Google Analytics ha sido objeto recientemente de las críticas de las autoridades europeas por incumplimiento de las normas del GDPR sobre transferencia de datos. Google promete que la última versión de su herramienta de análisis se centrará más en la privacidad. El año que viene dejarán de utilizar Universal Analytics en favor de GA4, y la privacidad ha sido el principal motor de este cambio. Pero, ¿hasta qué punto será "más respetuosa con la privacidad" esta versión?
Muchas empresas esperan Google Analytics 4 como una solución al rompecabezas del cumplimiento. Sin embargo, puede que las empresas sean demasiado optimistas. Aunque todavía no existe jurisprudencia sobre GA4, parece que esta versión adolece de los mismos problemas legales que UA.
- ¿Cuáles son las novedades de Google Analytics 4?
- ¿Resolverá Google Analytics 4 los problemas legales de Universal Analytics?
- La privacidad es más que el cumplimiento
- ¿Cómo puedo eliminar mis datos de Google Analytics?
- Reflexiones finales
Entremos en materia.
¿Cuáles son las novedades de Google Analytics 4?
Universal Analytics se lanzó en 2012 y a estas alturas es prácticamente la herramienta de analítica web por defecto de Internet. Esto cambiará pronto: Google ha anunciado que eliminará Universal Analytics en julio de 2023. Así que las personas y empresas que todavía quieran utilizar Google Analytics pronto tendrán que cambiar a Google Analytics 4.
La nueva versión de la herramienta de Google se desarrolló en 2020 y difiere en muchos aspectos de Universal Analytics. Google Analytics 4 gira en torno a cookies de origen emitidas por la propia Google. También emplea un modelo basado en eventos: rastrea acciones específicas del usuario, como hacer clic en un enlace o ver una página, y las vincula a un único usuario. Universal Analytics, en cambio, gira en torno a cookies de terceros y emplea un modelo basado en sesiones que rastrea la actividad del usuario durante una única visita a un sitio web.
El cambio de un modelo basado en sesiones a otro basado en eventos es muy importante en la práctica. Para impulsar su nuevo modelo, Google Analytics 4 recopila métricas diferentes a las de su predecesor, lo que puede dificultar el aprendizaje de la nueva herramienta a los usuarios familiarizados con Universal Analytics. Y como las métricas antiguas no encajan en el nuevo modelo, la mayoría de los datos recopilados a través de Universal Analytics no se pueden importar a Google Analytics 4.
Existen muchas otras diferencias entre Ultimate Analytics y Google Analytics 4: por ejemplo, la nueva versión presenta un seguimiento entre dispositivos mejorado en comparación con su predecesora y gestiona las direcciones IP de forma diferente.
¿Resolverá Google Analytics 4 los problemas legales de Universal Analytics?
Google afirma que Google Analytics 4 será más respetuoso con la privacidad que su predecesor, y su base de usuarios espera que la nueva herramienta resuelva los problemas legales de Google con las transferencias de datos. Sin embargo, la nueva versión no soluciona los problemas legales cruciales en juego. He aquí por qué.
Cuestiones fundamentales: datos personales y medidas complementarias
Los problemas legales de las transferencias de datos son complejos y largos de explicar. Si tiene tiempo para matar, descúbralos ampliamente aquí.
En pocas palabras, la sentencia Schrems II del Tribunal de Justicia de la UE invalidó un marco de transferencia de datos que permitía transferirlos fácilmente a Estados Unidos. Las empresas europeas deben recurrir ahora a un mecanismo denominado cláusulas contractuales tipo para transferir datos al extranjero. Además, tienen que aplicar medidas complementarias a estas cláusulas para proteger los datos de la vigilancia estatal.
Justo después de la sentencia Schrems II, la ONG de defensa de la privacidad noyb presentó 101 denuncias ante varias APD europeas contra sitios web que utilizan Google Analytics y Facebook Connect. El Consejo Europeo de Protección de Datos (la organización que reúne a todas las APD europeas) formó posteriormente un grupo de trabajo para coordinar el planteamiento a escala europea.
Hasta ahora, este enfoque coordinado ha llevado a las autoridades de protección de datos austriacas, francesas, italianas y finlandesas a declarar ilegal Google Analytics. Además, la autoridad danesa dijo esencialmente lo mismo en un comunicado de prensa y la autoridad noruega falló provisionalmente en contra de Google Analytics en un caso aún pendiente.
(¡Y no olvidemos que las cuestiones jurídicas en juego son las mismas que costaron a Meta Irlanda una multa de 1.200 millones de euros y una orden de suspensión de las transferencias de datos para Facebook! Hablamos de este importante caso aquí)
El núcleo de las denuncias son las medidas complementarias exigidas por la sentencia Schrems II. No existen medidas efectivas para proteger los datos personales de la vigilancia del Estado para GA y cualquier otro servicio basado en la nube que necesite procesar datos en claro1. De ello se deduce que Google sólo puede cumplir con el GDPR no procesando ningún dato personal en los EE.UU. en absoluto, y este no es el caso. Tampoco en el caso de Google Analytics 4.
Google Analytics 4 transfiere datos personales
Google anunció GA4 como un avance hacia un modelo de análisis web sin cookies y respetuoso con la privacidad, pero su nueva herramienta de análisis no es totalmente sin cookies. GA4 abandona las cookies de terceros y emplea cookies de origen denominadas Client ID. Al igual que las cookies de terceros empleadas por Universal Analytics, las cookies de Google Analytics 4 incluyen un identificador único denominado Client-ID. Por este motivo, son datos personales según el GDPR2. Por tanto, Google Analytics 4 sigue transfiriendo datos personales a Estados Unidos.
GA4 también utiliza un identificador llamado User-ID. Los identificadores de usuario no son cookies, sino una herramienta diferente que GA utiliza para realizar un seguimiento de los usuarios en todos los dispositivos. Son datos personales porque permiten identificar a usuarios individuales3 entre el tráfico del sitio web. Lo mismo ocurre con el ID único4, un parámetro diferente procesado por Google Analytics para generar un ID de usuario.
Lavinculación de datos es otro factor crucial. GA4 procesa muchos eventos y métricas que no son datos sensibles en sí mismos, pero que pueden combinarse para identificar a un usuario. Fundamentalmente, Google también recopila datos personales de los usuarios que han iniciado sesión en su cuenta de Google. Estos datos pueden vincularse con otros datos recopilados por GA4 para hacer fácilmente identificable a un usuario. Como han señalado las autoridades europeas en decisiones recientes, estos datos también son datos personales.
El problema es la transferencia de datos personales a Estados Unidos. Google Analytics 4 no soluciona este problema. La configuración de Google Analytics 4 sigue transfiriendo datos personales a Estados Unidos.
La privacidad es más que el cumplimiento
Hasta ahora, hemos examinado el cumplimiento del GDPR por parte de GA4. Pero, ¿qué hay de sus implicaciones generales para la privacidad?
Empecemos por lo bueno. GA4 es definitivamente más respetuoso con la privacidad en la forma en que gestiona las direcciones IP, ya que ni se registran ni se almacenan. En comparación, UA siempre almacena las direcciones IP y sólo ofrece un protocolo opcional de anonimización de IP (que las autoridades europeas de protección de datos consideraron ineficaz). Abandonar las cookies de terceros también es un paso en la dirección correcta.
Por otro lado, el sistema User-ID fomenta prácticas de rastreo muy invasivas. Se trata esencialmente de un sistema de dos pasos en el que el propio sitio web recopila determinados datos para identificar a un usuario en distintas plataformas. A partir de estos datos, el sitio web genera un ID único y se lo proporciona a Google. A continuación, Google genera un ID de usuario para cada ID único proporcionado y realiza un seguimiento del parámetro en todos los dispositivos.
En cuanto GA4 se convierta en el estándar, los sitios web tendrán un incentivo para realizar un seguimiento aún más agresivo de los usuarios y, como es de esperar, buscarán cualquier excusa para recopilar los datos que Google Analytics necesita para realizar un seguimiento de los usuarios en todos los dispositivos. Es posible que empiecen a bloquear contenido tras un registro para recopilar credenciales y generar un ID único, de forma similar a como los "muros de cookies" exigen esencialmente datos como pago por un artículo "amurallado".
Desde el punto de vista del cumplimiento, esto puede salir mal fácilmente. Esperamos ver sitios web que recopilan credenciales de inicio de sesión con el consentimiento del usuario sin informarle de que las credenciales se utilizarán para rastrear su comportamiento con fines analíticos, lo que constituye una violación del GDPR5. O pueden informar al usuario, pero también obligarle a dar su consentimiento para ser rastreado con el fin de registrarse, lo que constituye un caso de consentimiento "combinado" y es legalmente problemático6. De acuerdo con las Condiciones del servicio de GA, la generación de un ID único es responsabilidad exclusiva del cliente y Google no se responsabiliza de ninguna infracción.
Como alternativa, los sitios web pueden buscar otras formas "creativas" de rastrear a sus usuarios. Por ejemplo, pueden emplear el rastreo probabilístico, es decir, recopilar un montón de datos como la IP, la ubicación del dispositivo y los datos de navegación y pasarlos por algoritmos para estimar la probabilidad de que dos dispositivos pertenezcan al mismo usuario. Suena invasivo, y lo es.
En resumidas cuentas: Google está creando una potencial pesadilla para la privacidad y eludiendo responsabilidades al externalizar parte del trabajo de rastreo a los clientes.
¿Cómo puedo eliminar mis datos de Google Analytics?
Si opta por dar prioridad a la privacidad, debe eliminar sus datos de Google Analytics. Esto es fácil de hacer. Nuestro blog incluye una explicación más detallada sobre cómo hacerlo, pero en pocas palabras
- acceda a su cuenta de Google Analytics
- acceda a la sección Admin a través del icono situado en la parte inferior izquierda de la pantalla
- vaya a la configuración de propiedades
- seleccione la propiedad de su sitio web y muévala a la papelera
- elimine el código de su sitio web
- opcionalmente: elimine después su cuenta de Google Analytics. Puede hacerlo desde la sección de su cuenta.
Nota: es posible que desee guardar una copia de sus datos antes de eliminarlos, porque Simple Analytics y algunas otras herramientas de análisis web le permiten importar datos históricos de Google Analytics.
Reflexiones finales
Como decíamos, aún no hay jurisprudencia sobre las transferencias de datos de GA4. En Simple Analytics no tenemos una bola de cristal, pero basándonos en la jurisprudencia existente y en la propia documentación de Google, tenemos buenas razones para creer que el uso de Google Analytics 4 no cumple con el GDPR.
No sólo Google Analytics 4 no opera dentro de la ley, sino que también creemos que es un modelo de análisis muy invasivo de la privacidad que anima a los sitios web a rastrear a sus usuarios.
En Simple Analytics, creemos que no es necesario realizar un seguimiento de los visitantes del sitio web ni recopilar datos personales. Proporcionamos la información que necesita sin invadir la privacidad de sus visitantes y cumpliendo al 100% con la GDPR.
Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Si esto resuena con usted, no dude en darnos una oportunidad.
#1 Recomendaciones 01/2020 sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE, par. 94. [^2]: Dictamen EDPB 5/2019 sobre la interacción entre la Directiva sobre privacidad electrónica y el GDPR, en particular en lo que respecta a la competencia, las tareas y los poderes de las autoridades de protección de datos, par. 29. [^3]: Considerando 26 GDPR. [^4]: El uso de información personal identificable (IPI) como identificación única va en contra de las condiciones de servicio de GA. Pero la noción de datos personales según el GDPR es más amplia que la de PII tal y como la entiende Google. Así lo señala el propio Google [^5]: Art. 13(1) GDPR. Si se recaba el consentimiento, también se incumple el requisito de que el consentimiento sea informado y específico en virtud del Art. 4(11). [^6]: El art. 7(4) del RGPD no prohíbe rotundamente el consentimiento agrupado, sino que lo califica de problemático.