Una guía práctica de recopilación de datos de Google Analytics

Esta guía explica recopilación de datos de Google Analytics de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.

Google Analytics recopila datos de los usuarios mediante etiquetas, cookies, identificadores, parámetros de evento, información del dispositivo e integraciones con otros productos de Google. GA4 se diferencia de Universal Analytics en varios aspectos importantes, pero sigue siendo un sistema de analítica construido en torno a eventos de medición e identificadores.

Para los equipos de privacidad, la pregunta práctica no es si GA4 es "bueno" o "malo". Es qué recopila tu implementación, qué funciones están habilitadas, hacia dónde fluyen los datos y si la configuración encaja con tu base lícita y con las expectativas de los visitantes.

La etiqueta inicia la recopilación

En los sitios web, Google Analytics suele empezar con una etiqueta de Google o un contenedor de Google Tag Manager. Cuando se carga la página, la etiqueta puede enviar eventos como visualizaciones de página, scrolls, clics salientes, descargas de archivos, interacciones con formularios e interacción con vídeo según la configuración.

Google indica que la recopilación predeterminada en GA4 incluye número de usuarios, estadísticas de sesión, geolocalización aproximada, información de navegador y dispositivo y eventos de medición mejorada cuando están habilitados (recopilación de datos de GA4). Esa lista predeterminada ya es más amplia que un simple contador de páginas.

Cookies y client IDs

GA4 almacena un client ID en una cookie de primera parte _ga para distinguir usuarios y sesiones únicas, salvo que se desactive el almacenamiento de analítica mediante el modo de consentimiento. Google indica que Analytics usa cookies de primera parte e IDs de instancia de aplicación para medir las interacciones del usuario (salvaguardas de Google Analytics).

El client ID es seudónimo, pero puede seguir siendo un dato personal cuando individualiza un navegador a lo largo del tiempo o puede vincularse con otros datos. Vincula visualizaciones de página, eventos, conversiones y visitas de campaña en un registro conductual.

Dirección IP y ubicación

Google indica que GA4 no registra ni almacena las direcciones IP. Usa las direcciones IP para derivar la ubicación y para la seguridad del servicio, y después no almacena la IP en bruto en los informes de GA4 (salvaguardas de Google Analytics).

Esa es una mejora real de privacidad respecto a patrones de analítica más antiguos, pero no convierte al conjunto de datos en anónimo. Los datos del dispositivo, los client IDs, las secuencias de eventos, el User ID, Google Signals y las integraciones publicitarias pueden seguir generando datos personales.

Información del dispositivo y del navegador

GA4 puede recopilar navegador, categoría del dispositivo, sistema operativo, resolución de pantalla, idioma e información similar. Estas dimensiones ayudan a los equipos a entender el comportamiento entre móvil y escritorio, los problemas de navegador y las necesidades de localización. También pueden contribuir a la identificabilidad cuando se combinan con otros campos.

Por eso las revisiones de privacidad deberían examinar la carga útil completa del evento y no solo las cookies.

Eventos y parámetros

GA4 está basado en eventos. Todo es un evento: visualizaciones de página, compras, clics, pasos de formulario, búsquedas, inicios de sesión y acciones personalizadas. Cada evento puede incluir parámetros.

Esa flexibilidad es potente y peligrosa. Los equipos suelen enviar accidentalmente datos personales a través de:

• URLs de página que contienen correos, tokens o términos de búsqueda
• Valores de campo de formulario capturados como parámetros de evento
• Dimensiones personalizadas con IDs de cliente o nombres de cuenta
• Nombres de archivo que revelan contenido sensible
• Campos internos de depuración que identifican usuarios

Las políticas de Google Analytics prohíben enviar información personalmente identificable a Analytics, pero la prevención es responsabilidad tuya. Sanea las URLs, evita propiedades de evento de texto libre y revisa las dimensiones personalizadas antes del lanzamiento.

Google Signals y funciones publicitarias

Cuando Google Signals está habilitado, Google indica que Analytics puede usar datos de usuarios de Google con sesión iniciada que tengan activada la personalización de anuncios para apoyar el remarketing, las funciones de informes publicitarios y los datos demográficos e intereses (documentación de Google Signals).

Esto cambia el perfil de privacidad. Una herramienta de medición se conecta con la identidad publicitaria y con los informes entre dispositivos. Si tu negocio no necesita remarketing ni informes demográficos, desactivar Google Signals supone una reducción significativa del riesgo.

El modo de consentimiento cambia el comportamiento, no la necesidad de gobierno

El modo de consentimiento puede ajustar el comportamiento de la etiqueta de Google según el consentimiento. En modo básico, las etiquetas se bloquean hasta que haya consentimiento. En modo avanzado, las etiquetas pueden enviar pings sin cookies mientras el consentimiento esté denegado, que Google puede usar para modelado (configuración del modo de consentimiento).

Esto no sustituye al análisis de privacidad. Tu equipo aún debe decidir si el modo avanzado es apropiado, cómo lo explica el banner, si las normas locales de ePrivacy permiten el almacenamiento o acceso asociados y cómo deben reportarse internamente los datos modelados.

Transferencia internacional y preguntas al proveedor

Los datos de GA4 pueden involucrar a entidades de Google, ubicaciones de tratamiento, subprocesadores y mecanismos de transferencia. El Marco UE-EE. UU. de Privacidad de Datos proporciona actualmente una vía de adecuación para empresas estadounidenses certificadas, pero las organizaciones deberían igualmente revisar las condiciones del proveedor, los acuerdos de tratamiento y el contexto de transferencia (Comisión Europea sobre transferencias UE-EE. UU.).

El estatus legal de un mecanismo de transferencia no elimina la necesidad de minimización de datos, consentimiento válido cuando proceda y avisos transparentes.

Configuración de GA4 más segura

Si mantienes GA4, reduce el radio de impacto:

• Pon las etiquetas detrás de un CMP correctamente configurado cuando sea necesario
• Desactiva Google Signals salvo que haya una necesidad concreta
• Evita la personalización de anuncios por defecto
• No envíes el User ID sin revisión legal
• Elimina datos personales de las URLs
• Mantén los parámetros de evento categóricos y mínimos
• Revisa los ajustes de medición mejorada
• Limita la retención de datos
• Controla las exportaciones a BigQuery y los permisos de acceso
• Documenta qué recopila cada evento personalizado

Alternativa con privacidad por delante

Muchos sitios usan GA4 porque les resulta familiar, no porque necesiten todo su ecosistema de identidad y publicidad. Si tus requisitos reales son tráfico, fuentes de tráfico, campañas, objetivos, descargas de archivos y embudos, una configuración de analítica sin cookies puede responder a las mismas preguntas de negocio con menos datos personales.

Google Analytics puede configurarse con más cuidado que muchas instalaciones por defecto, pero sigue siendo un sistema complejo. Cuantas más funciones habilites, más gobierno necesitarás. La analítica con privacidad por delante parte del supuesto contrario: recopila el mínimo de datos necesario para tomar decisiones y añade solo lo que puedas justificar.

Documenta tu configuración real

El riesgo de GA4 depende mucho de los ajustes. Mantén un registro breve de los streams habilitados, las opciones de medición mejorada, el modo de consentimiento, el estado de Google Signals, las cuentas vinculadas de Google Ads, las dimensiones personalizadas, los ajustes de retención y los destinos de exportación. Este documento ayuda a que legal, marketing e ingeniería discutan sobre la misma implementación en lugar de debatir una versión abstracta de Google Analytics.

Lista de revisión de la recopilación

Revisa GA4 como una implementación, no como un producto abstracto. Registra eventos predeterminados, eventos de medición mejorada, parámetros personalizados, comportamiento de cookies, modo de consentimiento, Google Signals, personalización de anuncios, User-ID, exportación a BigQuery, medición entre dominios, ajustes regionales y retención. Después inspecciona las cargas reales de red y el almacenamiento del navegador antes del consentimiento, tras el rechazo y tras la aceptación.

Usa el inventario para separar el consentimiento de almacenamiento/acceso de ePrivacy de la base lícita del RGPD para el tratamiento posterior. Una configuración puede no tener cookies y, aun así, tratar datos personales, y un identificador seudónimo puede seguir requiriendo controles aunque no sea PII directa.