a otro tipo de eventos relacionados con DoubleClick, etc. Gracias.

    • Javier Moral dice:

      Hola Jon, por lo que hemos leído en Google y otras fuentes, la definición es un poco dispersa por el momento. En teoría se habla de todos los datos que puedan estar relacionados inequívocamente con un usuario, para ello el usuario tendría que estar identificado por IP o con user-id u otro método. Creemos que dentro de esa definición entran tanto los eventos propios de Analytics, como los importados de otras plataformas y que se guarden en Analytics. Lo que dudo es que se borren en todas las plataformas, es decir, que si Adwords o Doubleclick guardan datos de usuarios (ojo, no los datos anónimos o, por ejemplo, con IPs anonimizadas) estos datos desaparezcan de estas otras plataformas.
      Si vamos sabiendo algo más con certeza, lo iremos actualizando en el post.
      Un saludo!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies