Google Analytics (GA) es una de las plataformas de análisis web más utilizadas, pero rastrea datos que se consideran información personal según el Reglamento General de Protección de Datos (rgpd), la ley europea general de protección de datos.
Para evitar sanciones por infringir el reglamento, su uso de GA debe cumplir los requisitos de privacidad de datos de la rgpd.
En esta guía empresarial, proporciono los pasos que debe seguir para lograr el cumplimiento de rgpd mientras utiliza GA4, la iteración actual de Google Analytics.
- ¿Cómo puedo utilizar GA4 de forma compatible con rgpd?
- ¿Qué es rgpd?
- ¿Qué es Google Analytics?
- ¿Cumple Google Analytics (GA4) rgpd?
- ¿Cómo consigue Google que GA4 rgpd sea compatible?
- ¿Cómo funciona el modo de consentimiento de Google con Google Analytics?
- ¿Cómo puede ayudar Termly ?
- Preguntas Frecuentes sobre Google Analytics y rgpd
- Resumen
¿Cómo puedo utilizar GA4 de forma compatible con rgpd?
En el contexto de rgpd, usted, el propietario del sitio web que recopila información personal de los usuarios, es el responsable del tratamiento de los datos y es su responsabilidad asegurarse de que el uso que hace de Google Analytics es conforme.
Para conseguirlo legalmente, debe seguir todos los pasos que se indican a continuación.
Paso 1: Obtener el consentimiento para recoger datos personales
Obtener el consentimiento del usuario es una de las bases legales para el tratamiento de datos personales en virtud de la rgpd, y necesitará el consentimiento explícito de sus usuarios para utilizar Google Analytics de forma conforme.
Google lo reconoce directamente en su sección de ayuda de Analytics, que se muestra a continuación.
Para que el consentimiento del usuario sea válido en virtud de la rgpd, debe ajustarse a la definición legal descrita por el reglamento y ser:
... "indicación libre, específica, informada e inequívoca de la voluntad del interesado por la que el interesado manifiesta, mediante una declaración o una clara acción afirmativa, su consentimiento su consentimiento al tratamiento de los datos personales que le conciernen".
Para cumplir las normas de consentimiento de rgpd , debe obtener un consentimiento afirmativo y proporcionar opciones de exclusión en relación con su uso de GA4, de modo que sus usuarios puedan cambiar de opinión fácilmente en cualquier momento.
Para ello, instale en su sitio web un banner de consentimiento emergente correctamente configurado que incluya un enlace directo a sus políticas de privacidad y de cookies. Asegúrese de que su política de privacidad explica claramente que utiliza Google Analytics utilizando un lenguaje fácil de leer y comprender.
También debería listar todas las cookies que GA4 coloca en los navegadores de los usuarios en su política de cookies.
Ofrezca a sus usuarios la opción de aceptar el uso de Google Analytics o de rechazar las cookies por completo, así como la posibilidad de retirar su consentimiento en cualquier momento. Si lo desea, también puede permitirles personalizar lo que aceptan y rechazan de forma más específica. Pero no utilices casillas premarcadas, ya que no son compatibles con rgpd.
Para un cumplimiento completo, asegúrese de que no se produce ningún tratamiento de datos a menos que sus usuarios estén de acuerdo, y asegúrese de que el tratamiento se produce sólo después de obtener el consentimiento.
Paso 2: Pseudonimizar los ID de usuario de Google Analytics
Otro método para cumplir las recomendaciones sobre privacidad de los usuarios de rgpd es la seudonimización de los identificadores de usuario.
No obstante, es importante subrayar que los datos seudonimizados siguen estando incluidos en la definición de "datos personales" de la rgpd. En otras palabras, el cumplimiento de la rgpd sigue siendo necesario y de suma importancia.
La seudonimización es un proceso en el que un dato se codifica de modo que ya no puede vincularse al individuo asociado sin datos adicionales. Para ello se utiliza un algoritmo que sustituye los datos reales por otros detalles (es decir, seudónimos).
Dentro de Google Analytics, puede utilizar un elemento denominado "user-id" para rastrear y vincular los datos de un único usuario a través de varias sesiones y dispositivos. La combinación de estos datos asociados a un único usuario mejora la precisión de los datos y análisis de GA.
Sin embargo, este seguimiento preciso se basa en ID de usuario que se consideran datos personales, ya que pueden utilizarse para identificar a usuarios individuales.
Aunque la seudonimización de estas identificaciones puede dar lugar a datos de conversión ligeramente menos precisos, merece la pena cumplir con la rgpd y evitar recibir cuantiosas multas.
Paso 3: No conserve los datos más tiempo del necesario
Al igual que muchas leyes sobre privacidad de datos, la rgpd obliga a almacenar los datos personales sólo durante el tiempo necesario para el propósito original de su recogida. Por tanto, su política de conservación de datos al utilizar GA debe cumplir esta faceta del reglamento.
Afortunadamente, esta función está integrada en GA4, ya que puedes elegir entre dos opciones de retención:
- 2 meses
- 14 meses
Revise y fije el periodo de conservación de datos en el mínimo necesario para sus operaciones.
Paso 4: Proporcionar un sistema de privacidad y política de cookies
rgpd otorga a los usuarios de la UE/EEE varios derechos fundamentales, entre ellos el de estar plenamente informados. Esto significa que tendrás que proporcionar a esos usuarios una política de privacidad precisa y conforme conrgpd y política de cookies para que puedan leer tus prácticas de tratamiento de datos.
En concreto, los interesados de rgpd tienen derecho a saber:
- Qué información personal se recoge de ellos
- Cómo se utiliza
- Cuánto tiempo está reatinado
- Con quién se comparte
- Su fundamento jurídico para utilizar los datos
También debe explicar cómo los usuarios pueden ejercer estos derechos y qué datos comparte con Google (además de cualquier otro tercero).
Dado que las cookies también se consideran información personal, debe mencionarlas en sus políticas de privacidad y cookies para cumplir con la rgpd.
GA4: ¿No es necesario anonimizar las direcciones IP?
Cuando aún existía Universal Analytics, era necesario anonimizar las direcciones IP para seguir cumpliendo la normativa rgpd.
Sin embargo, GA4 sustituyó a Universal Analytics a partir del 1 de julio de 2023. Según Google, GA4 no registra ni almacena ninguna dirección IP, lo que hace innecesario el enmascaramiento de IP.
Una dirección IP es un código único que identifica a cada dispositivo conectado a Internet.
Técnicamente, rgpd considera que las direcciones IP son datos personales, por lo que el tratamiento de esta información estaría sujeto a todos los requisitos explicados en el reglamento.
¿Qué es rgpd?
El Reglamento General de Protección de Datos (rgpd) es una ley de protección de datos y privacidad de la Unión Europea (UE) que entró en vigor el 25 de mayo de 2018. Otorga a los particulares de la UE y del Espacio Económico Europeo (EEE) nuevos derechos sobre la forma en que las empresas, las autoridades públicas, los organismos o incluso otras personas físicas manejan sus datos personales.
Aunque rgpd es un reglamento de la UE, se aplica a empresas de todo el mundo porque se centra en la ubicación del consumidor (o interesado, como se denomina en rgpd), no en la empresa.
Esto significa que la rgpd se aplica a las empresas de EE.UU. y del resto del mundo, y las multas por infringir la rgpd son tan severas en otros lugares como en Europa.
Si desea información más detallada, consulte esta completa guía rgpd . O, si quieres un resumen simplificado, aquí tienes nuestra guíargpd Guide for Dummies.
¿Qué es Google Analytics?
Google Analytics es una plataforma gratuita de Google que los propietarios de sitios web o aplicaciones pueden utilizar para realizar un seguimiento de los datos y el comportamiento de los visitantes.
