¿Cumple Google Analytics el GDPR?

Image of Carlo Cilento

Publicado el 15 feb 2023 y editado el 15 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Es probable que hayas oído hablar de los problemas legales de Google Analytics con el GDPR. Los organismos de control de la privacidad están adoptando una postura dura con respecto a Google Analytics, los profesionales del marketing de toda Europa están entrando en pánico y Google está diciendo a todo el mundo que todo irá bien. Internet está repleto de información sobre cómo hacer que su sitio web cumpla con el GDPR. Todo puede resultar confuso, por lo que a continuación le ofrecemos una visión general de lo que ocurre con Google Analytics.

  1. ¿Qué ocurre con Google Analytics?
  2. ¿Qué dicen exactamente las decisiones sobre Google Analytics?
  3. ¿Qué ocurre con la anonimización de IP?
  4. ¿Qué ocurre con Google Analytics 4?
  5. ¿Qué pasa con Google Analytics para Firebase?
  6. ¿Resolverá Google el problema?
  7. ¿Y el nuevo acuerdo de transferencia de datos?
  8. ¿Qué puedo hacer para que Google Analytics cumpla la normativa?
  9. ¿Existen otros riesgos para la privacidad relacionados con Google Analytics?
  10. Alternativas a Google Analytics
  11. ¿Decide seguir con Google Analytics?
  12. Reflexiones finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

¿Qué ocurre con Google Analytics?

Google Analyticsnecesita datos personales para funcionar. He aquí cómo: Cuando usted acepta un banner de cookies, se recopilan sus datos personales y se envían a Google Ireland. A continuación, Google Irlanda envía los datos a Google en los EE.UU. para su procesamiento. Por último, la empresa matriz aplica su magia algorítmica y proporciona al sitio web información sobre el comportamiento de los usuarios.

Así pues, tenemos una transferencia de datos extracomunitaria en la que intervienen tres actores: el sitio web, Google Irlanda y Google.

El GDPR estableció normas estrictas de transferencia de datos para garantizar que los datos personales solo puedan salir de la UE de forma segura. Por desgracia, esto no puede hacerse en el caso de Google Analytics. Esto es independiente de Google: la empresa está sujeta a la legislación estadounidense que permite una amplia vigilancia sobre los datos extranjeros, incluidos los datos de los usuarios europeos.

biden.png

La vigilancia está en el centro de las cuestiones legales que rodean las transferencias de datos. La legislación estadounidense sobre vigilancia es la razón por la que el Tribunal de Justicia de la UE invalidó dos marcos de transferencia de datos entre la UE y Estados Unidos en las famosas sentencias Schrems I y II. Y más recientemente, la ONG de defensa de la privacidad noyb inició una batalla legal contra Google Analytics y Facebook Connect en relación con las transferencias de datos presentando 101 denuncias idénticas ante numerosas autoridades europeas.

La estrategia ha dado sus frutos hasta ahora. Las autoridades coordinaron su respuesta a escala europea. Como resultado, las autoridades supervisoras de Austria, Francia, Italia y Finlandia fallaron en contra de Google Analytics. Además, la autoridad noruega también consideró ilegal el uso de Google Analytics en una conclusión preliminar (el caso aún está pendiente), y Dinamarca respaldó la misma postura en un comunicado de prensa. Con la coordinación a nivel europeo, y las influyentes autoridades francesas e italianas a la cabeza, es probable que se produzcan otras decisiones.

Por último, pero no por ello menos importante, se suspendieron las transferencias de datos de Facebook (y también se impuso a Meta Irlanda una multa récord de 1 .200 millones de euros ). Esto ocurrió exactamente por los mismos problemas legales que afectan a Google Analytics: la imposibilidad de cumplir Schrems II. Puede obtener más información sobre esta importante decisión en nuestro blog.

US_EU_Cables.png

¿Qué dicen exactamente las decisiones sobre Google Analytics?

Muchos sitios web y medios de comunicación informan de que Google Analytics ha sido prohibido o declarado ilegal en determinados países. ¿Es esto cierto?

En todas las decisiones, una autoridad ordenó a un sitio web específico que dejara de utilizar Google Analytics porque consideró que sus transferencias de datos carecían de suficientes garantías para los datos personales. En teoría, un sitio web diferente podría aplicar salvaguardias más estrictas para los datos personales y utilizar Google Analytics de forma legal y segura. Pero la teoría es la palabra clave aquí. En la práctica, la aplicación de salvaguardias es difícil para muchos servicios e imposible para Google Analytics.

