Google Analytics y el RGPD: por qué tus datos no están seguros con Google

El hasta ahora gratuito Universal Analytics (UA) de Google desaparecerá en 2023 y será sustituido por el premium Google Analytics 4 (GA4). Dado que las empresas que basan sus decisiones en datos necesitan registros de hasta 13 meses, los equipos de análisis deben actuar con rapidez para alterar lo mínimo posible sus operaciones.

Esta migración llega en un momento inoportuno, ya que Google se encuentra en apuros en todo el mundo por incumplir las leyes de protección de datos.

Antes de decidir si migrar a GA4 o elegir un nuevo proveedor, es fundamental entender qué está pasando con la protección de datos y cómo y por qué se considera que Google no cumple con la normativa.

Hasta hace poco cada país contaba con su propia legislación en materia de privacidad, pero la entrada en vigor del RGPD en 2018 estableció el marco para la protección de datos a escala internacional, convirtiéndose en un punto de referencia para empresas de cualquier tamaño en esta década de 2020 y las siguientes. Así pues, vamos a analizar la posición de Google con respecto a las normas de protección de datos de la UE, poniendo de relieve algunas de las deficiencias del gigante tecnológico en el cambiante panorama mundial de las analíticas.

Por qué Google Analytics incumple el RGPD

En los últimos años, las grandes empresas tecnológicas han infringido la normativa sobre privacidad de datos, y Google ha sido uno de los principales infractores. Tanto los reguladores como los organismos de control han presentado repetidamente denuncias ante diversas Agencias de Protección de Datos (APD), acusando a Google de violar las leyes europeas de protección de datos.

Esto llegó a un punto crítico en 2020, cuando el Tribunal de Justicia de la Unión Europea invalidó el "Escudo de Privacidad" en la transferencia de datos entre la UE y Estados Unidos, ya que dejó de reconocer a este último país como un país con un nivel suficiente de protección de datos personales. Esto significa que ahora está prohibida la transferencia a Estados Unidos de datos personales de los países contemplados por el RGPD.

En pocas palabras:

  • Google Analytics, y por tanto sus productos, UA y GA4, NO cumplen el GDPR tras la invalidación del Escudo de Privacidad en 2020.
  • Se considera que los sitios web de los países miembros de la UE, como Francia, que utilizan UA o GA4 para recopilar datos personales de ciudadanos de la UE infringen el RGPD
  • La propuesta de actualización del Escudo de Privacidad (Marco Transatlántico de Privacidad de Datos) aún no se ha redactado y no se espera una decisión final hasta finales de 2022 o más tarde.

Implicaciones globales:

A principios de 2022, el uso de Google Analytics fue considerado oficialmente ilegal por las autoridades de protección de datos (APD) de Austria, Francia e Italia. Su decisión se basó en que Google no garantiza que los datos europeos permanezcan almacenados de acuerdo con los requisitos del RGPD. Este movimiento para penalizar a Google se está extendiendo por toda la UE y probablemente se expandirá por el resto del mundo a medida que otros países se pongan al día con las protecciones de privacidad de la UE.

Cómo Google Analytics incumple el RGPD

La decisión de las APD austriacas, francesas e italianas sobre el incumplimiento del RGPD por parte de Google se aplica tanto a UA como a GA4. Por lo tanto, esto afecta directamente a todos quienes utilizan UA y a quienes se ven obligados a migrar a GA4.

Información personal identificable

Según el RGPD, la información de identificación personal (IIP) se define como "cualquier información relativa a una persona física identificada o identificable (directa o indirectamente), en particular mediante un identificador en línea". Esto incluye cualquier dato seudonimizado, como por ejemplo:

  • Direcciones IP;
  • Cualquier identificador en línea: cookie, móvil, publicidad, huella digital;
  • Cualquier combinación de información que pueda llevar a identificar a una persona de forma individual: navegación, comportamiento o cualquier otro dato demográfico.

Google se aleja de la definición estricta del RGPD y NO considera como datos personales los siguientes datos:

  • Identificadores de cookies seudonimizados;
  • Identificadores publicitarios seudonimizados;
  • Direcciones IP;
  • Otros identificadores seudonimizados de usuarios finales.

Esto significa que cualquier solicitud de IP enviada con una solicitud de publicidad (lo que incluye casi todas las solicitudes de publicidad) no se considera oficialmente como un envío de IIP según el RGPD.

Recogida y uso de datos

El RGPD establece que "los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado". Esto significa que todos los editores de sitios web y aplicaciones que recopilan datos personales deben indicar claramente cómo los recopilan y con qué finalidad lo hacen.
En la página de ayuda de Google Analytics, se indica que los "datos de uso" (los identificadores seudonimizados mencionados anteriormente) NO constituyen información de identificación personal. Por ello, las autoridades de protección de datos señalan expresamente que los datos tratados con Google Analytics (datos de uso y otros datos específicos de dispositivo que pueden asignarse a un usuario concreto) sí son datos personales en el sentido del RGPD.

Almacenamiento de datos

La transferencia de datos a EE. UU. desde la UE tiene requisitos estrictos, en particular la necesidad de aplicar medidas de protección apropiadas (CCT, BCR) y medidas técnicas adicionales (seudonimización, encriptación), así como ofrecer total transparencia sobre cómo se accede a los datos, reforzar el procedimiento de auditoría del importador y aplicar políticas estrictas de seguridad y privacidad (basadas en certificaciones/código de conducta de la UE, norma ISO).
De acuerdo con el RGPD, la transmisión de datos personales a países no pertenecientes a la UE es posible siempre y cuando se apliquen las garantías adecuadas (países con niveles de protección adecuados, informando a los visitantes y respetando sus derechos).
Sin embargo, Google no cumple los requisitos de transferencia/almacenamiento de datos entre la UE y Estados Unidos:

  • Google indica en su página web que sus centros de datos están distribuidos por todo el mundo;
  • No garantiza que los datos europeos permanezcan almacenados en la UE;
  • Las leyes de vigilancia del gobierno estadounidense exigen específicamente a proveedores estadounidenses como Google o Facebook que faciliten los datos personales de los usuarios de internet a las autoridades estadounidenses;
  • Según la CNIL, existe el riesgo de que los servicios de inteligencia estadounidenses puedan acceder a los datos personales transferidos a Estados Unidos si las transferencias no están debidamente reguladas.

 

¿Qué deben buscar las empresas en una alternativa a Analytics?

La búsqueda de una alternativa a GA tiene que ver esencialmente con la gestión del riesgo y las garantías que puede ofrecer el proveedor para elegir la opción más segura y viable.
Las empresas deben buscar soluciones que ofrezcan una relación equilibrada entre el responsable del tratamiento y el proveedor de datos (vendedor), basada en el cumplimiento. De acuerdo con el artículo 28 del RGPD, esto implica un Acuerdo de Protección de Datos claro y explícito que especifique:

  • Los responsables de todas las acciones relativas a los datos y quién informa a quién;
  • Qué datos personales se tratan exactamente, cómo y con qué finalidad;
  • Dónde se procesan y almacenan los datos, y con qué garantías.

Las empresas también deben asegurarse de que su proveedor cuente con documentación sencilla y accesible sobre cómo operar de conformidad con el RGPD. Esto implica un servicio de asistencia fácilmente accesible con respuestas claras para garantizar el cumplimiento, así como una persona de contacto específica en materia de protección de datos, como un delegado de protección de datos.

Piano Analytics: privacidad por diseño

A diferencia de Google Analytics, Piano Analytics es una solución basada en la privacidad por diseño que proporciona las características y la funcionalidad necesarias para medir el comportamiento de los usuarios en todas las plataformas y dispositivos, aplicando las normas de protección de datos más estrictas.

  • Cumplimiento estricto del RGPD y ePrivacy – Piano Analytics cumple con los requisitos legales establecidos por el RGPD y otras regulaciones de ePrivacy como la regulación CCPA de California. Utilizamos un proveedor de IaaS/nube estadounidense que aplica el código de conducta europeo presentado por los Proveedores de Servicios de Infraestructura en la Nube (CISPE), y que está aprobado por la CNIL y el Comité Europeo de Protección de Datos.
  • Políticas sólidas sobre el uso de datos – Únicamente recopilamos los datos estrictamente necesarios para la prestación del servicio definido por nuestros clientes y solicitado expresamente por el usuario final. La finalidad se limita a la estricta medición de su audiencia y los datos son siempre 100 % propiedad de nuestros clientes.
  • Exención de consentimiento – Piano Analytics tiene una exención de consentimiento en Francia que está oficialmente reconocida por la CNIL y que permite a un editor de un sitio web, una aplicación móvil o cualquier plataforma conectada no obtener expresamente el consentimiento previo del usuario final/consumidor antes de utilizar un rastreador (depositar una cookie/ID móvil, etc.)
  • Experiencia interna en materia de datos – Piano tiene un largo historial de ayuda a las empresas para navegar y cumplir con la normativa sobre protección de datos, que está en constante evolución. Somos expertos en el RGPD y en ePrivacy, y tenemos una amplia experiencia en asesorar a las empresas en cuestiones de privacidad en todo el mundo. Nuestro equipo de consultores y expertos en protección de datos acompañan a los clientes durante todo el proceso de implementación de la exención de consentimiento de ePrivacy y la activación de sus datos.
  • Datos libres de conflictos – Nunca utilizamos, vendemos ni transferimos datos, ni participamos en ninguna actividad que pueda infringir el RGPD o las normativas locales. La finalidad estándar y única de nuestra solución es recopilar, procesar y almacenar datos de audiencia, navegación y comportamiento seudonimizados en nombre de nuestros clientes. También disponemos de medidas técnicas adicionales como la anonimización o la encriptación.
  • Confianza en toda Europa – Piano está certificado como proveedor de datos europeo aprobado por organismos de medición de audiencias, datos e investigación de todo el continente, como la Alliance pour les chiffres de la presse et des médias (ACPM) y Médiamétrie en Francia, la Audit Bureau of Circulation (ABC) en Reino Unido y la Stichting KijkOnderzoek (SKO) en los Países Bajos.
  • Anteponer la privacidad a todo lo demás –Piano Analytics ofrece a las empresas una plataforma de análisis avanzada que permite compartir datos de alta calidad entre diferentes equipos, consultar fácilmente grandes volúmenes de datos y personalizar la estrategia de medición para satisfacer las necesidades de cada negocio. Todo ello con la tranquilidad de saber que cuenta con una solución de análisis digital que da prioridad a la privacidad.