Una guía práctica de analítica web conforme al RGPD
TL;DR — Respuesta rápida
5 min de lecturaVarias autoridades de protección de datos de la UE encontraron ilegales implementaciones específicas de Google Analytics después de Schrems II. El cumplimiento actual depende de la configuración, el consentimiento, la minimización de datos, los contratos, la base de transferencia y las reglas locales ePrivacy.
Esta guía explica analítica web conforme al RGPD de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.
Es posible realizar análisis web compatible con GDPR, pero requiere más que agregar un banner de cookies. La configuración de análisis debe tener una base legal, respetar las reglas ePrivacy, minimizar los datos personales, manejar las transferencias de manera legal y brindar a los usuarios información clara.
La cuestión se hizo más visible después de Schrems II, cuando el Tribunal de Justicia invalidó el Escudo de Privacidad y responsabilizó a las organizaciones de evaluar los riesgos de transferencia a terceros países (TJUE C-311/18). Posteriormente, varios reguladores europeos consideraron ilegales determinadas implementaciones de Google Analytics porque los datos se transfirieron a los Estados Unidos sin las salvaguardias adecuadas, incluido el análisis de la notificación formal de la CNIL francesa (decisión anónima de la CNIL) y el caso del OSD austriaco resumido por noyb (DSB austriaco Google Analytics decisión).
Qué debe resolver el análisis compatible
Una configuración preparada para GDPR necesita respuestas a cinco preguntas.
¿Qué datos se recopilan? Las direcciones IP, los ID de cookies, los ID de usuarios, los datos del dispositivo, las URL, los términos de búsqueda y las propiedades de eventos pueden ser datos personales.
¿Por qué se recopila? Defina propósitos como medición del rendimiento, mejora del contenido, seguimiento de conversiones o seguridad. Evite la reutilización vaga.
¿Qué base legal se aplica? A menudo se requiere consentimiento para las cookies y los rastreadores de publicidad. Se pueden considerar intereses legítimos para análisis propios de bajo riesgo, pero requiere una prueba de equilibrio y es posible que no cumpla con las reglas de consentimiento ePrivacy en todos los países.
¿A dónde van los datos? Asigna procesadores, subprocesadores, acceso a soporte, registros, copias de seguridad y transferencias.
¿Durante cuánto tiempo se conservan? Los datos sin procesar del evento deben tener un período de retención definido.
Google Analytics áreas de riesgo
GA4 incluye controles más estrictos que el antiguo Universal Analytics, y Google dice que GA4 no registra ni almacena las direcciones IP (protección de Google). Pero los propietarios de sitios web aún deben evaluar las cookies, los datos del dispositivo, las señales de Google, las funciones publicitarias, la configuración para compartir datos, el modo de consentimiento, los contratos, los controles regionales y las transferencias internacionales. El Marco de Privacidad de Datos UE-EE. UU. puede ser relevante cuando está involucrado un destinatario estadounidense certificado, pero no reemplaza el trabajo de consentimiento, minimización, transparencia o limitación de propósito de ePrivacy.
El principal error de cumplimiento es tratar Google Analytics como automáticamente legal o ilegal en cada situación. La respuesta correcta depende de la configuración, el país, el mecanismo de transferencia, el comportamiento de consentimiento y si las funciones publicitarias están habilitadas. Para muchos equipos que priorizan la privacidad, la opción más sencilla es evitar gran parte de esa complejidad.
Arquitectura de análisis más segura
Una pila de análisis que prioriza la privacidad generalmente incluye:
- Sin cookies de terceros.
- Sin seguimiento entre sitios.
- Sin huellas dactilares.
- No hay almacenamiento de direcciones IP completas.
- No hay datos personales en las propiedades del evento.
- Procesamiento en la UE o en un país con decisión de adecuación cuando sea posible.
- Informes agregados por defecto.
- Retención corta para eventos en bruto.
- Una lista clara de DPA y subprocesadores.
Esto no exime a la organización del análisis legal, pero reduce el riesgo y facilita el análisis.
Lista de verificación de configuración práctica
- Audite los scripts actuales con las herramientas de desarrollo del navegador.
- Elimine las etiquetas y los píxeles no utilizados.
- Decida qué métricas son realmente necesarias.
- Elija una herramienta que admita la medición sin cookies.
- Eliminar los parámetros de consulta que puedan contener datos personales.
