Google Analytics es el herramienta de seguimiento más popular, pero también plantea muchas preguntas sobre la protección de datos. En estándar, incluso una utilización después de una solicitud de consentimiento es poco probable que sea legalmente posible. Pero hay una solución sin popup de cookie.
Introducción
El ámbito de aplicación de Google Analytics es muy variado. Aquí hay algunos ejemplos comunes:
- Estadística (contador de visitantes)
- Optimización de contenidos:
- Seguimiento de Hartes: Evaluaciones demográficas, evaluaciones de comportamiento, seguimiento transversal de usuarios
- Rutas de clics
- Optimización de anuncios publicitarios (Seguimiento de conversión, retargeting)
- Combinación con Google Optimize (Pruebas de división)
Se pueden realizar evaluaciones estadísticas muy bien sin Google Analytics. Para ello, te recomiendo Matomo sin consentimiento o Trackboxx (producto comercial de un proveedor alemán).
El análisis de rutas de clic para la optimización de contenido también puede realizarse mediante Matomo.
Para pruebas A/B similares a Google Optimize existen seguramente soluciones más amigables con la privacidad de datos, sobre las que no puedo entrar aquí.
La optimización de anuncios publicitarios es al menos técnicamente la más sencilla con Google Analytics posible. Jurídicamente, sin embargo, la complejidad apenas se puede dominar. Como ejemplo de esto sea nombrado el Google Tag Manager, que Google amablemente casi por fuerza vincula a Google Analytics, aunque en absoluto es necesario. El Tag Manager solo jurídicamente apenas se puede dominar, como ya muestra mi simple investigación.
¿Y cómo están los casos de uso en los que Google Analytics tiene sentido?
Problemas legales con Google Analytics
Como se ha mostrado anteriormente, a menudo se utiliza el Google Tag Manager (GTM) junto con Google Analytics. Solo puedo recomendar que no utilices el GTM sin consentimiento. El GTM en sí mismo no es necesario, ni siquiera para cargar Google Analytics.
Si necesitan un Administrador de Etiquetas, tomen algo diferente o busquen a alguien que pueda programar. Una alternativa para casos frecuentes es mi Untagmanager. A usted no le ayudará eso y encontrará a ningún programador o no quiere pagar? Si la respuesta a esta pregunta Sí es, entonces el concepto de Privacidad de Datos aún no está profundamente arraigado en su conciencia. No hay problema, el mercado y las personas afectadas lo regularán.
Debido a los Cookies utilizados por Google Universal Analytics, es necesaria la autorización. Esto se desprende del fallo del BGH sobre Planet49, hasta el 1 de diciembre de 2021, según el cual debe aplicarse § 15 Abs. 3 TMG en conformidad con Artículo 5 Abs. 3 de la Directiva ePrivacy.
Los cookies son técnicamente no necesarios y por lo tanto requieren una autorización. Resumen breve: Google Analytics puede configurarse de manera estándar para que no se utilicen cookies.
Aunque sin cookies es Google Analytics obligatorio con consentimiento. Hay varios motivos para ello. Consulte el enlace que se encuentra en este apartado. ¿Sabían que todos los datos de análisisse procesan siempre en Estados Unidos?
El texto fuente traducido al español: Laut Art. 13 RGPD son obligaciones de información amplias para Google Analytics que deben cumplirse. Estas obligaciones de información se denominan a menudo también como avisos de protección de datos. ¿Sabe cómo se procesan los numerosos datos recopilados con Google Analytics por el conglomerado de Google? Si es así, por favor compártalo conmigo, porque yo no lo sé. También para cada cookie individual deben nombrarse nombre, propósito y vida útil. ¿Conoce los fines precisos de los cookies de Google Analytics? Lo cuestiono.
Otros problemas con Google Analytics
Dado que Google Analytics se utiliza tan ampliamente a nivel mundial, las páginas web que utilizan esta herramienta son un objetivo fácilmente reconocible y atractivo para ataques.
Los hackers pueden utilizar Google Analytics, para extraer fácilmente, sin llamar la atención y en gran medida de manera imperceptible los datos de una página web comprometida. La configuración de reglas de Firewall, lo que podría impedir esto, parece ser completamente irrealista para muchas páginas web.
Si una página web utiliza Google Analytics, es casi seguro a mi juicio que la página web incumple las normas de protección de datos. Quien busca un objetivo para una amonestación, probablemente busque primero páginas web que utilicen el rastreador de Google. Hasta ahora, debe haber sido consciente de que Analytics tiene un gran potencial de peligro.
La solución: Análisis sin consentimiento
La solución para capturar a los usuarios de manera segura sin su consentimiento mediante Google Analytics se basa en un principio simple . Para la solución, por supuesto, se aplica que no utiliza cookies técnicamente innecesarias. Esto es posible porque Google Analytics puede utilizarse sin cookies.
Me parece sensato la solución para unos pocos casos de uso determinados. La unión de datos de Analytics con datos de Google Ads es el caso que más sentido tiene para mí. Google Ads son una forma de lanzar publicidad en línea. Los clientes publicitarios quieren saber cuán bien se convierte una anuncio y con qué términos de búsqueda se ha producido la conversión. Todo esto también puede hacerse sin Google Analytics, pero ¿quién lo sabe y quiere más trabajo?
Eventualmente puede ser también razonable seguir profundizando en las acciones del visitante de la página web. Muchas herramientas de análisis solo registran cómo fue el recorrido del clic de un visitante y cuánto tiempo se quedó en una página. Algunos pueden estar interesados en saber cómo era el comportamiento de desplazamiento del usuario y cosas similares.
Una cosa es clara: con el script estándar de Google Analytics no se logra una utilización conforme a la RGPD, ni siquiera actualmente.
Hay dos soluciones, que son diferentes en cuanto a su capacidad y complejidad.
Principio fundamental
La solución se basa en general en que al rastrear eventos, un servidor de Google no es llamado directamente desde el script de Google Analytics. En su lugar, se llama al servidor propio de la página web visitada. Al servidor propio se le hace saber el evento de seguimiento. El propio servidor elimina ahora información sensible que podría significar una relación con personas. El resto de los datos se envía a la cuenta de Google Analytics propia.
El principio se llama Proxy. Una proxy es un representante. Muchos conocen el término seguro desde la red de redes. Una proxy es una especie de túnel. Si el túnel es lo suficientemente largo, la analogía incluso se ajusta bastante bien. Porque en un túnel largo, no sabes quién ha entrado en el túnel al final. Para completar la analogía, tendrías que suponer que hay un cambio de conductor en mitad del túnel, que no puede ser observado desde fuera del túnel.
Para Google Analytics se crea una proxy. La proxy tunnels ahora los eventos de seguimiento a través de un servidor propio. En este proceso de túnel, se anonimizan o omiten los datos relacionados con el usuario. De esta manera, no es necesario solicitar la autorización. Es importante tener en cuenta que no se utilizan cookies, ya que estas requerirían un popup de cookie. Un popup de cookie debería llamarse realmente una solicitud de consentimiento o popup de consentimiento. Por cierto, podría ser una solución propia rechtskonform , pero para Google Analytics en su versión original no lo es.
Solución 1: Llamada directa en vista de página
Este enfoque solo sigue las llamadas a páginas. En este caso, se lleva la configuración del sistema del navegador del usuario, lo que significa una base de datos mejorada. Esto es algo que conocemos desde el estándar Google Analytics y no es nada nuevo.
Los eventos de GA se envían desde el navegador del usuario a un servidor propio. Allí se eliminan o reemplazan con valores completamente diferentes sin relación con personas los datos sensibles como la dirección IP del usuario. Quien utiliza su propia dirección IP para eventos de seguimiento de GA está obviamente de acuerdo en que él mismo envía su propia dirección de red a Google.
const url = 'analytics-script.php';
var data = {dt: doc.title,...};
data = serialize(data);
var sender = new XMLHttpRequest();
sender.open("POST", url, true);
sender.send(data);
El código muestra cómo enviar datos desde el navegador a un propio script PHP. En la variable data se encuentran todos los valores que deben ser enviados. En el ejemplo, se envía el título del documento al servidor. El envío se realiza mediante HTTP Post, de modo que no puedan surgir problemas con el tamaño de los datos (ya que hay una limitación para el tamaño de los datos en GET).
En el servidor se envían los eventos de seguimiento a Google. Google recibe, si se hace correctamente, ninguna información sobre otra persona. El envío a Google puede realizarse de manera similar al rastreo original, es decir, mediante correos a una dirección HTTP como https://www.google-analytics.com/collect. Para un depuración se puede utilizar la dirección https://www.google-analytics.com/debug/collect. En su lugar, se puede utilizar la API de Informes de Análisis, que parece más limpia pero también algo más compleja.
Solución 2: Uso del guión original
Más elegante, pero también más complejo y exigente en términos de mantenimiento es modificar el script original de Google Analytics. El script se ajusta para que envíe los datos no a google-analytics.com, sino a un servidor propio.
El procedimiento general en su propio servidor para reenviar los datos a Google es similar al primer método de solución.
De vez en cuando hay actualizaciones del Google Analytics-Script. No siempre es necesario seguir estas actualizaciones. A veces puede ser que sea necesario una actualización. En ese caso, el script modificado debería ser reemplazado por un nuevo script modificado. Eso es posible, pero significa un poco más de trabajo. El trabajo se limitará y probablemente solo ocurrirá cada pocos meses, si es que ocurre.
Conclusión
Si alguien quiere utilizar Google Analytics con absoluta certeza, debería hacerlo de la manera descrita. La variante original conforme a derecho solo sería útil después de una autorización efectiva. Sin embargo, es muy poco probable que se otorgue dicha autorización si se pregunta correctamente. Además, surge la cuestión de qué datos procesa Google.
Para la mayoría de los casos de uso debería ser suficiente Matomo en instalación local. Quien utilice WordPress también puede recurrir a WP Statistics.
Mensajes clave
Google Analytics puede violar las normas de protección de datos y es vulnerable a ataques.
Para proteger la privacidad de los usuarios, se utiliza un "proxy" que anonimiza los datos antes de enviarlos a Google Analytics.
Para tener total control sobre tus datos, es mejor usar Matomo o WP Statistics en lugar de Google Analytics.
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.
