GDPR – Cómo configurar Google Analytics para cumplir con la GDPR

¿Qué es el GDPR o RGPD?

El Reglamento General de Protección de Datos (en adelante GDPR) es una importante norma europea creada para mejorar la confidencialidad de los ciudadanos europeos en la era digital. En este reglamento la Unión Europea define los requisitos de seguridad necesarios para proteger y procesar datos personales. El GDPR se aprobó en 2016, pero no fue hasta el 25 de mayo de 2018 cuando entró en vigor.

El GDPR nace para poner fin a las diferentes normas sobre la protección de datos de los países miembros de la Unión creando una norma común. Por tanto, el GDPR persigue terminar con la desigualdad ante el derecho a la protección de los datos personales que existía entre ciudadanos de la Unión Europea. En Europa siempre ha habido un punto de vista más restrictivo en cuanto a la protección de los datos. El GDPR también quiere ayudar a la economía europea favoreciendo la intensificación de los negocios digitales al simplificar el marco legal operante. Por último esta norma tiene como fin fortalecer la democracia europea. Que nadie se olvide que se aprobó tras interminables reuniones al calor del escándalo de Snowden.

La GDPR vela por el derecho a la protección de los datos personales «regulando el tratamiento que realizan las personas, empresas y organizaciones de los datos relacionados con personas en la Unión Europea«.

Es fundamental cumplir con los requisitos de esta normativa de protección de datos. Las sanciones por el incumplimiento pueden ir desde una advertencia a una multa de 20 millones de euros o un 4 % del volumen de negocio total anual mundial.

Advertir al lector que el GDPR no se ha redactado como una serie de normas de uso de Google Analytics. La norma emplea definiciones genéricas que en ocasiones es complicado identificar en el campo de la analítica web. El objetivo que tiene la norma es regular la manera en la que se tratan los datos personales a nivel global, no concretamente los datos web y mucho menos los que forman parte de las rutinas de trabajo de Google Analytics. Trasladar el GDPR a una serie de buenas prácticas es un ejercicio no exento de polémica y mucho esfuerzo. Tras unas intensas jornadas de documentación se concibió este artículo. A continuación comparto cómo creo que hay que configurar Google Analytics para que nuestro negocio esté dentro de la norma sin dejar fuera ningún dato. Antes de llevar a cabo ninguna de estas prácticas, cotéjalo con tu departamento legal.

¿Qué son datos personales según la GDPR?

Los datos personales es aquella información relativa a una persona física que nos hacen capaces de reconocerla. Todos deducimos rápidamente que  datos personales serían: el nombre, la dirección, el número teléfono, etc. Sin embargo, el GDPR deja en claro que la información de identificación personal (PII) también puede considerarse información personal. PII son datos del visitante que, a priori, parecen inofensivos como el sexo, la edad, el idioma, el grupo demográfico. Estos son estériles en cuanto a que no identifican a un individuo. Sin embargo, si usáramos estos datos enlazados en una triangulación de datos  visitante web se podría llegar a identificar quién es esa persona.

Algunos ejemplos de lo que el GDPR entiende como datos personales:

  • nombre y apellidos,
  • domicilio,
  • dirección de correo electrónico, del tipo nombre.apellido@empresa.com,
  • número de documento nacional de identidad,
  • datos de localización (como la función de los datos de localización de un teléfono móvil) (*),
  • dirección de protocolo de internet (IP),
  • el identificador de una cookie (*),
  • el identificador de la publicidad del teléfono,
  • los datos en poder de un hospital o médico, que podrían ser un símbolo que identificara de forma única a una persona.

Los únicos datos personales que podríamos estar recogiendo si tenemos una implementación estándar* serían: la dirección IP del visitante y/o algún otro tipo de dato personal que se estuviera “colando” en nuestras URLs.

Si tenemos una implementación personalizada y avanzada debemos sumergirnos en el informe de eventos principales, dimensiones personalizadas, userID y trasactionID para asegurarnos que no enviamos ningún dato personal a la herramienta. Si hemos activado las funciones publicitarias de Google tenemos que obtener el consentimiento del usuario (más  adelante verás esta explicación).