- Escriba una política de nomenclatura de eventos.
- Documentar la base legal y el comportamiento de consentimiento por país.
- Revisar las transferencias de datos y los contratos de proveedores.
- Establecer períodos de retención.
- Actualizar el aviso de privacidad.
Qué evitar
Evite la repetición de sesiones en páginas confidenciales, recopile entradas de texto libre, envíe ID de usuarios registrados a plataformas publicitarias, habilite todas las funciones de medición "mejoradas" de forma predeterminada y asuma la anonimización cuando los datos sean simplemente seudónimos.
El análisis compatible con GDPR es principalmente una moderación disciplinada. Mide las cosas que mejoran el sitio web, no todo lo que un navegador puede revelar.
Flowsery
Prueba gratuita
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Consentimiento versus intereses legítimos
Los equipos a menudo quieren una respuesta universal sobre si la analítica puede ejecutarse según intereses legítimos. No existe una respuesta universal. Una configuración de análisis agregada, propia y sin cookies, utilizada únicamente para comprender el rendimiento del sitio web, puede ser más fácil de justificar en algunas jurisdicciones. La analítica que establece identificadores, rastrea a los usuarios a través de sesiones, comparte datos con plataformas publicitarias o permite la creación de perfiles generalmente necesita consentimiento según las reglas ePrivacy y puede ser más difícil de justificar según los intereses legítimos GDPR.
Documente su razonamiento. Si confía en intereses legítimos, realice una prueba de equilibrio. Si confía en el consentimiento, haga que el rechazo sea tan fácil como la aceptación y asegúrese de que las etiquetas no se activen antes del consentimiento.
DPIA desencadenantes
Considere un DPIA cuando el análisis involucre personas vulnerables, páginas confidenciales, elaboración de perfiles a gran escala, ubicación precisa, datos de niños, contextos de salud o finanzas, o transferencias transfronterizas con proveedores de alto riesgo. Un DPIA no es sólo un artefacto legal; obliga al equipo a definir si vale la pena correr el riesgo por los datos.
Un ejemplo práctico de implementación
Para un sitio de marketing típico SaaS, comience permitiendo solo vistas de página, referencias, parámetros UTM, clase de dispositivo, país y un pequeño conjunto de eventos de conversión como signup_started, demo_requested y checkout_completed. Elimine las direcciones de correo electrónico, los ID de cuentas, el texto de búsqueda y los tokens de invitación de las URL antes de que Analytics los vea. Mantenga los parámetros de la campaña, pero defina una lista de permitidos para que se eliminen valores accidentales como ?email= o ?customer_id=.
Luego pruebe la implementación en un perfil de navegador limpio. Rechace las cookies opcionales, vuelva a cargar el sitio e inspeccione el almacenamiento de la red y las aplicaciones. El resultado debe coincidir con el aviso de privacidad y la base legal que documentó. Si el navegador todavía muestra llamadas de terceros o identificadores persistentes, la historia de cumplimiento no ha terminado.
Evidencia de cumplimiento que se debe conservar
Mantenga un paquete de evidencia análisis: inventario de eventos, propósito de cada evento, comportamiento de almacenamiento y consentimiento por región, mecanismo de transferencia, contratos de proveedores, configuraciones de retención, funciones publicitarias habilitadas y capturas de pantalla o registros de pruebas del navegador. Trate la redacción GDPR como un objetivo de implementación, no como una conclusión legal general sobre el nombre de una herramienta.
Luego pruebe la página en un perfil de navegador limpio y compare el resultado con el aviso de privacidad. Si el navegador aún muestra llamadas de terceros no planificadas, identificadores persistentes o datos de cadenas de consulta después del rechazo, la historia de cumplimiento no ha terminado.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Flowsery
Analítica orientada a ingresos para tu sitio web
Rastrea cada visitante, fuente y conversión en tiempo real. Simple, potente y totalmente conforme con el RGPD.
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Artículos relacionados
Una guía práctica de retención de datos en Google Analytics
Aprende cómo retención de datos en Google Analytics afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de Google Analytics y privacidad
Aprende cómo Google Analytics y privacidad afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de ¿Cumplen Google Analytics y GA4 con el
¿Cumplen Google Analytics y GA4 con el RGPD? Análisis legal completo explica por qué el cumplimiento de GA4 depende del consentimiento, la configuración, las funciones publicitarias, los contratos, la base de transferencia y los datos que envías.