Una guía práctica de identificadores de usuario

Esta guía explica identificadores de usuario de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Los identificadores de Google Analytics no son solo detalles técnicos de implementación. Son el mecanismo que permite a GA4 distinguir usuarios, conectar eventos en sesiones, alimentar funciones publicitarias y crear informes que parecen más precisos que los contadores agregados de páginas.

Para los equipos de privacidad, la pregunta clave no es si un identificador parece un nombre. Es si puede individualizar un navegador, dispositivo, instalación de aplicación, cuenta o persona. Bajo el RGPD, los identificadores en línea pueden ser datos personales cuando se relacionan con una persona identificable.

Eso no convierte a cada identificador analítico en "PII" en el sentido cotidiano estricto de nombre, correo electrónico, teléfono o dirección. Un Client ID suele ser seudónimo. Aun así merece controles porque los identificadores seudónimos pueden vincular comportamientos a lo largo del tiempo y pueden volverse identificables cuando se combinan con otros datos.

Client ID

Para los sitios web, Google indica que Analytics almacena un identificador de cliente en una cookie de origen denominada _ga para distinguir usuarios y sesiones únicos (recopilación de datos de GA4). Google también señala que los clientes pueden controlar si se utilizan cookies para almacenar un identificador de cliente seudónimo o aleatorio (garantías de Google Analytics).

Un Client ID es seudónimo, no anónimo. Puede no contener un nombre, pero puede vincular vistas de página y eventos del mismo navegador a lo largo del tiempo. Combinado con la ubicación derivada de la IP, información del dispositivo, rutas de página, datos de campaña y detalles de eventos, se convierte en un registro conductual.

User ID

User ID es opcional, pero más sensible. Permite a un sitio enviar su propio identificador para usuarios autenticados, de modo que Analytics pueda conectar la actividad entre dispositivos y sesiones. Si se implementa de forma descuidada, esto puede convertirse en un dato personal directo o en un identificador interno estable que facilita la reidentificación.

Nunca envíes direcciones de correo electrónico, nombres de usuario, números de teléfono o ID de CRM a Google Analytics como User ID o dimensiones personalizadas a menos que la revisión legal lo apruebe explícitamente. Las políticas de Google Analytics prohíben enviar información personalmente identificable a Analytics, y el riesgo de privacidad aumenta drásticamente cuando la analítica se vincula con datos de cuenta.

Session ID e identificadores de eventos

El modelo de eventos de GA4 agrupa las interacciones en sesiones y eventos. Los identificadores de sesión ayudan a los informes a calcular la interacción, las conversiones y los recorridos. Incluso cuando un único Session ID es de corta duración, aún puede revelar el comportamiento dentro de una visita: páginas vistas, archivos descargados, pasos de formulario alcanzados y clics salientes.

Eso importa en sitios sensibles. Una sesión que incluya visitas a páginas de salud mental, asistencia jurídica, política o médicas puede revelar más de lo que el usuario pretendía.

App Instance ID e identificadores móviles

Para las aplicaciones, Google indica que el SDK de Firebase genera y asigna automáticamente un identificador de instancia de aplicación a cada instancia de aplicación, y que el SDK puede recopilar identificadores móviles como el Android Advertising ID y el iOS Identifier for Advertisers cuando estén disponibles (recopilación de datos de GA4).

Los identificadores móviles plantean cuestiones adicionales de consentimiento y de políticas de plataforma. En iOS, el marco App Tracking Transparency de Apple puede requerir autorización del usuario para el seguimiento entre aplicaciones y sitios web propiedad de otras empresas. En Android, el comportamiento del advertising ID depende de la configuración y los permisos de la plataforma.

Google Signals

Google Signals es una consideración de privacidad independiente. Google indica que activar Google Signals puede habilitar el remarketing, las funciones de informes publicitarios y los datos demográficos e intereses de los usuarios que han iniciado sesión en cuentas de Google y que tienen activada la personalización de anuncios (documentación de Google Signals).

Eso puede ser útil para los anunciantes, pero acerca la analítica a la identidad publicitaria. Si no necesitas remarketing ni informes demográficos, desactivar Google Signals reduce el riesgo y simplifica la explicación en tu aviso de privacidad.

Direcciones IP y ubicación

Google indica que GA4 no registra ni almacena direcciones IP, y que utiliza las direcciones IP para fines como derivar la ubicación y proteger el servicio (garantías de Google Analytics). Ese es un control significativo, pero no convierte en anónimo el resto del conjunto de datos analíticos. Los Client ID, las secuencias de eventos, los datos del dispositivo y las funciones vinculadas a cuentas todavía pueden ser datos personales.

Evita el error común de afirmar que "GA4 es anónimo porque no se almacenan las direcciones IP". La ley de privacidad considera todo el conjunto de datos y la identificabilidad razonable, no solo un campo.

Por qué los identificadores plantean cuestiones de consentimiento

En Europa, almacenar identificadores en un dispositivo o acceder a ellos puede activar las normas de consentimiento de cookies de la Directiva ePrivacy. El RGPD rige entonces el tratamiento de datos personales que sigue. Son cuestiones relacionadas pero distintas: ePrivacy puede requerir consentimiento para el mecanismo de almacenamiento o acceso, mientras que el RGPD requiere una base legal para el tratamiento posterior. Esa base legal suele ser el consentimiento para publicidad o creación de perfiles, pero no es exacto decir que cada identificador siempre requiere consentimiento del RGPD en cada configuración.

El consentimiento válido, cuando se utiliza, debe ser otorgado libremente, específico, informado e inequívoco, como explica el CEPD (orientación del CEPD sobre el consentimiento).

Si GA4 está configurado con funciones publicitarias, retención prolongada, User ID o Google Signals, la carga de consentimiento y transparencia aumenta. Si solo está configurado para una medición limitada detrás de una CMP, el riesgo puede ser menor, pero no nulo.

Lista de verificación de configuración más segura

Para los equipos que conservan GA4, considera estos controles:

• Desactivar Google Signals salvo que sea específicamente necesario
• No habilitar la personalización de anuncios por defecto
• No enviar User ID salvo que sea necesario y revisado
• No enviar nunca correos electrónicos u otros identificadores directos
• Eliminar los datos personales de las URL antes de rastrear
• Mantener las propiedades de los eventos categóricas y mínimas
• Usar el Modo de Consentimiento con cuidado y comprender el modo básico frente al avanzado
• Acortar la retención de datos cuando sea posible
• Excluir el tráfico interno
• Revisar las exportaciones vinculadas a Google Ads y BigQuery

Para los equipos que solo necesitan rendimiento del sitio web, campañas y conversiones, considera una analítica que priorice la privacidad y que evite por completo los identificadores persistentes.

Lista de verificación de auditoría de identificadores

Separa los identificadores directos, los identificadores en línea seudónimos y las métricas agregadas. Registra si están habilitados la medición mejorada, Google Signals, la personalización de anuncios, el User-ID, la exportación a BigQuery, el Modo de Consentimiento, la medición entre dominios y los ajustes específicos por región. Para cada identificador, documenta su propósito, vida útil, ubicación de almacenamiento, base legal, dependencia del consentimiento y si sale de tu organización.

Mantén GA4 solo donde el ecosistema de anuncios o informes de Google justifique el coste de privacidad, consentimiento y mantenimiento. Para páginas básicas, fuentes de referencia, campañas, objetivos y embudos agregados, una analítica que priorice la privacidad puede responder a la pregunta con menos identificadores.

La conclusión

Los identificadores son lo que convierten la analítica de un recuento agregado en una medición conductual. A veces eso está justificado. A menudo es más de lo que un sitio de marketing necesita.

Antes de habilitar otro identificador, pregúntate qué decisión respalda. Si la respuesta es vaga, déjalo desactivado. La pila de analítica más limpia es aquella que mide los resultados sin acumular identidad.

Audita las dimensiones personalizadas

Las dimensiones personalizadas son donde entran muchos problemas de privacidad de GA4. Revisa cada dimensión y parámetro en busca de identificadores directos, IDs internos, texto libre y contexto sensible. Si una propiedad solo es útil para identificar a una persona o cuenta, probablemente pertenezca a un CRM o a una base de datos de producto con controles de acceso más estrictos, y no a un informe de analítica de marketing.