El proceso de seguimiento implica recopilar datos como las páginas vistas, en qué han hecho clic los usuarios y cuánto tiempo han permanecido en su sitio. Estas estadísticas esenciales sobre cómo interactúan los usuarios con la plataforma pueden ayudar a optimizar el sitio, aumentar las ventas y alcanzar otros objetivos.
La versión actual se llama Google Analytics 4 o GA4, pero ha habido diferentes iteraciones de este servicio de Google, que puede conocer en la tabla siguiente.
| Versión | Nombre | Fragmento de código | Finalizado |
| Google Analytics 1 (GA1) | Urchin Analytics | urchin.js | 9 de mayo de 2007 |
| Google Analytics 2 (GA2) | Análisis clásico | ga.js | 2 de abril de 2014 |
| Google Analytics 3 (GA3) | Analítica universal | analytics.js | 1 de julio de 2023 |
| Google Analytics 4 (GA4) | Google Analytics 4 | gtag.js | Versión actual |
Google Analytics coloca cookies de Internet en los navegadores de los usuarios que contienen un identificador único o ID de cookie. Según rgpd, los identificadores de cookies se consideran datos personales porque pueden utilizarse para identificar directa o indirectamente a una persona.
Las versiones anteriores del servicio también rastreaban y registraban las direcciones IP, otro dato personal según rgpd.
Por defecto, GA4 anonimiza las direcciones IP y sólo proporciona una geolocalización aproximada. Sin embargo, algunas autoridades de protección de datos (APD) de los Estados miembros todavía están investigando si esto proporciona una protección adecuada (hablaré más sobre las decisiones de adecuación de los Estados miembros más adelante en esta guía).
En cualquier caso, si utiliza Google Analytics, se considera que usted es el responsable del tratamiento de los datos en virtud de la página rgpd, y Google es el encargado del tratamiento. Tanto los responsables del tratamiento como los encargados del tratamiento están sujetos a numerosas obligaciones legales, que analizamos en la siguiente sección.
¿Cumple Google Analytics (GA4) rgpd?
Aunque Google ha diseñado su plataforma Analytics para que sea compatible con rgpd, es posible utilizarla de forma involuntaria o intencionada de manera que infrinja la normativa. Sin embargo, parece que Google ha tomado medidas para garantizar que GA4, como plataforma, cumpla las normas de rgpd .
Me centraré en cómo las cookies de Google Analytics pueden cumplir o infringir partes de la rgpd y mencionaré algunas resoluciones de los Estados miembros al respecto a lo largo de esta siguiente sección.
Google Analytics y cookies de Internet
Google Analytics 4 deja cookies en los navegadores de sus usuarios, y esas cookies están sujetas a los estrictos requisitos de tratamiento de datos que establece la rgpd.
Sin embargo, GA4 utiliza menos cookies que otras iteraciones de este servicio. Solo utiliza las siguientes:
- _ga - esta cookie se utiliza para distinguir a los usuarios y tiene una caducidad predeterminada de 2 años
- _ga_<container-id> — this cookie is used to persist the user’s session state and has a 2-year default expiration time
Aun así, la implementación de estas cookies de Google Analytics debe cumplir con la rgpd si se dirige a personas en la UE/EEE.
Esto significa que debe obtener el consentimiento expreso de cada persona antes de colocar estas cookies en sus navegadores o, de lo contrario, estará infringiendo la normativa.
Si los usuarios optan por no aceptar las cookies, debe respetarse esta preferencia; por lo tanto, no puede colocarlas en sus navegadores.
rgpd Sentencias sobre Google Analytics
Las autoridades de protección de datos de varios Estados miembros de la UE ya se han pronunciado sobre la legalidad del uso de Google Analytics en la dirección rgpd.
Analicemos con más detalle las sentencias de cumplimiento de esos países.
Austria
En 2022, la Autoridad Austriaca de Protección de Datos (DPA), Datenschutzbehörde, anunció que el uso de Google Analytics por parte de un sitio web infringía la sentencia Schrems II de 2020.
El caso Schrems II invalidó el Marco del Escudo de la Privacidad UE-EE.UU., que anteriormente había fomentado la transferencia internacional de datos personales entre Estados Unidos y los Estados miembros de la UE y el EEE.
Esta decisión se basó en la posibilidad de que el gobierno estadounidense accediera a los datos personales una vez transferidos a servidores estadounidenses sin informar adecuadamente a las personas de la UE/EEE y sin que éstas tuvieran un control real sobre el tratamiento de sus datos personales, lo que supone una infracción directa de la rgpd.
Aunque no se ha aprobado ni acordado un nuevo marco, la sentencia mantiene las obligaciones contractuales. Ahora exige a las empresas que determinen caso por caso si las protecciones existentes cumplen las normas de rgpd en relación con la transferencia de datos personales a un país no perteneciente al EEE. Y lo que es más importante, las empresas también deben evaluar si la legislación aplicable en el país de destino es contraria a los requisitos de rgpd .
En el caso del sitio web austriaco, la anonimización de los datos se calificó de insuficiente porque el proceso probablemente tuvo lugar después de que los datos llegaran a los servidores estadounidenses, no antes.
También consideraron que el cifrado de datos era insuficiente porque el gobierno estadounidense podía acceder a la clave.
Dinamarca
En Dinamarca, la DPA, Datatilsynet, anunció en 2022 que está supervisando la decisión austriaca contra Google Analytics.
El grupo investigó Universal Analytics y GA4 y posteriormente publicó directrices sobre el uso del servicio.
Francia
En febrero de 2022, la Comisión Nacional de Informática y Libertades (CNIL) de Francia determinó que el uso de Google Analytics por parte de un sitio web infringía el artículo 44 de rgpd .
Esta sentencia se debió de nuevo a la transferencia internacional de datos a un país sin la protección adecuada de la privacidad.
Posteriormente, la CNIL actualizó sus directrices para el uso de Google Analytics y sugirió utilizar un servidor proxy, que puede consultarse aquí en francés.
Italia
En junio de 2022, Garante, la APD italiana, determinó que el uso de Google Analytics por parte de un sitio web infringía la ley rgpd debido a la transferencia internacional de datos a un país sin las protecciones de privacidad adecuadas.
La decisión hacía referencia directa a las direcciones IP, que Universal Analytics recopilaba en aquel momento.
Sin embargo, desde entonces, GA4 ha sustituido a Universal Analytics, y Google ha declarado que GA4 no rastrea ni registra direcciones IP.
Pero, al igual que los demás Estados miembros, también hace referencia a la capacidad del gobierno estadounidense para acceder a la información sin informar debidamente a los interesados de la UE/EEE.
Países Bajos
En los Países Bajos, la autoridad de protección de datos, Autoriteit Persoonsgegevens, está investigando al menos dos denuncias distintas relacionadas con transferencias internacionales de datos y Google Analytics.
Ambas denuncias hacen referencia a los mismos problemas que plantearon Austria, Italia y Francia, y las investigaciones están en curso.
Noruega
En marzo de 2023, la DPA noruega, Datatilsynet, también determinó que la transferencia internacional de datos personales a través de Google Analytics infringía la ley rgpd.
La DPA recomienda a los sitios web que busquen una alternativa al servicio y dice esperar una decisión formal sobre Google Analytics en algún momento de 2023.
¿Cómo consigue Google que GA4 rgpd sea compatible?
Google ha expresado su compromiso con el cumplimiento de leyes de privacidad como la rgpd y ha detallado cómo practica este compromiso.
También han introducido e implementado por completo Google Analytics 4, un enfoque analítico centrado en la privacidad que sustituye al anteriormente disponible Universal Analytics - las propiedades de Universal Analytics 360 dejarán de procesar nuevas visitas a partir del 1 de octubre de 2023.
