Google Analytics es una herramienta utilizada por muchísimas páginas web para medir audiencias, analizar el comportamiento de sus usuarios y mejorar sus estrategias para captar y ampliar su tráfico. Sin embargo, dado que para poder hacer eso necesita recopilar datos personales, ¿hasta qué punto cumple Google Analytics con el RGPD y la LOPDGDD? ¿Es necesario configurar sus opciones para asegurar el cumplimiento de la normativa de protección de datos?
En las siguientes líneas daremos respuesta a estas y otras preguntas sobre Google Analytics y el RGPD.
¿Por qué debo configurar Google Analytics para cumplir con la normativa de protección de datos?
Google Analytics no cumple por defecto con el RGPD y la LOPDGDD y para poder llevar a cabo las funciones de medición y análisis de usuarios, debe recabar diferentes tipos de datos, como cookies, direcciones IP, ClientIDs, identificadores únicos, historias de búsqueda y navegación, etc. Todos estos datos son considerados datos personales por la normativa actual. Y si bien, por separado no identifican a personas individuales, en conjunto si pueden llevar a ello.
Esto no quiere decir que no podamos usar Google Analytics en nuestra web, pero sí es la razón que nos obliga a configurar varias de sus opciones y características, para asegurarnos de que cumplimos con la ley de protección de datos al usarlo.
Las cookies de Google Analytics
Como ya sabéis, las últimas modificaciones del RGPD implican tener un mayor control sobre el uso de las cookies en las páginas web y de asegurar que se da a los usuarios no solo la información suficiente sobre ellas y su propósito, sino también que se recaba su consentimiento explícito para usarlas antes de que estas se instalen en su navegador. Es decir, es necesario que las cookies estén bloqueadas hasta que el usuario de su consentimiento para utilizarlas o las rechace.
Google Analytics emplea diferentes tipos de cookies para rastrear a los usuarios de un sitio y analizar su comportamiento. Según el RGPD, las cookies de Google Analytics no son consideradas necesarias para que funcione el sitio web (cookies técnicas cuyo uso no requiere el consentimiento de los usuarios) y, por tanto, hay que atender a lo que expresa la normativa al respecto: informar sobre ellas y recabar el consentimiento de los usuarios antes de usarlas.
Estas son las cookies que emplea Google Analytics:
- _ga: Sirve para diferenciar los usuarios individuales de nuestro dominio. Expira a los 2 años.
- _gid: Sirve para diferenciar a los usuarios individuales de nuestro dominio. Expira a las 24 horas.
- _gat: Se usa para limitar el número de solicitudes de los usuarios en nuestro sitio web para mantener su rendimiento. Expira en un 1 minuto.
- AMP_TOKEN: Asocia un ID único a cada usuario de nuestro dominio. Expira entre 30 segundos y 1 año.
- _gac_<property-id>: Asocia un ID única para que Google Analytics y Ads funcionen juntos. Expira a los 90 días.
Todas estas cookies se almacenan en los navegadores de los usuarios de nuestra página web y permiten a Google Analytics diferenciar usuario y seguirlos no solo en nuestro dominio, sino en otras webs que visiten, lo que nos permite saber desde dónde y cómo llegan a nuestra web, entre otras cosas.
Toda esta información se considera datos personales y cualquier responsable del tratamiento de una página web (sea un e-commerce, una web corporativa o la web de un medio de comunicación) debe cumplir con los requisitos de la normativa de protección de datos respecto al uso de cookies y eso implica configurar Google Analytics y llevar a cabo otras acciones relacionadas, que vamos a ver en los siguientes puntos.
Cómo configurar Google Analytics para cumplir con el RGPD y la LOPDGDD
Para asegurar a los usuarios la protección de sus datos personales y su privacidad al usar Google Analytics, debemos cumplir con varias obligaciones recogidas en la normativa de protección de datos. Algunas de estas acciones implican configurar ciertas opciones dentro de la propia herramienta, pero otras se llevan a cabo fuera de ella.
Crea la política de privacidad y la política de cookies
La política de privacidad y la política de cookies de nuestra página web deben incluir toda la información respecto al uso de las cookies de Google Analytics en la web. Esta información debe ser detallada, especificando qué cookies se van a usar, su duración y su finalidad.
Se trata de dar a los usuarios toda la información pertinente sobre el tratamiento de sus datos personales y la finalidad de dicho tratamiento, puesto que el RGPD y la LOPDGDD exigen que el consentimiento sea informado.
Así mismo, también se debe informar sobre la identidad del responsable del tratamiento y dónde y cómo pueden ejercer los derechos sobre sus datos los usuarios.
Tanto la política de privacidad como la política de cookies deben ser accesibles desde cualquier punto de la página web y enlazarse siempre que se vayan a solicitar datos personales de los usuarios (por ejemplo, cuando usamos un formulario de inscripción).
Recaba el consentimiento para el tratamiento de datos personales y el uso de cookies
Para usar las cookies de Google Analytics es necesario recabar el consentimiento de los usuarios, como ya hemos ido señalando. Para hacerlo tendremos que recurrir al denominado «aviso de cookies», que podemos insertar en nuestra web usando plugins o complementos creados para tal fin.
El aviso de cookies (que puede ser un banner, un pop-up, un footer, etc.), aparecerá la primera vez que un usuario entré en la web o cuando vuelva a entrar tras haber eliminado las cookies de su navegador y debe permitir al usuario aceptar todas las cookies, algunas de ellas o ninguna (salvo las técnicas/necesarias, que pueden estar aceptadas por defecto).
Así mismo, el aviso de cookies también debe informar sobre la finalidad de las cookies y su propietario, aunque sea de forma sucinta, y contará con un enlace que lleve a la política de cookies y a la política de privacidad.
