El uso de Google Analytics está sujeto a ciertos requisitos bajo el RGPD (Reglamento General de Protección de Datos). La protección de datos y Google Analytics llevan mucho tiempo en conflicto. A más tardar desde la sentencia del Tribunal de Justicia de la Unión Europea sobre el seguimiento, se ha proporcionado una opción para Google Analytics. En este contexto, la cuestión del procesamiento de las cookies de Google Analytics es importante. Encontrará soporte de proveedores de gestión de consentimiento (CMP) para la integración legalmente segura de Google Analytics. Con las soluciones de consentimiento de cookies, contribuye a la protección de datos en Google Analytics.
Google Analytics de un vistazo: importancia de la protección de datos
La mayoría de los sitios web más grandes se basan en herramientas de análisis para sacar conclusiones sobre el comportamiento de los visitantes. Con mucho, la herramienta de análisis de usuarios más popular es Google Analytics. Como puede verse en varias estadísticas, esta herramienta se utiliza en aproximadamente la mitad de todos los sitios web, según la encuesta. Por un lado, esta popularidad se debe a que Google tiene acceso a una cantidad particularmente grande de datos de los usuarios . Por otro lado, la popularidad se deriva del hecho de que una gran variedad de funciones de Google Analytics son gratuitas para todos los usuarios .
Google Analytics utiliza cookies para evaluar los datos de los usuarios. Estos pequeños archivos se almacenan en el navegador del visitante. Los usuarios tienen numerosas opciones para recopilar diferentes datos según la configuración personalizada. Google Analytics permite a los operadores de sitios web procesar y evaluar los datos de acuerdo con varios parámetros. Sobre esta base, se pueden rastrear cifras clave valiosas, como visitas a la página, comportamiento del usuario o duración de la estadía en el sitio. Google Analytics también permite realizar un seguimiento preciso de las acciones individuales , incluida la suscripción a un boletín informativo o la descarga de determinados archivos. Las opciones de seguimiento de conversiones se pueden utilizar para determinar los puntos en los que los visitantes se convierten en clientes. Esto revela el potencial de optimización y contribuye a una mejora continua en el rendimiento de la página.
Desde la perspectiva de la protección de datos , la gran cantidad de datos que recopila y evalúa Google Analytics debe analizarse de forma crítica. En particular, los funcionarios de protección de datos se quejan del almacenamiento y la transmisión de direcciones IP completas de los visitantes a Google (directamente a los EE. UU.). Además, los proteccionistas de datos critican que las normas de protección de datos de Google no proporcionan suficiente información sobre qué datos del visitante del sitio se recopilan, almacenan y transmiten realmente.
Debido al acceso a una gran cantidad de datos de los usuarios, la protección de datos en Google Analytics ha sido controvertida durante mucho tiempo. Con la entrada en vigor del RGPD (también RGPD: Reglamento General de Protección de Datos) y más aún desde la sentencia del TJUE sobre las cookies en 2019, el uso legalmente seguro de Google Analytics está sujeto a ciertos requisitos. Si Google Analytics no está coordinado con el RGPD, los operadores del sitio pueden enfrentar severas advertencias o multas .
Google Analytics: Antecedentes legales (GDPR y sentencia del TJUE)
La coordinación de Google Analytics con el RGPD se ha vuelto indispensable a más tardar desde que este último entró en vigor. Las autoridades de protección de datos han amenazado a los operadores de sitios web con multas por usar esta herramienta en el pasado. Antes del RGPD, Google Analytics también podía usarse sin consentimiento, siempre que solo se cumplieran algunos requisitos (p. ej., anonimización de IP y contrato AV). El RGPD estaba vinculado a la esperanza de que la cuestión del consentimiento solo se regularía con el Reglamento de privacidad electrónica . Hasta entonces, los operadores de sitios web querían basarse en el «interés legítimo» de conformidad con el Art. 6 Párr. 1 lit. f GDPR designado.
Un cambio importante se produjo con la sentencia del TJCE de 2019 en el caso Planet49 (Ref.: C-673/17). La sentencia va acompañada de información clara sobre el consentimiento para el uso de cookies de Google Analytics y otras cookies. El diseño del consentimiento debe ser tal que los visitantes primero deben aceptar expresamente el uso de cookies de Google Analytics. Por lo tanto, Google Analytics se basa en la aceptación: los usuarios primero deben aceptar voluntariamente antes de que un operador pueda recopilar y procesar las cookies de Google Analytics. Existe una excepción con respecto a las cookies, que son absolutamente necesarias para el funcionamiento técnico del sitio.
En su sentencia, el TJUE señaló que el Reglamento de privacidad electrónica (Art. 5, Para. 3) ya preveía el consentimiento incluso para las cookies que no son absolutamente necesarias. Declaraciones similares del TJCE ya se conocen por jurisprudencia anterior.
Los requisitos legales para el uso de cookies de Google Analytics fueron reevaluados por el comité de coordinación de las autoridades alemanas de supervisión de protección de datos (DSK) el 12 de mayo de 2020. Con esta resolución, también hay una adición a la guía de orientación para proveedores de telemedios . Esta guía de orientación explica varias configuraciones al usar Google Analytics en términos de uso legalmente compatible.
Uso legalmente compatible de Google Analytics: medidas para operadores de sitios web
Cualquiera que continúe confiando en Google Analytics como operador de sitios web, por ejemplo en el sector de los medios o en el comercio electrónico , se recomienda implementar ciertas medidas que garanticen la seguridad jurídica de la herramienta de seguimiento.
Garantizar la transparencia en la normativa de protección de datos
Los operadores de sitios web deben proporcionar información completa sobre el uso y procesamiento de datos personales en las normas de protección de datos. Esta transparencia debe garantizarse de acuerdo con el Art. 13 RGPD para que Google Analytics pueda coordinarse con el RGPD.
En cuanto a los requisitos específicos de la obligación de información, los expertos en protección de datos se remiten a las directrices sobre transparencia del Consejo Europeo de Protección de Datos. Al adaptar la declaración de protección de datos, se debe especificar al menos el siguiente contenido de información, teniendo en cuenta los requisitos de DSK de acuerdo con el Art. 12 y 13 DSGVO: El alcance de la recopilación de datos debe comunicarse claramente. Además, la declaración de protección de datos debe proporcionar información sobre la base legal sobre la cual se recopilan los datos. Asimismo, se debe explicar la política de privacidad para
cuánto tiempo se almacenan los datos . En este contexto, el
Se dan a conocer los criterios para determinar el período de almacenamiento . La declaración de protección de datos también debe proporcionar información sobre el derecho de retiro y su implementación.
Acortar dirección IP
Como medida adicional para coordinar Google Analytics con el RGPD, los operadores de un sitio web con esta herramienta de seguimiento deben hacer arreglos para acortar la dirección IP . Esto se puede implementar agregando el comando «_anonymizeIp()» al código de seguimiento. Esto se refiere a cualquier sitio web que tenga una integración con Google Analytics. Los detalles técnicos sobre este tipo de truncamiento de direcciones IP se pueden encontrar directamente en las instrucciones en la página de desarrolladores de Google.
Acortar la dirección IP es una medida importante para proteger a los usuarios de acuerdo con el Art. 25 párr. 1 RGPD. Sin embargo , simplemente acortar la dirección IP no es suficiente para garantizar el procesamiento de datos anónimos. Además de la dirección IP pura, el uso de Google Analytics está asociado con la recopilación de muchos otros datos de uso. Esto incluye datos personales, como los que se utilizan para identificar a los usuarios (por ejemplo, en el sentido de vincularlos a una cuenta de Google existente).
Por lo tanto, incluso después de que se haya acortado la dirección IP, se deben observar requisitos adicionales para la coordinación de Google Analytics con el DSGVO. La declaración de protección de datos antes mencionada también debe indicar si la dirección IP se ha acortado.
Determinación del período de retención de los datos
Para coordinar Google Analytics con el RGPD, también es necesario especificar exactamente qué período de retención se proporciona para los datos. Google Analytics incluye ciertos controles de retención de datos . La configuración predeterminada está diseñada para guardar automáticamente los datos del usuario y los datos de eventos durante 26 meses. A menudo, el botón «Restablecer en nueva actividad» está deshabilitado en la configuración predeterminada. Este botón debe desactivarse para coordinar Google Analytics con el RGPD (compárese con el Art. 25: Protección de datos desde el diseño). El período de retención de los datos debe limitarse a 14 meses .
Para cambiar el período de retención de los datos, se debe seleccionar la propiedad a editar en la pestaña «Gestión». En la columna «Propiedad» correspondiente en «Información de seguimiento – almacenamiento de datos» se pueden realizar ajustes para la duración del almacenamiento. Después de haber seleccionado una configuración diferente aquí, debe recordar adaptar la declaración de protección de datos a estas modificaciones.
Consentimiento expreso para el uso de cookies
Uno de los requisitos previos más importantes para el diseño legalmente compatible del uso de Google Analytics es la garantía de un consentimiento de cookies bien pensado . El consentimiento de un visitante para el uso de Google Analytics y cookies debe contener cierta información: en primer lugar, el título debe ser claro e inequívoco. Debe mostrar que el usuario está de acuerdo con el procesamiento de datos por parte de Google después de dar su consentimiento. Además, los usuarios deben ser informados de que, como parte del procesamiento de datos, los datos personales y los datos sobre el comportamiento de uso en el sitio web se transmiten a Google . La solicitud de consentimiento también debe contener información precisa sobre los tipos de datos involucrados.
También es relevante saber que los datos recopilados son tratados principalmente por Google . Debe enfatizarse que el operador del sitio web no tiene influencia en el procesamiento de datos a este respecto. Google procesa los datos para sus propios fines (p. ej., elaboración de perfiles).
También es importante saber si los datos recopilados también pueden vincularse con información de otras fuentes. También se debe agregar información sobre si los datos se almacenan en los EE. UU. y si las autoridades estatales pueden tener acceso a estos datos.
Requisitos técnicos para el consentimiento y la revocación
Además, la opción de consentimiento no debe representar un consentimiento total para el uso de cookies. Un requisito técnico importante para el consentimiento es la participación activa del usuario. El usuario debe tener la oportunidad de aceptar activamente el uso de los datos. ¡ Esto excluye casillas premarcadas o casillas de verificación !
Esto está asociado con el requisito de que la herramienta de seguimiento y las correspondientes cookies de Google Analytics solo puedan activarse después de que los usuarios hayan dado su consentimiento activo. Las cookies de Google Analytics no deben configurarse de antemano.
Los datos solo se pueden recopilar después de que los usuarios hayan marcado activamente la casilla. Además, este consentimiento debe ser voluntario. Esto también está vinculado a la posibilidad de que los usuarios rechacen el consentimiento en cualquier momento.
Además, debe garantizarse técnicamente que los usuarios no sufran ninguna desventaja en caso de falta de consentimiento. Los usuarios deben contar con soluciones técnicas claras y fáciles de usar para garantizar e implementar el consentimiento. Las herramientas de consentimiento ofrecen una posibilidad para esto. Estos deben ofrecer la posibilidad de revocar este consentimiento en cualquier momento, incluso después de que ya se haya dado el consentimiento. En todas las aplicaciones o soluciones de consentimiento de cookies, también debe haber una opción de fácil acceso para una revocación efectiva en la configuración.
En principio, Google ofrece un complemento de navegador que desactiva Google Analytics. Cabe señalar que no es suficiente referir a los usuarios a este complemento. Esto no ofrece a los usuarios una posibilidad suficiente de revocación. De acuerdo con el Art. 7 párr. 3 p.4 GDPR, la revocación del consentimiento debe ser tan simple como dar el consentimiento. El complemento de Google no cumple con estos requisitos porque primero requiere que el usuario descargue un programa en forma de complemento.
Importancia del procedimiento de opt-in
El consentimiento activo y expreso para el uso de cookies de Google Analytics también se conoce como procedimiento de aceptación. El diseño del consentimiento de uso debe diseñarse como una opción real de Google Analytics a más tardar desde la sentencia del TJCE sobre las cookies. En principio, desde las directrices de protección de datos de la UE de 2009, se ha previsto que se pida a los usuarios del sitio web su consentimiento. Sin embargo, hasta ahora, muchos operadores han interpretado este consentimiento como una exclusión voluntaria. En la práctica, esto significa que las cookies se recopilan sin que el usuario tenga que hacer nada. Los visitantes solo tienen la opción de impedir la recopilación de cookies. De acuerdo con la sentencia del TJUE sobre cookies, un sitio web ya no puede establecer cookies antes de que el visitante haya dado su consentimiento expreso y activo . Esto significa que las cookies de Google Analytics solo se pueden configurar después de que el visitante haya optado por ellas (opt-in).
CMP: Soluciones de gestión de consentimiento para sitios web y sus beneficios
Es importante que los operadores de sitios web y las empresas tomen precauciones a tiempo para obtener un consentimiento efectivo para el uso de Google Analytics. Por un lado, los banners de gestión del consentimiento brindan a los usuarios información completa sobre el uso de los datos y, al mismo tiempo, les solicitan su consentimiento.
La realización técnica de una gestión de cookies legalmente compatible se beneficia del llamado consentimiento
Soluciones. Un buen gestor de consentimiento tiene en cuenta los requisitos del RGPD y la sentencia del TJUE, así como una experiencia de usuario positiva. Los aspectos más importantes de una experiencia de usuario positiva incluyen un tiempo de permanencia prolongado y una alta tasa de aceptación . En consecuencia, la tasa de rebote debe mantenerse lo más baja posible. Las buenas soluciones de gestión de consentimiento ayudan a aumentar la tasa de aceptación y, al mismo tiempo, minimizan la tasa de rebote. De esta forma, se aseguran de que el sitio web funcione bien y contribuyen a la adquisición y fidelización de clientes.
Una solución de gestión de consentimiento bien pensada ofrece una visión general en tiempo real de las tasas de aceptación y rebote. Esto permite sacar valiosas conclusiones sobre el rendimiento actual del sitio web y el correspondiente potencial de mejora.
Las soluciones de consentimiento tienen una orientación internacional . El banner mostrado aparece automáticamente en el idioma respectivo del país en el área RGPD desde la que se accede al sitio web. En general, el proveedor de gestión de consentimiento muestra la información en 29 idiomas. Asimismo, un diseño receptivo y una adaptación son evidentes en una solución de consentimiento moderna. La solución de consentimiento tiene en cuenta el dispositivo final, el sistema operativo y el tamaño de la pantalla y muestra el banner de consentimiento de forma optimizada.