Aquí te resumo las prácticas de privacidad de Google:
- rgpd exige una relación jurídica entre el responsable y el encargado del tratamiento. Google Analytics lo establece a través de sus términos y condiciones, que explican las condiciones de tratamiento de datos y la relación entre el responsable y el encargado del tratamiento.
- rgpd tiene estrictos requisitos de seguridad de datos, que Google se esfuerza por cumplir mediante sistemas de protección de datos de última generación y el mantenimiento de certificaciones de seguridad reconocidas internacionalmente.
- La rgpd estipula que los procesadores de datos deben ayudar a los controladores a identificar e informar de cualquier violación de datos a la autoridad de control pertinente y a sus usuarios. Google lo facilita a través de su programa de gestión de incidentes 24/7.
- La web rgpd exige que la privacidad mediante el diseño sea el enfoque por defecto en la creación de sitios y programas informáticos, y requiere evaluaciones de impacto sobre la protección de datos. Google incorpora ambos conceptos en sus prácticas de privacidad.
- rgpd enumera la minimización de datos como uno de sus principios fundamentales. Sólo debe recopilar los datos esenciales y conservarlos durante el tiempo necesario para el propósito original para el que se recopilaron. Google Analytics cumple este requisito de conservación de datos al permitir a los propietarios de sitios web controlar durante cuánto tiempo se almacenan los datos de los usuarios.
¿Cómo funciona el modo de consentimiento de Google con Google Analytics?
En 2020, Google introdujo el Modo de Consentimiento de Google para ofrecer a los propietarios de sitios web un mayor control sobre sus cookies de publicidad y análisis en relación con las opciones de consentimiento del usuario.
Para acceder a todas sus funciones, debes utilizar una Plataformagestión del consentimiento (CMP) compatible en tu sitio web como Termly's - somos oficialmente un Google CMP Partner.
Así es como funciona: cuando los consumidores visitan su sitio web por primera vez, un banner de consentimiento les pregunta si han leído y están de acuerdo con su política de privacidad y política de cookies. A continuación, la elección del individuo se comunica a GCM a través de g-tags.
Si los usuarios aceptan y dan su consentimiento, las cookies analíticas se colocan en sus navegadores como de costumbre. Sin embargo, si deniegan su consentimiento, las g-tags se actualizan y no se colocan cookies en sus navegadores. En su lugar, GCM aplica la tecnología inteligente de mapeo de datos AI para evitar lagunas en sus datos de conversión.
Actualmente, el modo Consentimiento funciona con los siguientes servicios de Google:
- Google Analytics
- Anuncios Google
- Proyector
- Conversión Linker
¿Cómo puede ayudar Termly ?
Termly puede ayudarle a utilizar Google Analytics y a cumplir con la rgpd ofreciéndole nuestras herramientas validadas por abogados, entre las que se incluyen:
- rgpd-listo Generador de Política de Privacidad
- rgpd-listo Generador de Política de Cookies
- rgpd-ready gestión del consentimiento Plataforma
Cuando se configura adecuadamente, nuestro CMP se integra a la perfección con el modo de consentimiento de Google para que pueda utilizar Google Analytics sin dejar de respetar las opciones de consentimiento de sus usuarios.
Además, nuestros generadores de políticas le hacen las preguntas adecuadas para garantizar que en sus políticas de privacidad y cookies aparecen las cláusulas y detalles adecuados para que cumpla plenamente la normativa.
¿Y lo mejor? Puedes gestionarlo todo en un solo lugar, directamente desde el panel de control de Termly .
Nos encargamos de las partes complejas del cumplimiento de la privacidad para que pueda ofrecer a sus consumidores una experiencia en línea segura y conforme a la ley.
Preguntas Frecuentes sobre Google Analytics y rgpd
A continuación, respondo a algunas de las preguntas más frecuentes que recibe Termly sobre el cumplimiento de Google Analytics y rgpd .
¿Cumple Google Analytics rgpd?
