Matomo es una software de análisis gratuita para sitios web. Con Matomo se pueden crear muchas estadísticas, que también ofrece Google Analytics. Con la configuración adecuada, Matomo puede utilizarse sin consentimiento y sin problemas con la privacidad.
Introducción
Matomo es una solución popular para comprender el comportamiento de los usuarios en sitios web. A diferencia de Google Analytics, Matomo puede funcionar sin problemas de privacidad y sin consentimiento.
A pesar de todo, con Matomo se pueden crear estadísticas sobre el comportamiento de visitantes de sitios web que suelen ser más que suficientes. En particular, con Matomo se puede determinar
- ¿Cuántos usuarios llamaron a la página web en un día determinado?
- Cuál página (subpágina) de la web fue llamada cuántas veces
- Desde qué dispositivos se realizaron los llamados y
- Desde aproximadamente (ubicación geográfica) donde se emitieron los llamamientos.
La mayoría de los propietarios de sitios web no necesitan saber más. Todo lo que va más allá es útil principalmente cuando se tienen recursos y conocimientos suficientes para evaluar las corrientes de visitantes. Especialmente en pequeñas y medianas empresas son estos recursos justamente los que no existen.
Matomo es técnicamente y legalmente mucho más manejable que Google Analytics.
Mi afirmación después de investigar ambos herramientas.
Matomo tiene un menor esfuerzo de configuración en comparación con Google Analytics debido a las cuestiones legales. Sin el popup del cookie, se puede suponer una mayor tasa de conversión y menor tasa de abandono. Esto aumenta la cantidad de datos de análisis, lo que lleva a estadísticas más sólidas.
Para que Matomo se pueda ejecutar RGPD-conforme y sin consentimiento, hay algunos aspectos a tener en cuenta. Antes de entrar en la configuración de Matomo, se mostrarán ejemplos de evaluaciones que Matomo admite.
Estadísticas de visitantes con Matomo
El screenshot muestra los visitantes actuales en una página web y sus acciones. Una acción es aproximadamente el llamado a una subpágina. Además, se muestran las características de los visitantes, como el navegador utilizado, el sistema operativo o la clase del monitor.
El siguiente captura de pantalla muestra un gráfico de los últimos visitantes, que debido a la conexión de pruebas pura es muy delgado.
De todos los visitantes se calculan estadísticas agregadas como por ejemplo la duración promedio de estancia o el número de acciones por visita. Una acción es aproximadamente el clic en un enlace.
Las funciones de análisis de Matomo son suficientes para la mayoría de las páginas web.
Mi afirmación con conocimiento de Matomo y muchas páginas web.
El camino de los visitantes hasta la página web, en la página web y cómo se abandonó la página web, es representado de manera ilustrativa.
Los tránsitos muestran cómo llegaron los visitantes a la página web, qué páginas llamaron allí y cómo abandonaron la página web. La captura de pantalla también parece escasa aquí porque los datos de prueba fueron mínimos. Normalmente habría páginas internas en las dos columnas y un gráfico que se expandiría.
Configuración de Matomo
La configuración del herramienta de análisis es posible gracias a la interfaz gráfica web. Algunas configuraciones deben ser ajustadas para ser lo más conforme con la protección de datos posible. No hace daño revisar todas las configuraciones. Para ello se necesitan solo unos pocos minutos.
Instalación local
Matomo debe utilizarse en modo local de funcionamiento. Esto significa que se descargan las instalaciones de Matomo y luego se reproducen en un servidor propio. La instalación es especialmente sencilla para WordPress, ya que hay un plugin disponible para ello. Este modo de funcionamiento también se conoce como On-Premise y es gratuito.
Quien quiera utilizar la solución de nube debe tener en cuenta otras cosas. En particular, es necesario establecer un contrato de confidencialidad (DPA) con el proveedor de Matomo. La solución de nube cuesta actualmente 29 euros al mes. El dinero sería mejor invertido en una instalación local única, que además es legalmente más fácil de controlar.
Anonimización de direcciones IP
Por razones de protección de datos, las direcciones IP no deberían ser registradas completamente porque representan datos personales. El grado de pseudonimización o anónimo es flexiblemente elegible. Una reducción de la dirección de red IPv4 en dos bytes indica un alto nivel de protección de datos.
La utilización de la dirección IP anónima también para la preparación de las visitas se recomienda igualmente (establecer la configuración en "Sí", en el screenshot todavía se ve la selección inversa)!
Si se ocultan dos o más bytes de la dirección IP del usuario, entonces la Geolokation será muy imprecisa. Sin embargo, debería seguir siendo lo suficientemente precisa para la mayoría de los casos de uso. Para muchos es simplemente irrelevante si el visitante vive en Hesse o Renania del Norte-Westfalia.
La activación de la opción "Intercambiar ID del usuario con pseudónimo" provoca que los identificadores internos para visitantes sean reemplazados por un valor de hash. Dado que los valores de hash pueden ser ambiguos, esto aumenta el nivel de privacidad. En esencia, se trata de evitar la personalización mediante protocolizaciones adicionales utilizando la ID del visitante. Google Analytics falla en este sentido, ya que la ID del cliente como contraparte a la ID del usuario de Matomo siempre se registra completamente y permite una personalización posible.
Perdedor de galletas en funcionamiento
La utilización de Matomo sin cookies es la más segura jurídicamente. El inconveniente es que los visitantes recurrentes no se pueden identificar con certeza como tales. Las dobletes son el peor caso posible. Esta consecuencia es, según mi experiencia, irrelevante para la mayoría de las PME. Finalmente, lo que importa sobre todo es responder a las siguientes preguntas:
- ¿Cuántos visitantes tuvo la página web?
- ¿Cuáles son los aportes más populares y cuáles tienen aún potencial?
- ¿Cuál es la tendencia?
Las mismas preguntas pueden ser respondidas con suficiente precisión con la misma incertidumbre.
Los cookies pueden ser desactivados en el área de administración de Matomo.
La E-Commerce Einstellung se utiliza para seguir carritos de compras o vistas de productos y es principalmente relevante para tiendas en línea. La búsqueda del objetivo sigue las búsquedas internas en la página web, por lo que no son motores de búsqueda globales. Para este último hay otros medios a nivel de los conocidos motores de búsqueda disponibles.
Cookies de sesión
Hasta el 01.02.2021 era aplicable lo siguiente: La utilización de Matomo con cookies de sesión podría parecer razonable. Estos cookies existen solo mientras un usuario cierra el navegador. Según § 15 Abs. 3 TMG, esto podría entenderse como una "disposición adecuada de los medios de comunicación" que contradeciría la autorización. Sin embargo, se debería proporcionar una opción para cancelar. Esto solo podría realizarse técnicamente de manera que Matomo no se cargue en absoluto.
El BGH estableció en el sentencia Planet49 que la norma del Código de Medios de Comunicación es conforme a la directiva ePrivacy. Por lo tanto, sería necesario una autorización para cookies no técnicamente necesarias.
Desde el 01.12.2021 es aplicable el TTDSG. A partir de mayo de 2024 se denomina TDDG al TTDSG (sin que nada cambie). El apartado relevante es el § 25 TTDSG. Según esto, los cookies para fines analíticos no son eximibles de consentimiento. También la Artículo 29 Grupo de Protección de Datos señaló esto en su Opinion 04/2012 sobre la Directiva ePrivacy, que entró en vigor en Alemania a través del TTDSG.
Recomiendo por tanto el uso de Matomo sin cookies. La calidad de los datos es buena y se han despejado las posibles dudas.
¿Qué es el fingerprinting de dispositivos?
Fingerprinting significa que se extrae el firma digital del dispositivo del usuario para poder reconocer al usuario sin cookies.
Un huella dactilar consta de la resolución del monitor, el idioma establecido, el sistema operativo, el navegador y su versión específica, así como algunos datos clave. Estos datos no están almacenados en el dispositivo final del usuario, sino que se determinan mediante la consulta de atributos que generalmente están relacionados con la hardware. La resolución del monitor, sin embargo, está almacenada en una configuración que no es accesible para el navegador. El navegador puede obtener esta información solo consultando las condiciones actuales y no accede a almacenamientos persistentes. En un artículo anterior, investigué qué información se almacena en el dispositivo final de un usuario.
Algunos datos del sistema, de los que se obtiene la huella digital de un usuario, no están almacenados en el dispositivo final del usuario, sino que se derivan de la configuración del sistema actual.
