Bullshit Basics: El administrador de etiquetas de Google no es una dominio cookieless: la prueba

En muchas declaraciones de protección de datos se afirma que el administrador de etiquetas de Google es una dominio cookie-free. Otros sugieren que no es necesario obtener consentimiento para utilizar el administrador de etiquetas. Ambas afirmaciones son inválidas. Incluso Google proporciona argumentos contra la afirmación mencionada.

El Google Tag Manager es un herramienta con la que se puede controlar el disparo de otras herramientas. En lugar de disparo, también podría hablarse del recarga de otras herramientas. A menudo se utiliza la abreviatura GTM para el Google Tag Manager.

El Tag Manager de Google se incorpora mediante un Script y una variante para sistemas con JavaScript deshabilitado. A menudo se encuentra un código como este:

<script>
(function(w, d, s, l, i) {
w\[l\] = w\[l\] || \[\];
w\[l\].push({ 'gtm.start': new Date().getTime(), event: 'gtm.js' });
var f = d.getElementsByTagName(s)\[0\],j = d.createElement(s),
dl = l != 'dataLayer' ? '&l=' + l : '';
j.async = true;
j.src = 'https://www.googletagmanager.com/gtm.js?id=' + i + dl;
f.parentNode.insertBefore(j, f);
})(window, document, 'script', 'dataLayer', 'GTM-XXXXXXXX');
<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-XXXXXXX" height="0" width="0" style="display: none; visibility: hidden;"></iframe>

El parte del script es la lógica para cargar el script de Tag Manager llamado gtm.js. Se establecen algunos parámetros. Luego, en un tag IFRAME, se incluye una lógica para disparar al Tag Manager, si JavaScript está deshabilitado en el navegador del usuario.

Antes de que se aclaren las confusiones, aquí está el primer error de interpretación. Muchos creen que Google no recibe datos personales a través del GTM, pero eso es falso. Lo correcto es: Para Google, tu y mi dirección IP son potencialmente siempre personales. El GTM recibe siempre tu y mi dirección IP cuando visitamos sitios web que integran el GTM. Desafortunadamente, las explicaciones de Google están formuladas de tal manera que prácticamente admiten que los datos recibidos se utilizan para fines propios. Por lo tanto, el GTM sería ya por sí solo obligatorio en cuanto a la autorización.

Frecuentes malentendidos sobre el administrador de etiquetas

Como se puede ver, el Tag Manager es cargado desde la dominio googletagmanager.com. Una dominio en teoría puede ser cookieless. Un herramienta como dominio etiquetar, es en sí mismo incorrecto.

Una dominio como Cookieless es una afirmación muy osada. Esta afirmación solo puede ser verdadera si se entiende de manera bienintencionada. Una dominio en sí mismo no es un administrador de cookies. Por el contrario, todas las páginas web que se encuentran en esta dominio y los archivos externos cargados desde sitios web terceros pueden ser administradores de cookies. Quien se atreve a afirmar conocer todas estas páginas y archivos de una dominio debe estar muy bien informado.

Una dominio en sí misma no puede gestionar cookies. Sólo las archivos que se encuentran en esta dominio pueden hacerlo. Si se excluyen las configuraciones posibles a nivel del servidor web, sólo los archivos que ejecutan lógica de programa pueden gestionar cookies. Por "gestionar" entendemos aquí la creación, lectura, modificación y eliminación de cookies.

El Google Tag Manager no es una dominio cookieless. Para decirlo de manera más correcta:

De la propiedad googletagmanager.com se están cargando cookies!

Investigación del Google Tag Manager en sitios web que lo utilizan (fuente: dr-dsgvo.de) así como declaración de Google (julio 2021).

El administrador de etiquetas de Google carga directamente cookies

Sí, lo han leído correctamente. No crean lo que otros afirman! Este apartado muestra por qué se cargan cookies cuando se incorpora el Google Tag Manager en una página web.

Los cookies existen dentro de una dominio (según la configuración también en subdominios). Para que se transfieran los cookies del Google Tag Manager al acceder a él, debe haber un cookie previamente creado en el dominio googletagmanager.com o generado nuevamente por el Google Tag Manager.

Basta con que exista una sola página web en el dominio o subdominio de la que se trata y que establezca un cookie. Solo hablamos de cookies persistentes, es decir, duraderas. Los cookies de sesión son más inocuos (pueden causar problemas bajo ciertas condiciones).

La prueba de que al integrar el administrador de etiquetas de Google se cargan cookies:

El video muestra cómo el "Desnudo" Tag Manager se carga, es decir, sin que se carguen herramientas adicionales del Tag Manager (que de lo contrario podrían ser responsables de las procesamientos de datos posteriores). A pesar de ello, al acceder al Tag Manager se transfiere un cookie. Dado que el cookie ya se envía con la carga del GTM, es innecesario si el GTM carga herramientas adicionales o no, porque el cookie estaba allí desde el acceso al GTM!

Teniendo en cuenta que, todo lo mostrado en el video sucedió sin autorización. Ni siquiera hay una solicitud de autorización en la página web mostrada. La página web mostrada fue seleccionada al azar. Hay numerosas otras páginas web que utilizan Tag Manager y muestran el mismo comportamiento.

Para reproducir el comportamiento mostrado en el video, en Reproducción, hacer lo siguiente en Mozilla Firefox:

1. Visitar una página web que se encuentra en el dominio googletagmanager.com o una subdominio de él y generar un cookie
2. Para seguir el tráfico de red en el navegador presione la tecla F12 para abrir la consola del desarrollador. Allí haga clic en el menú Netzwerkanalyse.
3. Visitar una página web que utilice el Google Tag Manager.
4. Hacer clic en una solicitud de red que carga el Google Tag Manager, por lo tanto buscar entradas con googletagmanager.com.
5. Haga clic en el menú de cartas Cookies a la derecha en la consola. Los cookies que se muestran allí fueron transferidos al cargar el Tag Manager.

El administrador de etiquetas de Google establece cookies directamente

Me refiero a una declaración oficial de Google de finales de julio 2021. Google dice que mismo que se colocan cookies en el llamado Preview and Debug Mode del Tag Manager.

Un administrador utiliza ahora el modo de previsualización, según Google tres cookies de Tag Manager, asociadas a googletagmanager.com, llegan al dispositivo. Más tarde, cuando el administrador visite cualquier página web que incluya el Tag Manager, se transmitirán las cookies del modo de previsualización a Google.

Este no es el caso para todos los visitantes de una página web, sino que "solo" aplica a los administradores del Tag Manager, que utilizan el modo de vista previa y depuración. Sin embargo, se complica aún más la situación con los mencionados cookies, ya que un razonamiento concreto y exacto sobre la persona es posible. Pues los mencionados cookies contienen información que permite rastrear un cuenta de Google. La cuenta de Google a su vez permite razonamientos precisos sobre una sola persona.

Los tags de administrador de etiquetas de Google pueden establecer cookies

Si se analiza con precisión, y eso es lo que gustan hacer los abogados cuando critican las advertencias de protección de datos, también es relevante para la pregunta de si el Google Tag Manager es una dominio sin cookies.

Con un Custom Html Tag, es decir, un tag creado por uno mismo, el Tag Manager puede ser puesto en la situación de poder establecer cookies. Aquí un ejemplo:

En la fuente proporcionada se encuentran más descripciones al respecto. El Tag Manager puede así mismo colocar cookies.

Es debe destacarse que con el código mostrado se crea un cookie en la dominio de la página web actualmente visitada. Sin embargo, con esto solo se puede demostrar que el Tag Manager no es una dominio sin cookies, ya que el Tag Manager es un servicio y este no es sin cookies, como se ha demostrado varias veces aquí.

Errores comunes del Administrador de Título

En numerosas páginas web se utiliza el Google Tag Manager, pero en la Declaración de protección de datos no se hace mención alguna. A menudo se menciona en una ventana de consentimiento, aunque se dice que no utiliza cookies. Esta mención por sí sola no sería malo, sino más bien acogible. Sin embargo, las llamadas Plataformas de Gestión del Consentimiento se centran en las cookies, lo cual es en sí mismo incorrecto.

Si se utiliza una herramienta, debe ser explicada según el artículo 13 de la RGPD. Esto debe ocurrir al menos en la declaración de protección de datos. Si se realiza una solicitud de cookies que técnicamente debería llamarse solicitud de consentimiento, también debe realizarse allí la explicación sobre la herramienta, al menos en forma suficiente. La explicación general puede entonces realizarse en las indicaciones de protección de datos.

Un herramienta no es explicable en sí misma, a menos que se trate de un servicio técnico necesario para el cual no hay otras normas que seguir (lo que debe ser verificado en cada caso). También es incorrecto utilizar como proveedor de una herramienta el término "Google". ¿Qué significa "Google"? ¿Cuál es la dirección completa de "Google" y qué forma jurídica tiene "Google"?

No es raro que las páginas web soliciten una autorización para ciertas herramientas. Sin embargo, ya se produce un proceso de carga antes de otorgar la autorización, en el que a veces está involucrado Google Tag Manager.

Como el Tag Manager carga otros herramientas, muchos de los instrumentos de consentimiento se confunden entre sí. Otra razón más para no utilizarlos! Si por ejemplo el Tag Manager carga el servicio Google Analytics, a través del canal de datos abierto por el Tag Manager, se establecen cookies de Google Analytics.

Aquí un ejemplo de una solicitud de consentimiento en la práctica de una página web de un conocido empresa alemana:

En esta pequeña imagen hay varios defectos evidentes:

1. Los cookies _ga y _gat se les asignan al Tag Manager, aunque pertenecen a Google Analytics. La política de privacidad contradice esta afirmación: "El servicio Google Tag Manager en sí (que implementa las etiquetas) es una dominio sin cookies y no recopila datos personales..
2. Como proveedor se llama "Google Tag Manager". Cada quien que conozca las normas del Código de Telemedios sobre declaraciones de proveedores admitirá que aquí no hay una declaración de proveedor conforme a derecho (tampoco fuera del Código de Telemedios).
3. El término "desarrollo" suena más a fregadero. No es de fácil comprensión para todos.
4. La indicación "Tipo: HTTP Cookie" no es comprensible para todos.
5. La descripción del propósito del cookie _gat es un disparate y generalmente incomprensible.

Si se investigara más a fondo el popup de consentimiento, la página web y la política de privacidad, probablemente se encontrarían al menos el doble de defectos. Por qué lo afirmo puede leerse en mi investigación Cookiegeddon – el fracaso de todos (?) Herramientas de Consentimiento.

Falta de interés legítimo

Claramente, digo que no hay un interés legítimo para cargar el Google Tag Manager sin consentimiento. Razones:

1. Cuando se carga el GTM, para cargar herramientas adicionales que requieren consentimiento, es necesario un consentimiento. De esta manera, el GTM puede ser cargado después de que el usuario haya dado su consentimiento.
2. Cargar solo a GTM sin que este cargue otros servicios no tiene ningún valor funcional.
3. Claro que cualquier herramienta x-beliebige también puede ser cargada sin el GTM. Para ello basta con una lógica de JavaScript que no debe ser más complicada que la lógica en GTM registrada.

Quién piensa que debe argumentar que sería menos trabajo diseñar un proceso de carga con el GTM para otros servicios en lugar de hacerlo sin, puede tener razón. Si uno se imagina a sí mismo como conductor buscando un estacionamiento decente, es más trabajo que aparcar mal. Sin embargo, nadie debe aparcar ad hoc mal, aunque sea menos trabajo.