Google Analytics no es necesariamente compatible por defecto con rgpd. Tendrá que tomar algunas medidas adicionales, como proporcionar una política de privacidad conforme y política de cookies y obtener el consentimiento explícito y expreso del usuario antes de que se active cualquiera de las cookies de GA. También es importante destacar que el cumplimiento de rgpd es un trabajo continuo en curso.
¿Recopila Google Analytics datos personales?
Google afirma que Google Analytics no recopila "información personal identificable" o IIP. Sin embargo, deja cookies en los navegadores, lo que rgpd considera información personal.
Por tanto, tendrá que tomar medidas para obtener el consentimiento del usuario y comunicar adecuadamente el uso que hace de las cookies para cumplir plenamente la normativa rgpd .
¿Qué cookies utiliza Google Analytics?
Google Analytics 4 utiliza las siguientes cookies de origen:
- _ga - esta cookie se utiliza para distinguir a los usuarios y tiene una caducidad predeterminada de 2 años
- _ga_<container-id> — this cookie is used to persist the user’s session state and has a 2-year default expiration time
¿Puede funcionar Google Analytics sin utilizar cookies?
Sí, si habilita el Modo de consentimiento de Google, podrá utilizar Google Analytics sin depender de las cookies, ya que permitirá que su sitio web funcione en función del estado de consentimiento de sus usuarios. Esto se debe a que las g-tags, y no las cookies, comunican las opciones de consentimiento de sus usuarios a GCM.
¿Cuáles son las alternativas a Google Analytics?
Algunas alternativas a Google Analytics son las siguientes:
- Adobe Analytics
- Matomo Analytics
- Análisis plausibles
- Fathom Analytics
- Hotjar
- Haga clic en
¿Cumple Google Analytics otras leyes de protección de datos?
Sí, puede utilizar Google Analytics y cumplir con otras leyes de privacidad de datos. Sin embargo, debe informar sobre el uso de GA en su política de privacidad. En virtud de leyes como la Ley de Privacidad del Consumidor de California(CCPA), también debe responder a las solicitudes de exclusión y limitación de datos de los consumidores.
¿Cumplen las demás plataformas analíticas la normativa rgpd?
Si se configura correctamente, puede utilizar otras plataformas analíticas de forma compatible con rgpd, incluidas:
- Análisis sencillos
- PostHog
- Fathom Analytics
- Matomo Analytics
Resumen
Google Analytics es una herramienta de datos esencial para las empresas, pero utilizarla de forma que cumpla la normativa rgpd implica tomar algunas medidas adicionales.
Las autoridades de protección de datos de la UE y el EEE siguen debatiendo la legalidad de las transferencias internacionales de datos en relación con Google Analytics y si GA4 anonimiza adecuadamente las direcciones IP, por lo que es vital que tome todas las medidas necesarias para demostrar que lo utiliza de forma compatible con rgpd.
Como mínimo, presente a sus usuarios una información precisa sobre privacidad y política de cookies, explique el uso que hace de GA4 y solicite su consentimiento antes de colocar cookies analíticas en sus navegadores, garantizando al mismo tiempo que puedan retirarlo fácilmente en cualquier momento.
Utilice Termly's Generador de Política de Privacidad y gestión del consentimiento Solution para ayudarle a mantenerse en el lado correcto de la rgpd y varias otras leyes importantes de privacidad de datos.
Más sobre el autor
Escrito por Teodor Stanciu, CIPP/E, CIPM
Teo es un especialista en privacidad de datos y experimentado responsable de protección de datos (RPD) al que le apasiona ayudar a las empresas a cumplir sus obligaciones en materia de protección de datos. Cuenta con una experiencia de más de siete años como RPD para una organización internacional activa en 50 países y con sede en Bruselas (Bélgica). Teo es Certified Information Privacy Professional/Europe (CIPP/E) y Certified Information Privacy Manager (CIPM) por la International Association of Privacy Professionals (IAPP).
Más sobre el autor