Es importante que el plugin o complemento que uséis para gestionar las cookies de vuestra web, las bloquee hasta que el usuario las acepte o no, es decir, no deben alojarse en su navegador hasta que no haya dado su consentimiento para usar las cookies de Google Analytics y el resto que pueda usar tu web.
Debéis tener en cuenta que en el caso de las cookies, se debe renovar el consentimiento de manera anual.
Cabe señalar que los navegadores permiten ya bloquear las cookies, de manera que no se instalen nunca en ellos, de manera que cada vez que entréis en una web, os saltará (o debería saltar) el aviso de cookies. Algunos navegadores incluso bloquean las cookies de terceros por defecto (en este artículo os explicamos cómo activar las cookies en el navegador, para no tener que ver siempre el aviso de cookies).
Anonimiza las direcciones IP
Como hemos dicho, una IP es un dato personal y es uno de los datos que Google Analytics recaba, aunque no aparecen expuestas en los informes, la herramienta las usa para proporcionar datos de geolocalización.
Para evitar tener problemas con la normativa de protección de datos, es recomendable anonimizar la dirección de IP, algo para lo que Google Analytics tiene una función específica.
Para anonimizar las direcciones IP si utilizas Google Tag Manager tendrás que ir a Configuración de Google Analytics y entrar en «Más Configuraciones > Campos que Configurar y añadir un nuevo campo denominado “anonymizelp” con el valor “trae”».
También puedes anonimizar las direcciones IP siguiendo estos pasos:
- Entra en tu perfil de Google Analytics.
- Pincha abajo en «Administrar» (rueda dentada).
- Seguidamente pincha en «Información de seguimiento».
- Se despliegan una serie de opciones, la que te interesa es «Código de seguimiento».
- Una vez dentro del Código de seguimiento, puede que veas dos tipos de etiqueta (cookie): ga o gtag, dependiendo de cuál sea, debes añadir este código:
- [php] ga(‘set’, ‘anonymizeIp’, trae); [/php]
- [php] gtag(‘event’, ‘your_event’, { ‘anonymize_ip’: true }); [/php]
Si no queréis esperar a que los responsables del tratamiento anonimicen vuestra dirección de IP, siempre podéis recurrir a ocultar la IP directamente.
Aceptar los Términos del Tratamiento de Datos de Google Ads
Cuando empecéis a usar Google Analytics, tendréis que aceptar los Términos del Tratamiento de Datos Google Ads (que sustituyó la Adenda de Tratamientos de Datos). Estos términos están creados para cumplir con el RGPD, tanto vuestra web como Google Analytics.
Si sois clientes de Google Analytics con un contrato directo con Google, podéis aceptar los Términos del Tratamiento de Datos de Google Ads yendo a la sección «Administrar» en la configuración de la cuenta.
Si sois clientes de la versión estándar de Google Analytics ya habréis aceptado estos, ya que están incluidos en los términos que debéis aceptar al usar la herramienta.
Configura los detalles de los Términos del Tratamiento de Datos de Google Ads
Al aceptar los Términos de del Tratamiento de Datos de Google Ads, tendréis que proporcionar la siguiente información:
- Nombre de la organización y si Analytics se va a usar con fines económicos y jurídicos.
- La dirección de correo electrónico donde se enviarán las notificaciones de las Condiciones del Tratamiento de los Datos de Google Ads.
- Si procede, identificar el Delegado de Protección de Datos.
Establece el plazo de conservación de los datos
Google Analytics te permite establecer el periodo de conservación de datos personales recabado mediante las cookies, pudiendo elegir entre diferentes periodos de tiempo. Para configurarlo solo debéis seguir estos pasos:
- Entra de nuevo en Administrar (rueda dentada abajo a la izquierda).
- Propiedad.
- Información de seguimiento.
- Entra en Retención de datos.
- A la derecha se te abre Retención de datos de usuarios y eventos. Te da dos opciones:
- Retención de datos de usuarios y eventos
- Restablecer con cada actividad nueva
El complemento de inhabilitación para navegadores permite a los usuarios evitar que sus datos queden registrados en Google Analytics. Este complemento deben descargarlo los propios usuarios, de manera que tendréis que facilitar su información a través de la política de privacidad de la web, podéis hacerlo poniendo el enlace a https://tools.google.com/dlpage/gaoptout.
Consideraciones sobre otras funciones de Google Analytics que debes tener en cuenta respecto al RGPD
Aparte de las acciones y las opciones de configuración que hemos visto sobre Google Analytics, hay otras consideraciones respecto a la herramienta y el RGPD que debéis tener en cuenta.
- Remarketing y actividades de publicidad: Google Analytics permite llevar a cabo acciones de remarketing y otras acciones de publicidad, como el envío de información a listas de usuarios. Recordad que no debéis enviar información si antes no habéis obtenido el consentimiento de los usuarios para ello.
- Informes demográficos: Estos informes implican acceder a datos personales como la edad, el sexo o los intereses. Si vas a recabarlos y usarlos, debes informar sobre ello claramente y recabar el consentimiento de los usuarios. Podéis desactivarlo entrando en «Administrar > Propiedad > Configuración de la propiedad».
- Plugins de terceros: Los plugins o complementos de terceros que puedas tener instalados en tu web pueden crear sus propias cookies de seguimiento, por lo que debes comprobarlo e incluirla en el aviso y políticas de cookies.
En definitiva, si quieres cumplir el RGPD al usar Google Analytics lo más importante es incluir toda la información al respecto en tu política de privacidad y tu política de cookies y asegurarte que sus opciones están configuradas para anonimizar los datos recabados.