Google Analytics también es obligatorio por consentimiento debido a un acceso al dispositivo

Google y algunas personas de marketing preferirían que Google Analytics fuera exento de consentimiento si se desactivaban las cookies mediante configuración. Es cierto que Google Analytics siempre accede al dispositivo del usuario y por eso es obligatorio obtener su consentimiento. Esto no cambia con el modo de consentimiento de Google, que no merece su nombre.

Introducción

Antes: La ley no conoce el concepto de cookies. Las regulaciones legales se refieren a accesos a tu y mi dispositivo terminal. Los cookies son "solo" el representante más popular de esta categoría, pero no el único caso relevante.

Con el Modo de consentimiento de Google, Google promete que se puede utilizar Google Analytics sin consentimiento (ya que sin cookies) y, por lo tanto, sin necesidad de permiso. Sin embargo, como demuestro con un ejemplo simple, algunas implementaciones de Google Analytics funcionan igualmente bien sin cookies ni consentimiento. Esto no mejora la situación en absoluto. Es posible que algunos desconozcan el hecho de que el Consent Mode de Google contradice los principios del contrato de procesamiento de datos (vgl. Artículo 28 DSGVO). En cualquier caso, es responsabilidad del propietario del sitio web. ¿Quieres unirte a la lista de "tontos"?

Este artículo demuestra que Google Analytics realiza accesos al dispositivo del usuario sin su consentimiento. La normativa legal es muy sencilla.

Al lado de este problema, que llamaré más abajo, se hace referencia aquí a otros problemas legales con Google Analytics.

Transferencia de datos a los EE.UU

Ya se ha dicho mucho aquí. Incluso Google ha dicho algo sobre la transferencia de datos a los EE.UU.:

Para obtener más detalles, consulte un artículo anterior sobre Google Analytics.

Formación de perfiles y relación con personas

Google Analytics es extremadamente poderoso. Casi imposible que esto sea posible sin la creación de perfiles de usuarios. La ID del cliente de Google, que lleva a cabo Analytics, es un valor de datos personales. Más información en una investigación sobre Google Analytics.

Autoridades de protección de datos europeas

Actualmente, algunas autoridades de protección de datos europeas consideran que Google Analytics es en general ilegal o solo permitido con consentimiento (en el mejor de los casos, si el herramienta no se ajusta a la RGPD). Pueden encontrar más información sobre esto:

• Dinamarca
• Francia
• Austria
• Italia
• Alemania: ¿Hubo una declaración? No conozco ninguna que sea análoga a las anteriores.

Ahora al tema principal de este artículo:

La razón por la que Google Analytics siempre requiere una autorización.

El párrafo del cookie

En el TTDSG, el reglamento de protección de datos alemán que rige desde el 01.12.2021, no aparece la palabra Cookie ni una sola vez. Desde mayo se llama TDDDG al TTDSG, pero sigue siendo idéntico en cuanto a su contenido. Para todos aquellos que deseen saber más sobre esto, aquí está el § 25 TTDSG, también conocido como la Regla de Cookies (levemente abreviado para una mejor comprensión):

(1) El almacenamiento de información en el equipo terminal del usuario final o el acceso a información ya almacenada en el equipo terminal sólo se permitirá si el usuario final ha dado su consentimiento.
(2) El consentimiento conforme al apartado 1 no será necesario
1. cuando la única finalidad del almacenamiento de información en el equipo terminal del usuario final o la única finalidad del acceso a información ya almacenada en el equipo terminal del usuario final sea llevar a cabo la transmisión de una comunicación a través de una red pública de telecomunicaciones, o
2. cuando el almacenamiento de información en el equipo terminal del usuario final o el acceso a información ya almacenada en el equipo terminal del usuario final sea estrictamente necesario para que el proveedor de un servicio de telemedia pueda prestar un servicio de telemedia solicitado explícitamente por el usuario.

Resumen en cuanto a sitios web y Google Analytics:

El acceso al dispositivo del usuario solo está permitido sin su consentimiento si el acceso es técnicamente necesario.

Sección 25 del TDDSG en relación con Google Analytics

El acceso a mi dispositivo no es necesario para que Google Analytics funcione. Esto ya lo dice solo porque Google Analytics no es necesario. Queremos ser precisos: ni siquiera para medir la audiencia se necesita un cookie, como puedo informar objetivamente (ya que técnicamente se puede demostrar) por experiencia propia.

Para aclarar: Es es necesario una autorización si no es técnicamente necesaria que

• Los datos se almacenan en el dispositivo del usuario o
• Al acceder a los datos en el dispositivo del usuario.

Excurso: ¿Cuál es la diferencia del acceso al Pantalla de visualización en comparación con el acceso a Referrer, la URL actual o la dirección IP? El Referrer, la URL actual y la dirección IP se envían directamente en las cabeceras HTTP con cada solicitud HTTP. Un acceso explícito a los dispositivos no es necesario para estos datos. Al contrario que el Viewport: Este debe ser solicitado explícitamente por la página web visitada (o el servicio de Google Analytics incorporado allí). Por lo tanto, se produce un acceso a los dispositivos que debe legitimarse según § 25 TTDSG.
Por cierto, la procesamiento de los datos que se han extraído explícitamente (Viewport) o implícitamente (Referrer etc.) del dispositivo del usuario debe ser legitimado según el artículo 6, apartado 1 de la DSGVO.
La revisión legal debe entonces desarrollarse de la siguiente manera:
1. ¿Se aplica un acceso según § 25 TTDSG? Si es así: ¿Es esto una autorización libre de consentimiento? No importa si los datos son personales o no. Para que todo el mundo entienda, el TJUE ha leído nuevamente el texto legal y lo ha establecido explícitamente.
2. Después de (!) que el paso de prueba anterior haya sido exitoso, debe comprobar, según el artículo 6, apartado 1, del RGPD, si la procesamiento de los datos es admisible. Esta normativa solo se aplica a los datos personales. Los cookies son siempre personenbezogen, porque están siempre vinculados a la dirección IP potencialmente personalizada del usuario o (además), porque contienen identificadores que permiten un enlace con personas. Especialmente bien se ve esto en las herramientas de Google, que utilizan el cookie llamado IDE para asignar directamente al usuario a un cuenta de Google.

Una autorización es también necesaria cuando no se almacena nada, sino que se accede a datos en el dispositivo final que ya habían sido almacenados allí!

El malvado Google lo hace, sin embargo

Aquí un típico evento de seguimiento de Google Analytics. Este evento de seguimiento es para enviar los datos recopilados sobre el visitante a la piscina de datos de Google Analytics.

GET https://www.google-analytics.com/collect?v=1&_v=j98&aip=1&a=829475794&t=pageview&_s=1&dl=https://www.asctechnologies.com/&ul=de&de=UTF-8&dt=BDX – We are the experts for something&sd=24-bit&sr=1696x954&Resolution 1491x331&je=0&_u=YCgAiAABBAAAAAAAIk~&cid=1201829514.1665683574&tid=UA-476697-1&_gid=553010699.1665683574&gtm=2wgaa0NF2377V&gcs=G100&z=1872566096

Impresos los puntos relevantes:

• URL: Muestra el servicio de Google Analytics
• vp = Vista del navegador: Tamaño de la ventana del navegador

La importancia del parámetro llamado vp se describe oficialmente en la documentación de Google para el Protocolo de Medición de Google Analytics: „Especifica el área visible de la ventana / dispositivo“

La magnitud de la ventana del navegador se almacena en el dispositivo del usuario. Haga la prueba: haga que la ventana del navegador sea más pequeña que la pantalla completa, cierre el navegador, abra nuevamente el navegador. Si ahora la ventana es tan grande como antes de cerrarla, entonces su navegador claramente almacena la magnitud de la ventana en su computadora. Si apaga la computadora y la enciende mañana, aparecerá nuevamente el navegador con la misma magnitud que se había establecido anteriormente.

Así que hay un acceso al dispositivo final. El artículo 25 del TTDSG es aplicable a todos los tipos de datos, incluidos aquellos no relacionados con personas. También no existe un interés legítimo en esta norma legal.

Viewport es un valor de datos que puede adoptar diferentes valores. Eso no importa. No hay nada al respecto en la ley. Para una pequeña analogía, se pueden mencionar las direcciones IP dinámicas. En particular, cuando se accede a Internet mediante DSL, cambian constantemente. El TJUE dictaminó que las direcciones IP dinámicas son datos personales. Aclarando y para distinguir de las direcciones IP, una vez más: Para el § 25 TTDSG no importa qué datos se acceden! La analogía con las direcciones IP se refería solo a la ilustración de que incluso los valores cambiantes pueden ser críticos o, según el § 25 TTDSG (probablemente siempre), son.

Resumen: Google Analytics accede al dispositivo del usuario, lo que siempre implica un deber de consentimiento.

Además, el acceso al dispositivo final también fue tema de discusión en la CONGRESO IDA 2022 en Múnich por parte de la profesora Sra. Weiden. La conferencia tuvo lugar los días 17 y 18 de octubre de 2022. Junto con el Sr. Breyer, también presenté allí un discurso sobre el tema Computación en la nube y protección de datos. Escribí este artículo antes de la IDACON y lo había guardado para publicarlo más tarde, ya que otros artículos estaban en cola de espera.

Ejemplos de datos en los que no se accede explícitamente al dispositivo del usuario:

• URL actual: Se envía con los datos de cabecera del petición HTTP. El responsable (el propietario de la página visitada) no accede directamente al dispositivo.
• La dirección IP del visitante de la web: lo mismo, por lo tanto implícitamente parte de los datos de solicitud HTTP y no acceso explícito al dispositivo por parte del responsable
• Resolución de pantalla (controversia): Yo digo que esto no está almacenado en el dispositivo final, sino en ninguna parte y si es así, solo por razones de comodidad en el sistema operativo. Una explicación: mantener el teléfono en formato vertical y apagarlo, mantenerlo en formato horizontal y encenderlo. Ahora la resolución es obviamente diferente a la del apagado (si el teléfono gira automáticamente el pantalla).

El modo de consentimiento de Google

Un pequeño receso para hablar del modo de consentimiento de Google.

El modo de consentimiento de Google no es útil ni para los empleados de marketing.

Olvida el fing modo de consentimiento de Google. ¿Qué es el modo de consentimiento de Google? Resumen: Si su sitio web utiliza el modo de consentimiento de Google y integra Analytics de Google, lo siguiente ocurre:

1. Si el usuario no ha dado su consentimiento, se carga Google Analytics de todos modos y esperemos que no utilice cookies. Los datos se envían primero a Google. Generosamente, se introducen en su cuenta de Google Analytics datos agregados, es decir, estadísticamente distorsionados.
2. Si el usuario ha dado su consentimiento, también se carga Google Analytics, pero luego, según la configuración, con cookies. Su cuenta de análisis se alimenta como en el caso clásico (sin utilizar el modo de consentimiento) con datos de alta calidad.

Mi opinión al respecto:

El experto en análisis web M. Baersch me ha compartido su evaluación sobre el modo de consentimiento de Google para este artículo:

También como "persona de marketing" se debe considerar críticamente el modo de consentimiento. A pesar del nombre inocente, un negocio con Google Analytics o etiquetado de Google Ads en el modo de consentimiento no tiene nada que ver con respetar las exigencias de protección de datos o el consentimiento. Los datos recopilados en el modo de consentimiento se diferencian de los obtenidos con consentimiento principalmente por un atributo: La ID del cliente, con la que se reconoce a los visitantes entre dos llamadas a la página, ya no es la misma porque no se utilizan cookies para almacenarla. Es así un "modo TTDSG (Ley de protección de datos de Baviera) peor", pero no un "modo de consentimiento". Sin consentimiento, no se espera que el seguimiento tenga lugar – con todas sus dimensiones y implicaciones – en cada llamada a la página. Sin que estos datos aparezcan directamente en la superficie de análisis (a menos que en BigQuery), sino teóricamente para modelar conversiones y cerrar la brecha del seguimiento. Donde, por ejemplo, una aplicación única de página (SPA) no requiere mucha inteligencia artificial porque la ID del cliente permanece constante allí debido a la falta de un proceso de recarga en la mayoría de los casos, exactamente como con el seguimiento regular. También permite un vinculador de conversión que, sin consentimiento, arrastra IDs de clic desde la página de entrada hasta la URL de conversión, permitiendo una asignación directa de conversiones a su fuente, sin necesidad de inteligencia artificial: Todos los datos necesarios están disponibles en este caso en los hits que Google denomina "pings de conversión inocuos".

En la realidad, por lo tanto, se ignora el consentimiento de 100% de los visitantes que han rechazado el seguimiento en un 100% de las llamadas a página y sin embargo sigue habiendo seguimiento. Eso no es un medio adecuado. Se deben encontrar otros caminos para generar retroalimentación para las conversiones si realmente se produjeron, sin ignorar los deseos de los visitantes del sitio web ni cumplir con las exigencias de privacidad mediante métodos inapropiados como el modo de consentimiento.

Cita de M. Baersch.

Desde la perspectiva de marketing, el modo de consentimiento de Google es por lo tanto el mayor basura posible. Diluye datos buenos con datos malos. Solo hay un ganador y se llama Google. Tal vez simplemente déjenlo estar con el modo de consentimiento de Google. Tal vez su departamento de marketing entienda lo que está arriba.

Como dijo un lector en un comentario a mi artículo:

__Google Consent Mode es un término igualmente engañoso como operación militar especial._

Conclusión

Numerosos motivos legales y técnicos demuestran que Google Analytics es ilegal o debe ser cargado solo con la autorización.

Un ejemplo simple muestra que Google Analytics ya es obligatorio por la consulta del Viewports. Este acceso no es técnicamente necesario y, por lo tanto, no es libre de consentimiento.

Si planean realizar seguimiento desde el servidor con Google Analytics, les aconsejo que no lo hagan. O bien, este enfoque es obligatorio para la autorización, o la calidad de los datos es tan mala que otras herramientas como Matomo proporcionan mejores resultados y todo sin autorización ni problemas legales. Solo grandes empresas podrían sacar provecho del seguimiento desde el servidor, pero entonces se volverían (probablemente) más vulnerables, según mi experiencia muestra. Quien mucho hace, ofrece mucha superficie de ataque.

La imagen de la contribución fue creada automáticamente por un programa informático.