Mi conclusión sobre los datos de huella dactilar.
¿Cómo se determina la resolución de pantalla?
En Matomo se almacena la resolución de pantalla en el parámetro res.
Con el ejemplo de esta resolución de pantalla (ancho y alto en píxeles, así como profundidad de color) se pretende demostrar que estas informaciones de huellas dactilares no están almacenadas ya en el dispositivo del usuario de la manera en que se menciona en § 25 TTDSG o Art. 5 Abs. 3 ePrivacy-Richtlinie.
Las informaciones de la pantalla pueden ser determinadas directamente en el navegador mediante JavaScript en la página visitada. Para ello existe el objeto screen (o más exactamente: window.screen). Proporciona todas las mencionadas atributos de la pantalla a través del objeto window. La consulta de la pantalla misma se realiza mediante funciones propias del sistema en el nivel del sistema operativo. El sistema operativo pregunta al estado actual del monitor activo, en el que se muestra el navegador (como es con múltiples monitores, no lo he investigado, probablemente sea relevante el monitor principal). El monitor recibe de la orden del sistema operativo, cuando arranca, para utilizar una resolución determinada, configurada una vez por configuración o que corresponde al estándar del sistema. La resolución efectivamente mostrada en el monitor puede diferir de la establecida en el sistema operativo, si por ejemplo la resolución deseada no es soportada por el monitor. En el sistema operativo se configura una resolución deseada para que en el monitor se muestre la resolución desde que arrancó (o la siguiente mejor). Hasta mi conocimiento, el monitor almacena esta resolución solo en memoria volátil y no en un almacenamiento permanente.
¿Cómo se determina la dirección IP?
Un ejemplo más debe ilustrar que ciertos datos no están almacenados en el dispositivo del usuario de acuerdo con las normas legales mencionadas, sino que representan datos fugaces que se almacenan además fuera del dispositivo del usuario o se calculan dinámicamente (por ejemplo, según la configuración).
La dirección IP es una dirección de red. Cada participante en una red como Internet necesita una dirección para ser accesible para otros. Un dispositivo final recibe su dirección de un servidor de red responsable. A través de DHCP (Protocolo de Configuración de Host Dinámico) se pueden asignar direcciones de manera dinámica, a diferencia de las direcciones estáticas que tienen validez permanente.
La dirección de red se asigna en tiempo real. Puede cambiar cualquier momento, especialmente si eres cliente de uno de los proveedores de telecomunicaciones más conocidos que ofrecen accesos asequibles. La dirección no es influenciable por el navegador, que solo puede determinar la dirección actual asignada al dispositivo. Es posible que se guarde una copia de la dirección IP en el dispositivo. Sin embargo, la dirección IP real se obtiene del proveedor y no de la información almacenada en el dispositivo. La eventualmente almacenamiento en el dispositivo es solo para facilitar el trabajo o optimizar las conexiones. Si hay una Fritz!Box presente, se encarga de la comunicación con el proveedor. La Fritz!Box está fuera de los dispositivos finales, al menos según mi conocimiento y experiencia con hardware. Esto es plausiblemente así porque varios dispositivos finales pueden compartir un punto de acceso a red como la Fritz!Box.
¿Cómo se determina la clase del monitor?
Este ejemplo demuestra que las especificaciones del monitor y de los dispositivos de entrada no están almacenadas en el dispositivo final, ni deben estarlo. Si un monitor es un Pantalla táctil, es decir, si puede ser controlado mediante toque con los dedos o un bolígrafo especial, se desprende del modelo del monitor. Esta propiedad del monitor obviamente no se puede establecer cambiando la configuración de esa manera.
Las características de una ratón de computadora como dispositivo de entrada se derivan de las capacidades del ratón mismo y no de una configuración determinada. Puede ser que, en caso de varias opciones de ajuste, se establezca una y se administre mediante almacenamiento en el dispositivo final. Esta administración sirve entonces solo para la comodidad. El usuario debería obtener la misma configuración cuando se reinicia el ordenador.
Las informaciones que solo se almacenan provisionalmente en el dispositivo del usuario no se consideran como información ya almacenada en el dispositivo del usuario.
Mi conclusión.
Es importante también es que el navegador no pueda gestionar por sí mismo los datos mencionados sobre la pantalla, el ratón o la dirección IP. En cambio, los cookies son gestionados únicamente por el navegador y sin esta gestión no existirían. La almacenación de cookies en sí misma es necesaria si se van a utilizar. Por otro lado, la almacenación de la resolución de la pantalla no es necesaria y puede suceder solo para permitir al usuario un mayor comodidad al reiniciar el dispositivo. Además, una resolución deseada de pantalla almacenada no implica necesariamente la resolución real. El navegador tampoco accede a una configuración guardada para determinar la resolución actual de la pantalla (si se requiere lógica JavaScript), sino que pregunta por el estado actual de la pantalla.
Los cookies son almacenamiento no volátil (fijo), mientras que los datos de huella digital son datos volátiles (datos de hábito).
Comparación de cookies con datos de huella digital.
¿Qué pasa con los plugins instalados?
Debido a una indicación de Markus Baersch, he investigado los archivos de origen Matomo de la versión 4.8.0. Allí se consultan los tipos MIME admitidos por el navegador. Para ello, se lee la variable navigator.mimeTypes que devuelve una lista con los tipos MIME. A través del atributo enabledPlugin, se puede comprobar si hay un plugin disponible para cada tipo MIME. Esta solicitud de plugin no es consentimiento libre! Por favor, comprueben después de instalar Matomo, si la solicitud de seguimiento en su sitio web contiene parámetros como pdf, qt, realp, java o gears.
El Tracking Request llama a la archivo matomo.php. Pueden encontrar este Request presionando la tecla F12 en el navegador Firefox, luego seleccionando el menú de análisis de red, luego accediendo a la web y luego buscando el request de Matomo.
Ich bezeichne la información de huella dactilar como Datos sobre hábitos. Son fugaces, por lo tanto pueden cambiar potencialmente en cualquier momento, pero normalmente no lo hacen. Por lo tanto, si bien no son tecnologías y tampoco tecnologías comparables con las cookies, son adecuadas para seguir a los usuarios. Lo importante es la duración de procesamiento o duración de almacenamiento de datos de huella dactilar.
La Comisión de Trabajo 29 considera el huella digital virtual como acceso al dispositivo final (Declaración 09/2014). Sin embargo, creo que la comisión, predecesora del Comité Europeo de Protección de Datos y mencionada en Artículo 9 4 DSGVO, se refiere más bien a un huella digital amplia. Esto incluye las fuentes instaladas, es decir, los datos que no pueden obtenerse directamente mediante la lectura de variables JavaScript. Además, para la Comisión de Trabajo 29 es particularmente crítico el acceso explícito a la dirección IP, que en la variante presentada por Matomo no existe. Por otro lado, algunas de las informaciones utilizadas (pueden ser utilizadas) para un huella digital están directamente disponibles sin necesidad de una llamada explícita. A esto pertenece aproximadamente el User Agent, que se transmite sin intervención de Matomo.
Por lo tanto, mi evaluación es que Device Fingerprinting no se encuentra bajo la directiva ePrivacy o § 15 Abs. 3 TMG en interpretación conforme a derecho (vgl. sentencia del Tribunal Supremo sobre Planet49) y tampoco bajo § 25 TTDSG (desde diciembre de 2021). Si el fingerprinting se encuentra en § 15 Abs. 3 TMG en su forma original, depende del tipo y duración de uso de los datos de fingerprint.
Matomo es utilizable sin consentimiento y sin posibilidad de oposición.
Mi conclusión después de investigar las posibilidades de configuración de Matomo.
Matomo utiliza un huella digital para reconocer a los usuarios sin necesidad de cookies. Mi prueba mostró que un usuario que fue identificado como recurrente el viernes debido a acciones nocturnas, fue valorado como nuevo usuario el lunes. Esto es legal desde el punto de vista del derecho de protección de datos, porque una breve duración de reconocimiento puede ser considerada como interés legítimo. En cualquier caso, lo veo así y supongo que en este caso no se debe ofrecer ni la conformidad ni la posibilidad de oponerse. Esto es válido para el análisis de usuarios locales sin cookies.
