En los últimos meses, Google Analytics ha evolucionado considerablemente y ahora ha pasado a Google Analytics 4. La pregunta es si es necesario el consentimiento para la versión 2023 y por qué. La respuesta depende de la configuración de la herramienta, si la transferencia de datos a EE.UU. y las condiciones de uso de Google no se consideran un problema.
Este artículo analiza principalmente Google Universal Analytics. Esta forma de Google Analytics fue la más utilizada hasta hace poco tiempo. Las diferencias con Google Analytics 4 son en gran medida despreciables desde el punto de vista del derecho a la privacidad. Además, existen llamadas Google Analytics 4 Properties. Se trata de propiedades con características, que se podían utilizar para el cuenta de Google Universal Analytics hasta ahora. La utilización paralela de GA4 Properties y GA Properties era posible.
Unas palabras por adelantado sobre las condiciones de uso de GA4
Las condiciones de uso de Google establecen en el apartado "7. Privacidad":
No transmitirá ninguna información a Google que Google pueda utilizar o reconocer como información de identificación personal, ni permitirá o ayudará a terceros a hacerlo"
Esto significa que el uso de Google Analytics en su forma estándar no es posible, ya que la dirección IP ya es un dato personal, que siempre se transmite a Google si GA está integrado de serie. O Google no tiene ni idea de protección de datos o está trasladando deliberadamente toda la responsabilidad de la entrega de datos al responsable del tratamiento que utiliza GA.
Google Analytics con cookies (configuración estándar)
En la configuración estándar, Google Analytics tiene la siguiente forma:
- Uso de Cookies de primera parte
- Transferencia de los valores de las cookies a los servidores de Google
- Conducir un Client Id por usuario, que es único por navegador y dispositivo de fin
- Ventajas del huella de navegador, entre otras, a través de la lectura del Viewports. Solo por eso, Google Analytics es obligatorio en cualquier configuración ([1])
- Análisis de las rutas de clic
- Evaluación de los tiempos de permanencia de los usuarios en páginas concretas
Debido a los cookies utilizados y al transferencia de datos comprobada por Google Analytics desde los cookies a servidores de Google, es obligatorio obtener consentimiento. Esto se puede deducir lógicamente del Artículo 5 (3) de la Directiva ePrivacy, que según el sentencia del Tribunal Federal de Justicia de 28.05.2020 (I ZR 7/16) es aplicable a Alemania o § 15 Abs. 3 TMG debe ser interpretado en conformidad con la directiva.
El Client Id se llama así, pero con él se identifica a un usuario (= Client).
No se pretende que la identificación en cada caso se almacene en el Client (es decir, el dispositivo del usuario, si se puede llamar cliente al dispositivo). Al operar con cookies de Google Analytics, se almacena la Id. del Cliente en el dispositivo del usuario. Al operar sin cookies, no se almacena la Id. del Cliente en el dispositivo del usuario – La almacenación de información en el dispositivo del usuario no funciona sin cookies (Fecha: 05.03.2021)!
Prueba de acceso a las cookies por parte de Google Analytics
Que el acceso a los cookies por parte de Google Analytics se puede demostrar de la siguiente manera:
Los cookies generados por Google Analytics al acceder a una página web seleccionada aleatoriamente son los siguientes:
Que estos cookies fueron creados por Google Analytics también se puede demostrar. Lo que voy a ahorrar aquí. Cada persona técnicamente medianamente dotada podrá hacerlo sola.
Que Google Analytics accede a estos cookies se puede demostrar viendo el evento de seguimiento que se envía mediante el script de Google Analytics:
https://www.google-analytics.com/j/collect?v=1&_v=j87&aip=1&cid=1111111162.1612337222&_gid=4444463630.1612555025
El llamado real es aún mucho más largo. Fue cortado por razones de privacidad y para una mejor claridad. Como se puede ver, en los parámetros cid y _gid se transfieren los valores almacenados en las cookies. Por lo tanto, claramente hubo un acceso a las cookies, es decir, un acceso a la información almacenada en el dispositivo del usuario. Este testimonio es inatacable porque puede reproducirse en cualquier momento (Fecha: 10.02.2021).
Las cookies no son un interés legítimo
Que los cookies no estén cubiertos por un interés legítimo se puede deducir solo de que Google Analytics también puede funcionar sin cookies. Este caso se considerará a continuación. Por cierto, sería igualmente irrelevante si los cookies fueran asignados a un interés legítimo. Pues el § 25 TTDSG, que regula la obligación de consentimiento de los cookies, no conoce el interés legítimo en absoluto! El TTDSG es en este punto una ley especial para la RGPD y tiene prioridad sobre la RGPD en cuanto a los cookies. Según el TTDSG, tampoco importa si en los cookies hay valores que sean personales o no. El TTDSG realiza la directiva de privacidad electrónica de la UE casi palabra por palabra para Alemania.
Si Google Analytics utiliza en lugar de los cookies tradicionales la llamada almacenamiento local HTML5, la base legal es idéntica. Esto significa que también con esta llamada Almacenamiento web se debe obtener el consentimiento del usuario.
Google Analytics con cookies o almacenamiento web requiere el consentimiento basado en la Directiva sobre privacidad y comunicaciones electrónicas
Configuración estándar de Google Analytics.
Google Analytics ohne Cookies
Uno de mis otros artículos describe la configuración de Google Analytics sin cookies .
Si Google Analytics se configura de tal manera que no se utilicen cookies, la característica es así:
- Conducir un Client Id por usuario, que es único por navegador y dispositivo de fin
- Uso de la huella digital del navegador
- Análisis de las rutas de clic
- Evaluación de los tiempos de permanencia de los usuarios en las páginas
El Client Id se envía a los servidores de Google en cada evento de seguimiento del herramienta de análisis, por supuesto. Sin embargo, el Client Id, si no se utilizan cookies, se asigna un valor diferente en cada llamada a otra página de la misma dominio (es decir, la página visitada). Google Analytics reconoce al usuario como nuevo dentro de la misma sesión, incluso si el usuario llama dos páginas de la misma página web. Esto no es sorprendente, ya que la transmisión del Client Id desde la página 1 a la página 2 no puede ocurrir directamente sin cookies y, en todo caso, (de manera clandestina) a través de un Fingerprinting no directamente verificable.
Con la ayuda de Client Id, un usuario puede ser rastreado. La Client Id a su vez se puede leer desde la página web que utiliza Google Analytics. El código para leer la Client Id es:
// Read the Client ID
// Execute the Code after the send command!
ga(function(tracker) {
console.log(tracker.get('clientId'));
});
Una vez que una página web puede guardar la dirección IP de cada usuario, al mismo tiempo se puede guardar el Id del cliente correspondiente a esa dirección IP. Que esto sea posible en absoluto, es simplemente porque Google Analytics hace accesible el Id del cliente de la página web.
Una variante amigable con la privacidad de Google Analytics, que no existe debido a la existencia del Client Id, mantendría al menos el Client Id codificado en el dispositivo del usuario y solo lo descodificaría en el servidor de Google, por lo tanto en el panel de control de Google Analytics. Esto impediría que se pueda determinar qué usuario está asociado a cada resultado en el panel de control de Google Analytics.
Si Google Universal Analytics muestra la Client Id en claro, se puede exportar o consultar los datos de Google Analytics más tarde y mezclarlos con sus propias grabaciones de usuarios. En cualquier caso, es posible registrar la dirección IP del usuario sin que pueda ser probado. Lo que sí podría probarse es el transferir de Client Id a un servidor propio. Para ello se necesitaría una llamada JavaScript por AJAX. Alternativamente, se podría pasar la Client Id como parámetro al llamar a una página siguiente, lo cual también sería probable. Además, el inconveniente de este enfoque es que no podría haber un seguimiento si se abandona toda la página.
Si la Client Id se transmite al propio servidor, es decir, al servidor de la página web que está siendo visitada, entonces hay una obligación de consentimiento.
Si se envía solo el Id del cliente al cuenta de Google Analytics y no a otro lugar, no está directamente dada la obligación de consentimiento según Artículo 6 RGPD. Sin embargo, debe haber una información transparente sobre los procesos de tratamiento de datos según Artículo 12 RGPD. Las declaraciones de privacidad del grupo Google son lo contrario de transparentes.
Si se busca ayuda en Google, allí se puede leer que una seguimiento de usuarios individuales a través del Client Id durante un período más largo y en varios puntos de contacto (Touch Points) es posible. Esto parece obligatorio por consentimiento. Esto también es válido según mi opinión si solo con Google Analytics 360 (GA 360, anteriormente GA Premium) una análisis profunda del usuario es posible, pero GA 360 no se utiliza en absoluto. GA 360 permite directamente el acceso a datos brutos (en GA360 se paga básicamente por la posibilidad de exportar y evaluar estos datos). ([1])
También es obligatorio la consentimiento, si se tiene que meter muy a fondo en la caja de trucos para realizar una llamada Análisis Clickstream con Google Analytics (por ejemplo, a través del Administrador de etiquetas de Google) . Me ahorraré el enlace al artículo que muestra cómo hacerlo, para no motivar a nadie falsamente. En pocas palabras, se registra cómo graba los datos de Google Analytics. Más tarde, se comparan las metadatos con los datos de seguimiento para obtener un mayor detalle de los clics, que pueden asignarse a cada usuario individualmente.
Actualización del 30.04.2021: De parte de Google hay una declaración escrita oficial según la cual todos los (!) datos de Google Analytics se almacenan y analizan en EE.UU. Por lo tanto, siempre hay un traslado de datos a EE.UU., por lo que surge la pregunta de artículo 44 RGPD.
Google Analytics siempre almacena todos los datos (al menos) en EE.UU
En mis palabras, reproduzco la declaración del propio Google, a 30/04/2021.
Antes de que los datos de Google Analytics acaben en EE.UU., suelen ser recogidos por los denominados recopiladores en las proximidades geográficas del visitante de un sitio web y, posiblemente, enviados al destino a través de estaciones intermedias. Esto significa que los datos se procesan potencialmente en todo el mundo.
Almacenamiento del ID de cliente
Se ejecuta Google Analytics sin cookies, la Client Id no se almacena en el dispositivo del usuario, sino que existe allí solo en la memoria principal como información fugaz.
El Client Id se almacena en los servidores de Google cuando no hay cookies, lo cual es todavía bastante malo (ver arriba). Aquí está la imagen que ve alguien cuando incorpora Google Analytics en su sitio web y luego evalúa los datos recopilados en el Dashboard de Google Analytics:
Hubiera sido posible para Google no hacer disponible esta Client Id y ser más respetuoso con la privacidad de los usuarios, pero Google no quiso hacerlo.
La siguiente captura de pantalla muestra lo que puede hacer con los datos de Google Analytics:
Las datos no están disponibles a través de medios estándar de Google, pero pueden obtenerse sin productos adicionales de Google. Como se muestra en la imagen, incluso Palabras clave pueden leerse, que se utilizaron durante la búsqueda de la página web recientemente llamada. Además, cada usuario individual le es asignado un identificador único. De esta manera, los usuarios pueden seguirse a través de varios canales. Esto puede hacerse incluso de una forma sencilla con una copia propia del Script de Google Analytics, lo que sin embargo se nota rápidamente si alguien con conocimientos técnicos y comprensión de privacidad mira más detenidamente. Una documentación de Google muestra, cuántos datos se registran por interacción del usuario con Google Analytics. Son tantos que solo pueden contarse automáticamente. Son 257 atributos por golpe (Fecha: 26.07.2021). Esta grabación siempre tiene lugar, pero solo está disponible en Google Analytics 360.
Aquí un ejemplo positivo con Piwik, en el que se ve que llevar la misma Client Id en el navegador de la página visitada y en el servidor donde se almacenan los resultados de análisis, es obviamente innecesario:
Matomo almacena este visitante con la siguiente transferencia de datos, que tiene lugar en el navegador:
action_name=&idsite=1&rec=1&r=477433&h=13&m=29&s=28&url=https://xyz.de/&_id=&_idts=16149xx369&_idvc=1&_idn=1&_refts=0&_viewts=16149xx369&send_image=0&res=1920x1080>_ms=236&pv_id=bxxyyP
Al comparar estos parámetros con el anterior screenshot se puede ver que en ninguna parte está la ID del visitante 67f37f3a2aa98b84 reconocible. Incluso en un cookie de sesión de Matomo no se almacena esta ID, sino que el valor es 8xx1f5bec073xxffe61862b70312xxe0.
Una asignación de un usuario en el navegador con un visitante en los resultados de Matomo es así posible y por lo tanto mucho más amigable con la privacidad que Google Analytics.
Hay además herramientas que funcionan perfectamente sin Client Id. Como no quiero hacer publicidad de proveedores comerciales, mencionaré el proveedor conocido a petición.
¿DPA con Google?
Cuando en una configuración sin cookies y sin compartir datos de análisis con terceros, se debiera cerrar un DPA con Google, sería responsable principalmente el titular de la página web. Un DPA es un contrato de tratamiento de encargo. Sin embargo, tal contrato solo puede hacerse con Google si Google no utiliza los datos recopilados con Google Analytics para sus propios fines.
Transferencia de datos a terceros
En las condiciones de uso para Google Analytics, se establece en el punto 6 que Google puede transmitir datos a terceros para proporcionar el servicio. Esto es admisible en sí mismo, siempre y cuando los terceros puedan garantizar un nivel de protección adecuado según la RGPD. Aquí surge la pregunta, ¿quién son estos terceros? Dejemos este punto por ahora.
Acceso a datos desde terceros países no seguros
En el primer párrafo de las condiciones de uso mencionadas anteriormente se hace referencia a Google LLC: "Las presentes Condiciones de Uso para Google Analytics … son aplicables entre Google LLC y usted…"). Google LLC tiene su sede en los EE. UU.
Otra indicación de que un cliente de Google Analytics celebra realmente su contrato con Google LLC, EE.UU., y no con Google Ireland Limited, Irlanda. Google envía ocasionalmente correos electrónicos a los clientes de Analytics. Yo recibí uno de ellos:
El pie de página del correo electrónico dice lo siguiente:
Cabe señalar que estoy registrado en Analytics con una empresa con sede en Alemania. Google solicita explícitamente esta información para mostrar las condiciones que se aplican en Europa.
Considero que el mencionado correo electrónico y la información del acuerdo con Google al cerrar una cuenta de Analytics son prueba de que la parte contratante es Google LLC, EE. UU. Si hace clic en el enlace para darse de baja del correo electrónico mencionado anteriormente, aparecerá un sitio web en el que Google LLC, EE. UU., vuelve a figurar como operador del sitio web.
El socio contractual central para los clientes alemanes de Google Analytics es Google LLC, EE.UU
Hecho demostrable.
Los EE.UU. son un país tercermundista inestable, para el que no se pueden dar garantías de que la RGPD se cumpla. En contra de la RGPD está el FISA Act (Ley de Inteligencia Extranjera) y el Cloud Act. Las cláusulas contractuales estándar son para los EE.UU. basura.
Google Analytics sin cookies requiere consentimiento debido a la transferencia de datos a terceros países inseguros
Además, es probable que exista la obligación de obtener el consentimiento debido a la falta de transparencia de la información proporcionada por Google.
Utilice su propio identificador de cliente
Es es posible, en lugar de la Client Id asignada por Google, utilizar una propia. Esto resulta especialmente útil al emplear varios contenedores de Google Analytics.
ga('create', 'UA-XXXXX-Y', {
'almacenamiento": "ninguno",
'clientId': '12a24efd-ec42-492a-92df-c62cfd4540a3'
});
El código fuente mostrado transmite a Google Analytics un propio Id del cliente, que se había generado previamente por la página web o se le había asignado nuevamente para un usuario recurrente. Además, se deshabilitan las cookies. Con cookies el caso sería idéntico al descrito anteriormente.
El uso de una propia Id del cliente conduce directamente a un requisito de consentimiento según el artículo 5, apartado 1 c) de la RGPD o al artículo 25 de la RGPD, los principios de minimización de datos y protección de datos mediante diseño tecnológico. ([1])
Google Analytics con su propio ID de cliente está sujeto al requisito de consentimiento de conformidad con el Art. 5 (1) c RGPD, Art. 25 RGPD.
Además, puede haber otras reclamaciones legales.
ID de usuario propio para Google Analytics
En lugar de una Id del cliente, una página web puede utilizar su propia ID de usuario. Las diferencias entre Id del cliente y ID de usuario son:
- El Client Id está pseudonimizado y se limita a un navegador en un dispositivo. El User ID puede funcionar entre dispositivos y identificar usuarios de manera personalizada.
- El Client Id es el estándar para las evaluaciones de Google Analytics. La ID del usuario debe ser habilitada para las evaluaciones.
- El Client Id se asigna automáticamente. La ID de usuario debe ser asignada y administrada por el cliente de Google Analytics.
El siguiente código muestra la transmisión de una propia ID de usuario a Google Analytics.
ga('create', 'UA-XXXXX-Y', 'auto', {
userId: USER_ID
});
ga('send', 'pageview');
Antes de que la User ID se le proporcione a Google Analytics, debe generarla naturalmente.
La User ID puede estar relacionada en secreto con una dirección IP. Además, se puede suponer que la User ID se compara con los datos del usuario que se han obtenido o se obtendrán por otros medios.
Se requiere una autorización al conducir su propia ID de usuario para Análisis de Google.
Google Analytics con su propio ID de usuario está sujeto al consentimiento sobre la base del Art. 5 (1) c RGPD o Art. 5 (3) ePrivacy Directive, dependiendo del diseño
La identificación del usuario puede gestionarse de diferentes maneras. La evaluación debe hacerse en función de ello.
Resumen
La siguiente tabla muestra la evaluación de la obligación de consentimiento en diferentes configuraciones de Google Analytics:
| Google Analytics Konfiguration | Evaluación |
|---|---|
| Con Cookies | De acuerdo con el Art. 5 (3) ePrivacy directive |
| Sin cookies, con ID de cliente, sin uso personal de la ID de cliente | De acuerdo con el Art. 44ff RGPD or Art. 5 Abs. 1b or c RGPD or Art. 25 RGPD |
| Sin cookies, con ID de cliente, uso propio del ID de cliente | De acuerdo con el artículo 5, apartado 1 b o c del RGPD o el artículo 25 del RGPD |
| Sin cookies, con ID de cliente propio | De acuerdo con el Art. 6 RGPD or Art. 5 Abs. 1 c RGPD or Art. 25 RGPD |
| Sin cookies, con ID de usuario | De acuerdo con el Artículo 5 (3) de la Directiva ePrivacy o Artículo 5, apartado 1 c del RGPD o Artículo 25 del RGPD (según la implementación de la ID de usuario) |
Para todos estos escenarios, según Artículo 44ff RGPD, es obligatorio obtener el consentimiento, porque el proveedor del servicio Google LLC está en los EE.UU. y opera a nivel mundial, además de transmitir datos a terceros.
Igualmente, para todos estos escenarios sigue siendo probable que exista una obligación de consentimiento debido a Art. 12 RGPD. Este artículo establece que debe haber una información transparente al usuario. Art. 5 Abs. 1 b RGPD requiere objetivos claros y determinados. ¿Pueden explicarme las condiciones de privacidad y uso de Google? ¿Pueden decirme quién o qué se entiende por "Google"? Para esto, ya me ha salido la respuesta de que "Google" en el sentido de la Declaración de Privacidad de Google para el EEE es prácticamente lo mismo que el grupo de empresas Google, es decir, Google Irlanda, Google EE. UU. y los más de cien subcontratistas.
En todo caso hay que tener en cuenta no utilizar cookies de Opt-Out. En su lugar no se debe cargar el script de Google Analytics si el usuario ha retirado su consentimiento.
Si se le da importancia a la seguridad jurídica, debería utilizar otro herramienta de análisis. Por ejemplo, Piwik (Matomo) puede configurarse en instalación local para que no sea necesario el consentimiento. También WP Statistics para sitios web de WordPress hace un buen trabajo.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.