Mejoro afirmo, y puedo demostrarlo mediante programación si es necesario, que el uso del Google Tag Manager suele estar más relacionado con un mayor trabajo que la simple programación de la conducta deseada a través de instrucciones JavaScript directas. Incluso (o especialmente) el funcionamiento de una herramienta de consentimiento junto con el Google Tag Manager es posible sin Tag Manager. Piense solo en la Directiva data-src.

¿Quién cuenta realmente la labor adicional que cuesta crear una política de privacidad decente para el Tag Manager y averiguar quién es el proveedor del servicio y qué hace con los datos recibidos? Además, se suma el trabajo necesario para responder a las consultas de los afectados, como yo, quienes creemos que muchos no toman en serio la protección de la privacidad. Una política de privacidad decente para el Tag Manager es difícil de encontrar, por no hablar de considerar todas las condiciones legales del GTM, lo que parece imposible de manejar. Un futuro artículo mío explorará este aspecto.

Conclusión

Este artículo fue escrito por mí para refutar varias veces la afirmación de que el GTM es una dominio sin cookies. Como se ha demostrado, al cargar el Tag Manager, se pueden transferir cookies. Si este proceso tiene lugar, el Tag Manager está sujeto a un deber de información, antes de poder ser cargado. Esto sigue de §15 Abs. 3 TMG y Art. 5 Abs. de la Directiva ePrivacidad. Una derivación más detallada se encuentra en mi sitio web en varios otros artículos.

El interés legítimo puede ser excluido porque el uso del Tag Manager sin recargar herramientas es obviamente innecesario y las herramientas que no son obligatorias para la aprobación también pueden cargarse sin Tag Manager. El GTM requiere, por otro lado, un gran esfuerzo adicional si se deben cumplir las condiciones legales de Google y otras reglas de protección de datos obligatorias. ([1])

Además, una obligación de consentimiento también puede derivarse del hecho de que se transfieren direcciones IP como datos personales a "Google". "Google" es un término que describe un conglomerado que opera en todo el mundo y cuya sede principal parece estar en los EE. UU., lo cual es un tercer país inseguro (ver sentencia sobre Privacy Shield). Las declaraciones de la empresa Google sobre Google Analytics sugieren que utilizar Google Tag Manager probablemente conllevará una recopilación de datos en los EE. UU.

Actualización: Al utilizar el Google Tag Manager se encarga la empresa Google LLC de la gestión de datos. Esto se desprende de las "condiciones de tratamiento de datos del cliente para productos publicitarios de Google" (ver https://privacy.google.com/businesses/processorterms/), que son aplicables al Google Tag Manager (ver las condiciones de uso del Google Tag Manager en https://marketingplatform.google.com/about/analytics/tag-manager/use-policy/, que deben aceptarse al crear una cuenta de GTM). Por lo tanto, existe un acceso legal desde los EE. UU.

El requisito de consentimiento para el administrador de etiquetas de Google se puede deducir por varias razones. En el artículo relacionado, también me refiero al traspaso de datos a través de Google LLC y al traspaso de datos a los EE. UU. debido a las condiciones de uso de Google.

Un contrato de servicios de valor agregado (DPA) válido con Google no puede ser completado según mi evaluación , ya que Google utiliza cientos de subcontratistas de servicios en decenas de países alrededor del mundo con un nivel de protección de datos dudoso (ver https://privacy.google.com/businesses/subprocessors/). Esta dirección se vincula a las condiciones del DPA mencionadas anteriormente. Además, la política de privacidad vigente para el GTM establece que Google utiliza los datos recopilados con fines propios (no técnicamente necesarios), lo cual va en contra de un contrato de servicios de valor agregado. ([1])

Artículos posteriores:

• Basics de mierda: Los cookies son no archivos de texto
• Basics de mierda: Cookiegeddon – el fracaso de todas las herramientas de consentimiento
• Cookies: Fundamentos y relevancia de la RGPD
• Administrador de etiquetas: Alternativa amigable con la privacidad al Administrador de etiquetas
• Server Side Tracking

Información adicional y una discusión sobre el Google Tag Manager en el podcast de Privacidad Deluxe: