¿Cómo añadir Google Analytics a su política de privacidad?

Una política de privacidad¹ es una declaración que informa al interesado sobre cómo se tratarán sus datos. En el caso del sitio web, una política de privacidad notificará al visitante el tratamiento de sus datos y los fines del tratamiento (optimización del sitio web, análisis de mercado, etc.).

Cuando se crea una empresa o se gestiona un sitio web, esta no es la parte más emocionante en la que trabajar, pero es importante marcar esta casilla. Para hacerte la vida más fácil, hemos recopilado una lista de cosas que deberías tener en cuenta.

1. ¿Cuál es el objetivo de una política de privacidad?
2. ¿Necesito una política de privacidad para Google Analytics?
3. ¿Cómo se redacta una política de privacidad?
4. Ejemplo de política de privacidad por niveles
5. Modelo de política de privacidad de Google Analytics
6. ¿Cuándo debe aparecer mi política de privacidad?
7. ¿Qué información debe contener mi política de privacidad?
8. Reflexiones finales

Entremos en materia.

¿Cuál es el objetivo de una política de privacidad?

El objetivo principal de una política de privacidad es proporcionar información al interesado (en este caso, el visitante de su sitio web) sobre el tratamiento de sus datos, de acuerdo con el principio de transparencia².

Debe informar al usuario sobre el tratamiento de sus datos: qué datos está tratando, en qué se basa, con qué fin, etc. También debe informarle sobre su derecho a la privacidad. También debe informar al usuario sobre sus derechos en virtud del RGPD (como solicitar la supresión de los datos y presentar una reclamación). Además, debe facilitar el ejercicio de estos derechos proporcionando un punto de contacto para cualquier solicitud o pregunta que puedan tener.

Tenga en cuenta que una política de privacidad se dirige directamente al usuario. La información debe ser lo más clara y accesible posible³. Utiliza un lenguaje sencillo y deja la jerga para los abogados.

¿Necesito una política de privacidad para Google Analytics?

Sí, la necesita. Google Analytics recopila cookies y direcciones IP, que son datos personales según el GDPR. También necesita el consentimiento para procesar las cookies, ya que entran dentro del ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas⁴. Este es el caso tanto de las cookies de origen como de las cookies de terceros (estas últimas están asociadas a un dominio diferente del que el usuario está visitando y tienden a ser más invasivas de la privacidad).

¿Cómo se redacta una política de privacidad?

No es ciencia exacta, pero tampoco es sencillo. Su política de privacidad debe incluir muchos datos específicos para cumplir el artículo 13 del GDPR. 13 DEL RGPD. Al mismo tiempo, debe ser concisa, accesible y clara para cumplir el artículo 12, apartado 1, del RGPD. 12(1) GDPR.

Puede resultar difícil incluir toda la información necesaria y, al mismo tiempo, mantener una política sencilla y accesible, pero un enfoque por capas⁵ puede ayudarle a encontrar el equilibrio. Una política de privacidad estratificada proporciona la información más importante por adelantado. Remite al lector a otros recursos para obtener información más detallada (por ejemplo, mediante enlaces a distintas páginas o tal vez a los encabezados pertinentes de un único aviso más extenso).

Ejemplo de política de privacidad por niveles

En primer lugar, una aclaración necesaria: esto no es asesoramiento jurídico y no debe tomarse como tal. Cada aviso debe adaptarse a un sitio web específico. No copie y pegue nuestro aviso ni el de ningún otro sitio de Internet. Si tiene algún conocimiento de la legislación sobre privacidad, redacte usted mismo un aviso o pida a un experto que se lo redacte.

Dicho esto, aquí tiene una plantilla de ejemplo para una política de privacidad por capas:

En awesomewebsite.com utilizamos Google Analytics para recopilar datos. Necesitamos estos datos para entender cómo utiliza nuestro sitio web y así poder mejorar su diseño y funcionalidad. También necesitamos los datos para sacar el máximo provecho de nuestras campañas de marketing.

Con su consentimiento, Google Analytics procesará y recopilará sus datos personales (cookies y dirección IP) para proporcionarnos información valiosa. Google Analytics transferirá sus datos a Estados Unidos y los almacenará durante 6 meses. Para obtener más información sobre las políticas de transferencia de datos de Google, haga clic aquí.

Usted tiene ciertos derechos sobre sus datos: por ejemplo, puede exigirnos que los eliminemos o que le proporcionemos una copia. Asumimos la responsabilidad del tratamiento de sus datos. Estamos a su disposición para responder a cualquier pregunta y tramitar cualquier solicitud suya. Haga clic aquí para leer más sobre sus derechos y saber cómo puede ponerse en contacto con nosotros.

Por favor, exprese su preferencia de cookies:

1. Consiento el tratamiento de cookies no esenciales
2. Rechazo el tratamiento de cookies no esenciales No leeremos ni escribiremos cookies sin su consentimiento.

Modelo de política de privacidad de Google Analytics

En awesomewebsite.com utilizamos Google Analytics para recopilar datos. Necesitamos estos datos para entender cómo utiliza nuestro sitio web y así poder mejorar su diseño y funcionalidad. También necesitamos los datos para sacar el máximo partido de nuestras campañas de marketing.

Debe incluir todos los fines para los que procesa los datos y distinguirlos claramente. Esto es sólo un ejemplo: si también recopila datos personales para otros fines, debe mencionarlo.

Con su consentimiento, Google Analytics procesará y recopilará sus datos personales (cookies y dirección IP) para proporcionarnos información valiosa. Google Analytics transferirá sus datos a Estados Unidos y los almacenará durante x meses. Para obtener más información sobre las políticas de transferencia de datos de Google, haga clic aquí.

En este enlace puede explicar que Google Ireland Ltd. transfiere datos a Google LLC y que utiliza cláusulas contractuales estándar para salvaguardar los datos. Debe aclarar lo que esto significa en un lenguaje sencillo. Por ejemplo:

Las cláusulas contractuales tipo son cláusulas legales redactadas por la Comisión Europea. Forman parte de un contrato entre Google Ireland Ltd. y Google LLC, y Google LLC debe respetarlas. Las cláusulas contractuales tipo indican a Google LLC lo que puede y no puede hacer con tus datos.

No es necesario reproducir el contenido de las cláusulas, pero podrías proporcionar un enlace a la propia documentación de Google.

Tenga en cuenta que proporcionar esta información no hace que la transferencia de datos sea legal. Google Analytics está prácticamente prohibido en cuatro países de la UE (Austria, Francia, Italia y Dinamarca) porque se determinó que las transferencias de datos entre Google Ireland y Google LLC infringían el capítulo V del GDPR, y es posible que le sigan más países. No hay nada que pueda hacer de forma realista al respecto: si utiliza Google Analytics, está aceptando un riesgo de cumplimiento. Hemos escrito más sobre este tema aquí.

A raíz de esto, se ha desatado un debate sobre si todas las versiones de Google Analytics son consideradas ilegales o sólo la versión actual (universal analytics).La respuesta corta es que las infracciones se aplican a ambas versiones de Google Analytics. Hemos escrito sobre esto más extensamente en este blog.

Usted tiene ciertos derechos sobre sus datos: por ejemplo, puede exigirnos que los eliminemos o que le proporcionemos una copia. Asumimos la responsabilidad del tratamiento de sus datos. Estamos a su disposición para responder a cualquier pregunta y tramitar cualquier solicitud suya. Haga clic aquí para leer más sobre sus derechos y saber cómo puede ponerse en contacto con nosotros.

Aquí encontrará información sobre el derecho de acceso⁶, el derecho a retirar el consentimiento⁷, el derecho de supresión⁸, el derecho a presentar una reclamación en el Estado miembro en el que vive o trabaja el interesado⁹ y, posiblemente, el derecho de oposición¹⁰. Si está tratando datos personales sin consentimiento¹¹, tenga cuidado de especificar qué categorías de datos puede solicitarle el usuario que borre. Y aclare que usted es el responsable de gestionar las solicitudes, no Google.

Siempre tienes que proporcionar información de contacto de tu organización, y si tienes un RPD y un representante en la UE, también debes proporcionar un contacto para ellos. La información de contacto es realmente importante en la práctica. No se limite a rellenar un correo electrónico y olvidarse de él: asegúrese de que las solicitudes se remiten a alguien que realmente se encargará de ellas. Las empresas suelen ser multadas por no responder a las solicitudes con prontitud.

Si dispone de un responsable de la protección de datos, dirija a él las solicitudes de los usuarios, ya que tramitarlas forma parte de sus funciones. Si no tiene un DPO, es una buena práctica responsabilizar a alguien de su organización de responder a las solicitudes. Indique un contacto directo en su política de privacidad¹² para que las solicitudes no se pierdan entre el correo de la organización.

Exprese su preferencia por las cookies:

• Consiento el tratamiento de cookies no esenciales
• Rechazo el tratamiento de cookies no esenciales No leeremos ni escribiremos cookies sin su consentimiento.

Esta elección debe presentarse en términos claros y no engañosos: sí o no. Si el usuario dice "no", respete su decisión y no vuelva a mostrarle el banner de cookies.

Un usuario puede querer aceptar cookies para fines específicos; por ejemplo, puede aceptar cookies de origen para la optimización del sitio web y rechazar cookies de marketing de terceros. Incluir una opción de "personalización" es aceptable si la opción de rechazar todas las cookies es visible, fácilmente accesible y está redactada con claridad. No obligue a los usuarios a pasar por cinco configuraciones diferentes de cookies para decir "no", y no fuerce opciones confusas como "aceptar" frente a "personalizar".

Muchas empresas no diseñan ellas mismas los banners de cookies, sino que confían en una plataforma de gestión del consentimiento. Se aplican las mismas sugerencias: en pocas palabras, asegúrese de que sus banners de cookies sean claros y permitan a los usuarios rechazar el consentimiento fácilmente.

Por último, si recopila algunos datos personales sin consentimiento, también debería incluir esa información. Por ejemplo, podría añadir una última parte como:

Seguiremos recopilando algunos datos si usted no da su consentimiento. Haga clic aquí para obtener más información.

En el enlace, puede especificar qué datos recopila y sobre qué base jurídica¹³.

¿Cuándo debe aparecer mi política de privacidad?

Si utiliza Google Analytics, su política de privacidad debe aparecer en cuanto el usuario entre en su sitio web¹⁴. También debería incluirla en su sitio web para que los usuarios recurrentes puedan acceder fácilmente a la información.

Desde un punto de vista práctico, tiene sentido fusionar su política con su banner de cookies, como hicimos en nuestra plantilla. De todos modos, es necesario un banner de cookies, y es mejor una molesta ventana emergente que dos.

Por otro lado, según el GDPR, retirar el consentimiento debe ser tan fácil como darlo¹⁵. Así que su sitio web debe permitir a los usuarios retirar el consentimiento fácilmente de alguna manera. No importa realmente cómo, siempre que la opción sea sencilla y fácilmente accesible. Por eso puede ser conveniente incluir un botón de exclusión voluntaria o una opción similar en la política que aparece en su sitio web. Pero recuerde que este mecanismo de exclusión voluntaria no puede recoger el consentimiento por sí mismo: ¡eso tiene que hacerlo en su banner de cookies!

¿Qué información debe contener mi política de privacidad?

Su política de privacidad debe contener toda la información requerida por el Art. 13 DEL GDPR. En el caso de Google Analytics, sería:

• la finalidad y la base jurídica del tratamiento
• datos de contacto del responsable del tratamiento, el RPD y el representante de la UE (si procede)
• los derechos del usuario como interesado (incluido el derecho a presentar una reclamación)
• si los datos se comunicarán a terceros
• si los datos se transferirán fuera de EE.UU. y con qué garantías
• cuánto tiempo se almacenarán los datos.

El Art. 13 como una lista de comprobación que puede revisar para asegurarse de que su política es conforme. De hecho, redactamos nuestra plantilla teniendo en cuenta este artículo. Pero no basta con cubrir toda la información: como hemos dicho, esta información debe facilitarse de forma clara y accesible.

Reflexiones finales

Nuestra plantilla proporciona la información como parte de un banner de cookies porque es conveniente. Pero para que quede claro, una política de privacidad no se refiere sólo a las cookies: si está recopilando cualquier otro dato personal, también debe informar al usuario al respecto.

Una última palabra: cuando se trata de privacidad, hay una gran distancia entre la teoría y la práctica. Muchos sitios web proporcionan menos información de la requerida y muy pocos permiten retirar el consentimiento fácilmente. Así que puede que te salgas con la tuya, pero seguirás sin cumplir el GDPR.

Conclusión: Omita la información requerida por su cuenta y riesgo (y siéntase mal consigo mismo).

... ¿y si (la mayor parte de) esto no fuera necesario en primer lugar? ... ¿y si existiera una herramienta de análisis que proporcionara análisis web sin necesidad de una extensa política de privacidad? ... ¿y si pudiera obtener información sobre el tráfico de su sitio web sin necesidad de un banner de cookies?

Sí, es posible... hemos creado Simple Analytics con esto en mente. Queríamos crear una herramienta de análisis web que proporcionara información sobre el tráfico del sitio web sin necesidad de cookies para recopilar datos personales. Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Si está de acuerdo, no dude en probarlo.

#1 Para ser pedante, esto es en realidad un aviso de privacidad. Una política de privacidad es un documento interno que establece normas y directrices sobre el tratamiento de datos personales en una organización. Ambos términos suelen utilizarse indistintamente, incluso por profesionales de la privacidad [^2]: Art. 5(1) GDPR. [^3]: Art. 12(1) GDPR. [^4]: Art. 5(3) Directiva sobre privacidad y comunicaciones electrónicas [^5]: Directrices del WP29 sobre transparencia en virtud del Reglamento 2016/679, par. 35 y 36. [^6]: Art. 15 GDPR. [^7]: Art. 7(3) GDPR. [^8]: Art. 17 GDPR. [^9]: Art. 77 GDPR. Véase también WP29, Directrices sobre transparencia en virtud del Reglamento 2016/679, anexo, p. 39. [^10]: Esto solo se aplica si trata datos basándose en el interés legítimo: véase el art. 21 GDPR. [^11]: Sí, esto puede ser lícito- pero no para las cookies. Véase el art. 6(1) GDPR y nuestro blog sobre consentimiento[^12]: Para que quede claro, sigue siendo necesario incluir información de contacto general de su organización. [^13]: Las bases jurídicas son un tema complicado. Nuestro blog sobre el consentimiento aborda brevemente el principio de licitud y un par de bases jurídicas distintas del consentimiento. Puede que volvamos sobre el tema en algún momento [^14]: Art. 13 GDPR [^15]: Art. 7(3) GDPR.