*Implementación estándar: únicamente alimentamos nuestra cuenta con los hits de página vista que genera nuestro código de seguimiento.

OJO! Las normas de buen uso de la herramienta ya nos exigen no almacenar ningún dato personal.

¿Quién tiene que cumplir con el GDPR?

Las empresas o entidades que estén establecidas en la UE (independientemente de dónde sean tratados los datos) y/o que traten datos personales de ciudadanos pertenecientes a la UE.

Cómo cumplir con la GDPR en 5 pasos

Si usamos Google Analytics para recopilar datos y llevar a cabo nuestra estrategia digital podemos cumplir con la normativa siguiendo los siguientes pasos:

  1. Obtener el consentimiento del usuario cuando sea necesario.
  2. Firmar la Adenda sobre el tratamiento de datos.
  3. Establecer un límite de tiempo para almacenar los datos.
  4. Permite al usuario ejercer su derecho al olvido.
  5.  Asegúrate que no envías ningún dato personal al servidor de GA.
    1. Anonimización de IP
    2. Audita tus vistas y evita que se envíen los datos desde el inicio

1.- Mide a los usuarios que hayan dado su consentimiento.

En la documentación de Google Analytics podemos encontrar la siguiente directriz:

“Si utilizas las Funciones publicitarias de Google, debes cumplir esta política (el GDPR), independientemente de cómo envíe los datos a Google Analytics”.

“Las Funciones publicitarias de Analytics son un conjunto de funciones que utilizan las cookies de publicidad de Google para que pueda hacer cosas como las siguientes:

  • Crear audiencias de remarketing basadas en datos específicos de comportamiento, datos demográficos e intereses, y compartirlas con Google Ads.
  • Usar datos demográficos y de intereses en los informes de Analytics.
  • Crear segmentos basados en los datos demográficos y de intereses.”

Estos incluyen datos edad, sexo e informes de intereses, remarketing con GA y la integración de DCM. Debemos tener en cuenta que estas configuraciones necesitan de cookies de terceros, por tanto, se intercambiarán datos con otras organizaciones además del sitio web que se visita. 

Si no estas disfrutando de las funciones publicitarias de Google, podemos interpretar que no estarías manipulando datos relacionados con la identidad del usuario (PII) y no será el GDPR el que rija cómo debes recoger los datos de Google Analytics. Pero si has habilitado alguna de las Funciones publicitarias de Google Analytics, deberás informar a tus visitantes de que recoges estos datos, la finalidad de la misma e incluir cierta información de una manera clara, sencilla e inequívoca en tu política de privacidad.

En resumen, cuando las funciones publicitarias están activas se envía información a los servidores de Google Analytics y a los servidores de Doubleclick. Si queremos cumplir con la normativa europea y con las directrices de Google Analytics cuando el usuario no haya dado su consentimiento debemos impedir que se envíe información a Doubleclick.

Google creó el campo allowAdFeatures, que puede usarse para bloquear de manera condicional la solicitud de DoubleClick independientemente de cómo se haya configurado.
Iremos a Google Tag Manager. Escogeremos la variable de configuración de Google Analytics que usamos para el seguimiento y añadiremos el campo allowAdFeatures. Además de añadir el campo debemos ser capaces de asignarle un valor true (cuando hemos conseguido el consentimiento del usuario) y un valor false (cuando no lo hemos conseguido). Lo más sencillo es crear una variable que sea capaz de leer el consentimiento y usarla como valor {{user consent}} . Si no editamos este campo tendrá por defecto el valor true. 

allowAdFeatures

Ojo!  Debemos mostrar un mensaje en la primera visita del usuario con la información necesaria para obtener su consentimiento. Tristemente, es muy común encontrarse con que el seguimiento ya se está llevando a cabo desde que el visitante carga una página de su sitio, antes de que hayan aceptado (o no) que se rastree su actividad.