El fingerprinting con Matomo puede ser utilizado, por tanto, sin posibilidad de oposición según el § 15 Abs. 3 TMG (en su significado original, no en la interpretación del Tribunal Federal alemán conforme a la Directiva ePrivacy) . La base legal para ello sería entonces – en caso de acceso al dispositivo no explícito – el interés legítimo según Artículo 6 Abs. 1 f GDPR.
Quien quiera asegurarse de que la detección de características del navegador esté desactivada debería asegurarse de que esto esté configurado. Esto se puede realizar mediante un comando JavaScript. En la configuración de Matomo, esto también debería poder establecerse directamente (sin programación). El parámetro se llama en inglés "Disable Browser Feature Detection" y debería estar disponible en español también. Si la configuración está correcta, esto se puede comprobar en el navegador: presionar F12 en el navegador Firefox para abrir la consola de desarrollador. Llamar a una página web con Matomo integrado. En el panel "Análisis de red" en la consola de desarrollador buscar los intercambios de datos que se relacionan con Matomo. Verificar los parámetros que se transmiten a estas direcciones. En los parámetros no deberían aparecer información sobre plugins instalados del navegador y tampoco el tamaño de la ventana del navegador (la resolución de pantalla es probablemente en orden, ver arriba).
Eliminar datos antiguos
Para la seguridad, los datos históricos no deberían ser guardados durante mucho tiempo. Una configuración para eliminar automáticamente los datos de inventario antiguos se ofrece directamente por Matomo.
La cantidad de días después de los cuales los datos caducan debe ser elegida de tal manera que sea mayor al período máximo requerido para informes. Si los datos del informe están anonimizados, también es problemático una vida más larga.
Si existen datos antiguos de sesiones en las que no se habían configurado las opciones de Matomo para la anonimización, estos pueden ser anonimizadas posteriormente.
Conclusión
Matomo está disponible de forma gratuita y ofrece numerosas funciones de análisis que son suficientes para la mayoría de las páginas web. Una instalación local es fácilmente posible. Las condiciones legales como en Google Analytics no deben ser cumplidas. Un DPA (¿no sé qué es esto?) es innecesario en una instalación local. En su lugar, debe prestarse atención a la configuración correcta para evitar problemas de privacidad desde el principio.
Matomo se adapta a casi todas las páginas web como Google Analytics de reemplazo. Esto es especialmente válido para aquellos que utilizan Google Analytics simplemente porque todos lo hacen o porque una agencia les ha recomendado esto.
Quien quiera utilizar Google Analytics o cualquier otro herramienta de terceros, debe comprender con precisión los aspectos legales y técnicos. Sin embargo, esto puede ser regularmente cuestionado, lo que predetermina problemas de privacidad.
También es interesante
- Google Analytics procesa todos los datos de análisis siempre en Estados Unidos
- Google Analytics como punto de entrada para hackers
- Utilizar Google Analytics sin cookies (pero igualmente con consentimiento)
- Condiciones legales de Google Tag Manager
- Administrador de etiquetas como reemplazo del Administrador de etiquetas
- Condiciones legales de los servicios de Google
Mensajes clave
Matomo es una herramienta gratuita para analizar el tráfico de tu sitio web que respeta la privacidad y no necesita el consentimiento del usuario.
Matomo es una herramienta para analizar el tráfico de tu sitio web, pero es importante configurarla correctamente para proteger la privacidad de tus visitantes.
Es mejor usar Matomo sin cookies porque así se cumple la ley y se protege la privacidad de los usuarios.
Algunos datos que se usan para identificar a un usuario, como la resolución de pantalla, no se almacenan permanentemente en el dispositivo del usuario, sino que se obtienen en el momento a partir de la configuración del sistema o del navegador.
El navegador no debería controlar información del dispositivo como la dirección IP o las características del monitor, ya que esta información proviene de otros lugares.
Matomo puede utilizarse sin consentimiento del usuario, ya que la recopilación de datos de huella digital no está regulada por las leyes de privacidad actuales.
Matomo permite analizar el comportamiento de los usuarios en tu sitio web sin usar cookies, lo que lo hace una opción más privada.
Es mejor usar alternativas a Google Analytics como Matomo, ya que las condiciones legales de Google Analytics pueden ser complejas y generar problemas de privacidad.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