Google Analytics utiliza cookies para realizar un seguimiento de los usuarios. Estas cookies contienen identificadores únicos para identificar a cada usuario y se consideran datos personales. Por lo tanto, la única forma de utilizar Google Analytics de conformidad con el RGPD es anonimizar esos datos, que son precisamente los que más necesita Google Analytics. Podría utilizar Google Analytics de forma legal ejecutándolo en el lado del servidor y anonimizando todos los datos personales, pero eso paralizaría el rendimiento de Google Analytics. Es una solución cara que da malos resultados.

Así que, a efectos prácticos, las decisiones en contra de Google Analytics equivalen a una prohibición nacional. Y ya tenemos decisiones de este tipo para varios países, entre ellos Francia e Italia, dos mercados nacionales clave en la UE.

google-lawsuit.png

¿Qué ocurre con la anonimización de IP?

Universal Analytics incluye una opción para anonimizar las direcciones IP, pero no es la opción predeterminada. Google Analytics 4 es mejor en este aspecto y anonimiza las direcciones IP automáticamente.

Desafortunadamente, la opción de anonimización de IP de Google Analytics no hace que Google Analytics cumpla con el GDPR. Las autoridades europeas descubrieron que la técnica de enmascaramiento de IP de Google es bastante débil y no cumple las normas del GDPR para la anonimización. Además, las cookies de Google Analytics siguen siendo datos personales según el GDPR independientemente de la anonimización de IP. Por lo tanto, la anonimización de las direcciones IP no resuelve el problema jurídico fundamental de la transferencia de datos personales.

¿Qué ocurre con Google Analytics 4?

¿Es más respetuoso con la privacidad que Universal Analytics? Sí. ¿Cumple con el GDPR? Probablemente no. No tenemos ninguna decisión tomada sobre Google Analytics 4, pero la nueva versión no resuelve los problemas legales cruciales relacionados con la transferencia de datos.

Google Analytics 4 presenta algunas mejoras en comparación con Universal Analytics. Google Analytics 4 gira en torno a las cookies de origen, que son menos invasivas que las cookies de terceros. Además, la anonimización de IP siempre está activada y Google no recopila IP. Sin embargo, si se examina detenidamente, Google Analytics 4 adolece de los mismos problemas de cumplimiento porque sigue basándose en cookies, y las cookies son datos personales. Los cambios son bienvenidos, pero no resuelven el problema legal.

¿Qué pasa con Google Analytics para Firebase?

Es seguro que Firebase sufre los mismos problemas legales que Google Analytics. Al igual que Google Analytics, Google Analytics para Firebase utiliza cookies con identificadores únicos, que son datos personales según el GDPR. También procesa otros datos personales, incluidos identificadores invasivos para dispositivos móviles. Todos estos datos se procesan en la infraestructura de Google porque Google es propietaria de Firebase.

¿Resolverá Google el problema?

No lohará porque no hay una solución fácil. Google no puede resolverlo modificando sus condiciones de procesamiento. Si las agencias de inteligencia solicitan los datos, Google debe entregarlos en virtud de la legislación estadounidense.

De momento, la única solución es trasladar el tratamiento de los datos europeos directamente a la UE, como está empezando a hacer Microsoft con su Programa de Fronteras de Datos de la UE. Por supuesto, se trata de una solución cara que requiere una infraestructura sólida en Europa. Google nunca ha anunciado un programa similar y es probable que no tenga intención de invertir en la localización de datos.

¿Y el nuevo acuerdo de transferencia de datos?

Tras largas negociaciones, EE.UU. y la UE acordaron un nuevo marco de transferencia de datos (el Marco Transatlántico de Privacidad de Datos). La Comisión Europea está en proceso de incorporarlo a la legislación de la UE mediante una decisión de adecuación: un acto que examina el marco de privacidad de otro país y esencialmente "da luz verde" al país como destino seguro para las transferencias de datos.

Es probable que la decisión de adecuación pase la votación, pero no será el final de la historia. La Comisión sólo puede emitir una decisión de adecuación cuando el marco de privacidad de un país puede garantizar que los datos son seguros. No puede emitir una decisión de adecuación para EE.UU. sólo porque le gusta o porque Europa necesita urgentemente a sus proveedores de servicios. La nueva decisión de adecuación será impugnada sin duda ante el Tribunal de Justicia de la UE porque la legislación estadounidense no garantiza un nivel suficiente de protección de los datos europeos.

El Tribunal ya invalidó dos marcos de transferencia de datos por este motivo y podría volver a hacerlo en el próximo asunto Schrems III. El nuevo marco es complejo y es difícil saber cómo se desarrollarán los acontecimientos, pero por el momento, el futuro de las transferencias de datos sigue siendo incierto.

¿Qué puedo hacer para que Google Analytics cumpla la normativa?

En realidad, no se puede hacer nada para proteger los datos personales de la vigilancia estadounidense. O se cambia a otra herramienta de análisis web o se acepta cierto grado de riesgo de cumplimiento.

¿Existen otros riesgos para la privacidad relacionados con Google Analytics?

Más de los que podemos contar. Google es una de las empresas menos respetuosas con la privacidad que existen. Gana una fortuna con el seguimiento de los usuarios de Internet, la recopilación de enormes cantidades de datos personales sobre ellos y la creación de perfiles de comportamiento para la publicidad dirigida.

Google Analytics es una parte crucial del negocio de Google, pero no es la única forma que tiene de extraer datos. Servicios tan populares como Búsqueda, Mapas y Youtube proporcionan a Google enormes cantidades de datos. Cada correo enviado o recibido a través de Gmail se procesa para la elaboración de perfiles, y los usuarios que inician sesión en su cuenta de Gmail en su navegador son rastreados a través de sitios web. Incluso Android rastrea a los usuarios. Esta cantidad inimaginable de datos personales se agrupa y se utiliza para la elaboración de perfiles y la predicción con el fin de deducir aún más datos personales sin necesidad de recopilarlos.

Por supuesto, Google jura que se toma en serio tu privacidad y promete que está trabajando para ofrecerte más y más privacidad en el futuro. Pero las cosas no cambiarán porque la invasión de tu privacidad no es un efecto secundario de su modelo de negocio, es su modelo de negocio.

Alternativas a Google Analytics

Puede quedarse con Google Analytics y esperar no tener problemas, o puede pasarse a una alternativa respetuosa con la privacidad y basada en la UE como Simple Analytics (sí, ya sé que somos nosotros).

Definitivamente, no somos los únicos en este ámbito.Existen muchas alternativas a Google Analytics, como Matomo, Pirsch y Fathom. Todas son más respetuosas con la privacidad que Google.

Lo mismo ocurre con nosotros (Simple Analytics). Hemos diseñado Simple Analytics de forma que proporcione toda la información que necesita sin recopilar ningún dato personal. Esto hace que nuestra herramienta cumpla al 100% cualquier normativa sobre privacidad, incluido el GDPR. Tenemos nuestra sede en los Países Bajos y no transferimos datos fuera de la UE. Además, ¡también puedes importar tus datos históricos de Google Analytics! Si esto le parece bien, ¡no dude en consultarnos !

¿Decide seguir con Google Analytics?

Si decide quedarse con Google Analytics, las cosas no pintan muy bien. Universal Analytics se eliminará gradualmente en 2024, por lo que si lo está utilizando, tendrá que cambiar a Google Analytics 4 lo antes posible. Perderá sus datos históricos de Universal Analytics en el proceso, ya que Google Analytics 4 no ofrece ninguna función de importación para la mayoría de los datos recopilados por Universal Analytics (Simple Analytics sí).

Para minimizar el riesgo, su sitio web debe incluir una política de cookies clara y completa. Esto es más fácil decirlo que hacerlo. Una buena política de cookies debe proporcionar mucha información a la vez que ser breve y legible. Tenemos algunas sugerencias en nuestro blog, pero, por supuesto, tiene que encontrar algo que funcione para usted y tenga en cuenta los datos que recopila y las políticas que tiene en vigor.

Por último, debe tener cuidado con sus banners de cookies. Hay indicios de una posible ofensiva en toda la UE contra los banners de cookies que no cumplan la normativa(ya escribimos sobre ello en nuestro blog). Asegúrese de que sus banners de cookies sean transparentes y ofrezcan a los usuarios un botón visible y fácilmente accesible de "rechazar todo" (o una opción claramente redactada a tal efecto). Es probable que esto haga que más usuarios rechacen las cookies y afecte al rendimiento de Google Analytics en su sitio web. A la gente no le gusta que la rastreen y suele decir "no, gracias" cuando se le presenta una opción transparente.

Reflexiones finales

Google Analytics supone un riesgo de cumplimiento para su empresa (dejando a un lado la ética). En teoría, todavía es discutible si se considera ilegal o no en la UE, pero seguir utilizando Google Analytics (incluso GA4) es un riesgo. Incluso si decides asumir este riesgo, debes asegurarte de que tus banners de cookies cumplen al 100% la normativa. Necesita una buena política de cookies, lo cual es más fácil de decir que de hacer. Además, debe familiarizarse con Google Analytics 4 y cambiarse a él lo antes posible, ya que Google está poniendo fin a Universal Analytics.

También puede optar por prescindir por completo de Google Analytics. Existen varias herramientas que proporcionan la información que necesita para realizar un seguimiento del rendimiento de su sitio web sin correr riesgos de cumplimiento. Eliminar Google Analytics es fácil, al igual que cambiar a una solución que respete la privacidad. ¿No sabe por dónde empezar? Deje que los chicos de New Metrics le asesoren de forma independiente o pruebe Simple Analytics para ver si le gusta.

Tú eliges.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días