Se habrá dado cuenta el lector que he pasado por puntillas, pero soy consciente, que lo más complicado es desarrollar una funcionalidad que consiga devolvernos un valor true o false en función de si el usuario dio o no su consentimiento. Y no he querido ni acercarme al melón de qué es el consentimiento y cómo conseguirlo. Lucho por ser una analista feliz.

2.- Firma la Adenda sobre el tratamiento de datos.

Debemos entender que el GDPR identifica dos actores dentro de tratamiento de datos: el responsable del tratamiento (data controller) y el encargado del tratamiento (data processor). El responsable del tratamiento establece el propósito y mecanismos relacionados con el tratamiento. El encargado del tratamiento trata datos personales solo en nombre del controlador. Si nosotros somos responsables de qué datos y cómo se recogen seremos los responsables del tratamiento. Debemos tener en cuenta que todos los datos que vemos en Google Analytics son el resultado de haber realizado cierta configuración que ha enviado datos a los servidores de Google, por tanto, Google sería el encargado del tratamiento.

“Las obligaciones del encargado del tratamiento con respecto al responsable deberán especificarse en un contrato u otro acto jurídico.

Este contrato es la Adenda sobre el tratamiento de datos que podemos encontrar al nivel de cuenta, dentro de la configuración de la cuenta.

adenda tratamiento de datos

3.- Almacena datos durante un tiempo limitado.

Según el GDPR los datos personales deben conservarse un tiempo limitado. Para cumplir con este aspecto del GDPR Google Analytics creó a mediados de 2018 la configuración retención de datos que se encuentra a nivel de propiedad. La retención de datos nos permite controlar cuánto tiempo almacenará Google en sus servidores los datos de usuarios.

La política sobre la protección de datos de tu organización debe establecer cuánto tiempo es necesario que sean almacenados para cumplir con el fin por el que fueron recogidos. Nuestro trabajo simplemente es identificar el periodo de tiempo que tiene establecido nuestra empresa y trasladarlo a la herramienta. La herramienta ofrece los siguientes periodos:

  • 14 meses
  • 26 meses
  • 38 meses
  • 50 meses
  • No caducar de manera automática

retencion de datos

El periodo de tiempo que seleccionaremos establecerá “cuánto tiempo pasa antes de que los datos a nivel de usuario y de evento que almacena Google Analytics se eliminen automáticamente de los servidores de Analytics”.

La herramienta tendrá como periodo predefinido 26 meses, cuando cambiemos el periodo, los datos que se vean afectados se eliminarían el mes siguiente. Desde que realizamos un cambio en el periodo de retención hasta que se implementa transcurren 24h.

Esta retención de datos no afectará a los informes estándar de la herramienta (audiencia, adquisición, comportamiento y conversión) pero sí que afectará a los “datos muestreados” (sample data), es decir, datos que extraemos gracias a segmentos, filtros de tabla, dimensiones secundarias e informes personalizados. Serán estos los que perderemos.

Si activamos la opción de “Restablecer con cada actividad nueva” lo que conseguimos es que se establezca el periodo de retención del identificador del usuario con cada evento nuevo de ese usuario. Si no queremos que el periodo de retención de un identificador del usuario se establezca de nuevo con cada actividad, tenemos que desactivar esta opción.

Existe la recomendación de que en este apartado elijamos la opción «No caducar de manera automática». Esta recomendación se basa en que al no tener en Google Analytics almacenados datos personales y por el tipo de finalidad que se usan los datos recogidos podemos establecer ese periodo. 

4.- Permite al usuario ejercer su derecho al olvido

Este apartado hace alusión a uno de los derechos que la normativa reconoce a los ciudadanos europeos:

solicitar que los datos personales sean borrados cuando ya no sean necesarios o si el tratamiento es ilícito”

Poco antes del 25 de mayo Google Analytics lanzó la User Deletion API para borrar datos de un usuarios.

Podemos eliminar puntualmente los datos de un usuario desde una vista en la que tengamos permisos de edición. Tenemos que ir al informe de audiencia, concretamente, el informe de Explorador de usuarios. Necesitaremos conocer el user ID o client ID del usuario que queremos borrar. Lo seleccionaremos y clicamos en Eliminar usuario.

user deletion first step

Leemos la advertencia y aceptamos los términos. Debemos tener en cuenta que esto no es reversible y los datos que eliminemos los borraremos para siempre.

user deletion second step

Después de confirmar que queremos borrar al usuario la herramienta nos indica que el borrado está en proceso y que se aplicará en 72 horas.

user deletion step 3

Si queremos desarrollar una funcionalidad para llevar a cabo la eliminación de usuarios  podemos basarnos en las indicaciones que nos facilita la plataforma de google para desarrolladores  pero debemos tener en cuenta que esta práctica aún no está extendida. 

5.- Asegurate que no envías ningún dato personal a Google Analytics.

5A Anonimización de IP

El GDPR considera la IP un dato sensible, aunque bajo el criterio de Google no es un dato personal.

Cuando implementamos el código de seguimiento de Google Analytics en nuestro sitio, su JavaScript actúa enviando datos a los servidores de Google. Luego estos son recopilados y tratados para elaborar informes que vemos después en la herramienta.

Uno de esos datos es la IP del usuario que la utiliza para mostrar las localizaciones geográficas mediante las dimensiones de país, ciudad, región, etc.

Debemos entender entonces que la implementación por defecto del código lleva a un tratamiento inconveniente de este dato sensible del usuario. Por esto recomiendo llevar a cabo una configuración conocida como enmascarado de IP. Es una implementación sencilla y rápida con la que hacemos una modificación en el código de seguimiento que evitará ese tratamiento inadecuado de la IP de usuario. Con esta implementación no vamos a perder la información geográfica que nos brinda la herramienta, aunque es cierto que puede que pierda cierta precisión.

Las IPs que se envían a los servidores de Google están formadas por cuatro grupos de números, por ejemplo: 123.123.123.123. 

Lo que persigue el enmascaramiento de IP es convertir el último grupo de números en un cero.

Pues bien, lo que consigues con el enmascaramiento de IP del código de Analytics es convertir el último grupo en un cero. De esta forma evitaremos que llegue a los servidores de Google una IP completa. En el caso del ejemplo, la IP guardada sería IP 123.123.123.0 que elimina la posibilidad de identificar la red asociada.

Enmascarado de IP con GTM

Para anonimizar las direcciones IP en GTM, debemos ir a nuestra variable de Configuración de Google Analytics. O podemos modificarlo desde nuestra etiqueta de Universal Analytics .

En la variable de configuración GA, dentro de “Campos” escribiremos «anonymizeIp» y estableceremos su valor en «true».

Debemos entender que esta modificación corresponde a la sintaxis de Universal Analytics. Hacer este cambio en el gestor de etiquetas es equivalente a modificar el código en Analytics.js.

anonymizeIp

5B Audita tus vistas y evita que se envíen los datos desde el inicio

Recoger datos personales sobre los visitantes en GA está estrictamente en contra de los términos de la herramienta. Como he hablado en otros apartados esto incluiría nombres, direcciones, cuentas de correo, etc. Sin embargo podemos encontrarnos que se colectan estos datos por error.  Por ejemplo cuando un usuario se subscribe a una newsletter y solicitamos que confirme su registro con un correo que invita a hacer click en un link como el siguiente:

wwww.misitio.com/boletin?nombre=irene&apellido=analista

Las visitas que recibiéramos con estos parámetros en la url permitirían a Google Analytics recopilar datos personales de los usuarios que nos visitan. Otro error común es recoger datos personales en las urls generadas en los envíos de formularios.

Para poder comprobar si se han estado almacenando estos datos podemos ir a Comportamiento > Todas las páginas y aplicar un filtro con las siguientes expresiones regulares para detectar qué tipo de dato se estaría revelando en nuestras urls.

Teléfono 6[0-9]{8}|7[0-9]{8}|9[0-9]{8}

Correo \?.*(@|%40)

IPs ([0-9]{1,3}\.){3}[0-9]{1,3}

Código postal [0-9]{5}

Domicilio ca(lle|mino|rretera|lzada|llejon)|avenida|bulevar|grupo

Seguridad Social [0-9]{12}

DNI, NIE, CIF [0-9]{8}[a-z,A-Z]|[a-z,A-Z][0-9]{7}[a-z,A-Z]|[a-z,A-Z][0-9]{8}

Tarjeta de crédito [0-9]{16}

Si encontramos algún dato personal lo primero que debemos hacer es trasladarlo a nuestro equipo de desarrollo. Serán ellos los que tendrán que hacer los cambios necesarios en funcionamiento de la web para que ningún dato personal sea visible en el normal funcionamiento del site.

Aplicar un filtro para que esta información no sea visible los datos personales de la herramienta desde en la herramienta no será suficiente para cumplir estrictamente con la GDPR puesto que se estarían enviando esos datos a los servidores de Google y somos responsables de que el sistema de recogida de datos sea seguro (concretamente responsables del tratamiento ;).

Podemos utilizar Google Tag Manager para evitar que se envíen en nuestros hits algún PII.  Necesitamos crear una variable de javascript que consiga detectar estos parámetros y sobrescribirlos. Sería conveniente que hicieras la auditoria que comentábamos anteriormente. Un buen punto de partida es la variable de javascript personalizada que encontramos en el (magnifico) blog de Brian Clifton. No es perfecta, pero es muy buena y en ella encontramos la base lógica para adaptarla a nuestra problemática. No vamos a resolver el problema con copiarla y pegarla en nuestro sitio, debemos adaptarla a nuestro caso.

Para que esta variable funcione y nos ayude a evitar que se manden datos personales al servidor en cualquier hit debemos agregar el campo customTaks a todas las etiquetas de Google Analytics. Podemos decir que el customTask es un campo que nos permite bucear dentro del hit de Google Analytics antes de que se envíe. Si vamos a nuestra variable de Google Analytics e indicamos que este campos es equivalente a la función de javascript conseguiríamos que no se enviaran datos personales desde el primer momento. Esto se puede hacer de una forma rápida aplicando el campo en la variable de configuración de Google Analytics.

customTask

De esta forma cuando la variable detecte algún PII dentro del hit entonces reemplazará los datos personales por el texto [REDACTED pii_type]. Esta solución tiene la elegancia de la sencillez, pero ten en cuenta que te estarías metiendo en las tripas de la partícula de información que construye todo en Google Analytics y debemos operar con cautela.

Fuentes:

Comisión Europea: ¿Qué rige el Reglamento general de protección de datos («RGPD»)?

Comisión Europea: ¿Qué son los datos personales?

Comisión Europea: ¿A quién se aplica el Reglamento general de protección de datos (RGPD)?

Comisión Europea: ¿Cuáles son mis derechos?

Comisión Europea: What is a data controller or a data processor?

Ayuda de Analytics: Acerca de las Funciones publicitarias

Ayuda de Analytics: Requisitos de la política sobre las Funciones publicitarias de Google Analytics

Ayuda de Analytics: Retención de datos

Ayuda de Analytics: Explorador de Usuarios

Ayuda de Analytics: User Deletion API – Overview

MoreVisibility: GDPR, Google Analytics & User Deletion

Libro «Google Analytics Breakthrough: From Zero to Business Impact”

Simo Ahava´s: Allow And Block Advertising Features In Google Analytics

Noise or Music?: Google Analytics, GDPR and Consent

Jeffalytics: GDPR Compliance with Google Analytics – Do You Need Cookie Consent?

Jeffalytics: Change Your Google Analytics Data Retention Setting, Or Lose Your Advanced Segments

Carlosmdh: Cómo hacer anónima la IP para Google Analytics

Artículos Relacionados

Entradas recientes

Comentarios recientes

Archivos

Categorías

Meta

Irene Santos Written by:

Analista feliz. En ocasiones veo datalayers en LIN3S. Creo contenido sin ninguna pretensión más allá que seguir aprendiendo. Tengo a Segovia en el corazón y a Bilbao en la cabeza

Be First to Comment

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *