Una guía práctica de Requisitos de la política de privacidad al
TL;DR — Respuesta rápida
5 min de lecturaUn sitio que utilice Google Analytics debería divulgar qué datos se recopilan, qué cookies o identificadores se utilizan, por qué Google recibe los datos, cómo pueden los usuarios optar por excluirse y si aplican funciones publicitarias o transferencias internacionales.
Esta guía explica Requisitos de la política de privacidad al de forma práctica, con un enfoque en decisiones de analítica respetuosas con la privacidad.
Si tu sitio web utiliza Google Analytics, tu política de privacidad no puede limitarse a decir "usamos cookies para mejorar el sitio". Necesita explicar el flujo de datos real con la claridad suficiente para que los visitantes y los reguladores entiendan lo que ocurre.
La redacción exacta depende de tu jurisdicción, tu configuración y los enlaces con productos de Google. Una configuración mínima de GA4 es distinta de una configuración de GA4 conectada a Google Ads, remarketing, modo consentimiento, IDs de usuario y eventos de comercio electrónico.
Qué recopila Google Analytics
Empieza por las categorías, no por la jerga. Según la configuración, Google Analytics puede recibir:
- URL y títulos de página.
- Información del referido.
- Información del dispositivo y del navegador.
- Ubicación aproximada derivada de la dirección IP.
- Identificadores de cookies o de aplicación.
- Datos de eventos como clics, registros, compras o descargas.
- Parámetros de campaña.
- Detalles de transacciones de comercio electrónico.
Google indica que las etiquetas JavaScript de GA4 utilizan cookies propias como _ga y _ga_
Divulga las finalidades
Explica por qué utilizas GA:
- Medir el tráfico del sitio web.
- Entender qué páginas son más populares.
- Analizar el rendimiento de campañas.
- Medir conversiones.
- Mejorar el rendimiento del sitio.
- Publicidad o remarketing, si están habilitados.
No incluyas finalidades que no sean ciertas. Si los datos de GA están vinculados a Google Ads, audiencias o remarketing, dilo aparte de la analítica básica.
Las funciones publicitarias requieren divulgación adicional
La política de funciones publicitarias de Google indica que los sitios que utilizan funciones publicitarias de Google Analytics deben divulgar qué funciones usan, cómo se utilizan conjuntamente los identificadores propios y de terceros y cómo pueden los visitantes optar por excluirse.
Algunos ejemplos de funciones publicitarias incluyen el remarketing, las funciones de informes publicitarios, los informes demográficos y de intereses, o las integraciones que utilizan datos de Analytics para anuncios.
Si no necesitas estas funciones, deshabilitarlas puede simplificar tu política y reducir el riesgo.
No envíes PII
Tu política no debería prometer seguridad mientras tu implementación filtra datos personales. Google prohíbe a los clientes enviar información de identificación personal a Google Analytics, como se describe en Salvaguardar tus datos.
Audita en busca de PII accidental:
- Direcciones de correo electrónico en URL.
- Nombres en rutas de página.
- Términos de búsqueda que contengan datos personales.
- Valores de campos de formulario en eventos.
- IDs de cuenta en dimensiones personalizadas.
- Detalles sanitarios o financieros en etiquetas de eventos.
Si descubres una recopilación accidental, revisa la documentación sobre solicitudes de eliminación de datos de Google y corrige el origen de la fuga.
Explica el consentimiento y las opciones de exclusión
En Europa, las cookies de analítica suelen requerir consentimiento bajo las normas de ePrivacy salvo que aplique una excepción restringida. Tu política debería explicar cómo pueden los usuarios aceptar, rechazar o retirar el consentimiento. El banner debería bloquear las etiquetas antes del consentimiento cuando sea necesario.
Google también ofrece controles de exclusión y publicidad. Si utilizas funciones publicitarias, enlaza a las herramientas de exclusión de Google relevantes, como My Ad Center o el complemento del navegador de exclusión de Google Analytics, cuando proceda.
Flowsery
Prueba gratuita
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Explica las transferencias internacionales
Si los visitantes están en el EEE, el Reino Unido o Suiza, explica si los datos pueden transferirse internacionalmente y qué mecanismo de transferencia aplica. El Marco UE-EE. UU. de Privacidad de Datos puede ser relevante para las organizaciones estadounidenses que participan, pero tu política debería coincidir con tus condiciones reales con el proveedor y tu configuración.
No copies texto antiguo de Schrems II sin revisar la base de transferencia actual.
Ejemplo de estructura de política
Una sección clara sobre Google Analytics puede incluir:
- Para qué se utiliza Google Analytics.
- Categorías de datos recopilados.
- Cookies o identificadores utilizados.
- Si están habilitadas las funciones publicitarias.
- Si los datos se comparten con Google Ads u otros productos de Google.
- Cuánto tiempo se conservan los datos o dónde pueden los usuarios obtener más información.
- Cómo pueden los usuarios optar por excluirse o retirar el consentimiento.
- Información sobre transferencias internacionales.
- Una declaración de que no envías PII intencionadamente a Google Analytics.
Mejor alternativa: evitar la carga de divulgación
Si utilizas analítica privada sin cookies, tu política se vuelve más corta y clara. Puedes explicar que mides páginas vistas agregadas, referidos, campañas y conversiones sin cookies, identificadores personales ni perfiles publicitarios.
Eso suele ser más fiable que una política larga que intenta justificar una pila de rastreo complicada.
Cláusula de ejemplo en lenguaje claro
Una sección sencilla podría decir:
"Usamos Google Analytics para entender cómo los visitantes utilizan nuestro sitio web, como qué páginas se visitan, qué campañas atraen tráfico y si los formularios se completan. Google Analytics puede usar cookies o identificadores similares y puede recibir información técnica como la URL de la página, el navegador, el dispositivo, la ubicación aproximada y el referido. Cuando se requiere, solo cargamos Google Analytics tras el consentimiento. No enviamos intencionadamente nombres, direcciones de correo electrónico, contenidos de formularios u otra información directamente identificativa a Google Analytics."
Si están habilitadas las funciones publicitarias, añade un párrafo aparte que explique el uso publicitario y la vía de exclusión. No ocultes el remarketing dentro de una frase genérica de analítica.
Mantén la política sincronizada con la realidad
Revisa la política cada vez que alguien cambie Google Tag Manager, vincule GA4 a otro producto de Google, añada eventos de comercio electrónico, cambie el modo consentimiento o lance un nuevo formulario. Las políticas de privacidad a menudo se vuelven inexactas porque los cambios de rastreo se tratan como operaciones de marketing en lugar de cambios de privacidad.
No prometas de más
Evita decir que los datos son anónimos a menos que estés seguro de que la implementación es realmente anónima bajo la legislación aplicable. Los identificadores de cookies seudónimos, los datos derivados de la IP y los historiales de eventos aún pueden estar relacionados con una persona identificable. Usa una redacción precisa: informes agregados, identificadores de cookies, ubicación aproximada o IDs de analítica seudónimos, según lo que sea cierto.
Un lenguaje claro es más seguro que un lenguaje tranquilizador.
Si la implementación es lo bastante compleja como para que nadie pueda explicarla con claridad, esa es una señal para simplificar la pila de rastreo antes de reescribir la política otra vez.
Lista de verificación de revisión de la política de GA
Antes de publicar la redacción de Google Analytics, verifica la implementación en lugar de copiar una plantilla. Confirma los eventos recopilados, si se utilizan cookies o identificadores, qué enlaces con productos de Google están habilitados, si las funciones publicitarias están activas, cómo funciona el consentimiento y cuándo expiran los datos a nivel de evento.
Después prueba el sitio en un perfil de navegador limpio. Si GA se carga antes del consentimiento donde se requiere consentimiento, recibe datos personales en URL o envía eventos que la política no explica, corrige el rastreo antes de pulir la cláusula.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Flowsery
Analítica orientada a ingresos para tu sitio web
Rastrea cada visitante, fuente y conversión en tiempo real. Simple, potente y totalmente conforme con el RGPD.
Panel en tiempo real
Seguimiento de objetivos
Rastreo sin cookies
Artículos relacionados
Una guía práctica de analítica centrada en la privacidad
Aprende cómo analítica centrada en la privacidad afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de 7 principios del RGPD
Aprende cómo 7 principios del RGPD afecta a la analítica respetuosa con la privacidad, la calidad de medición y las decisiones prácticas del sitio web.
Una guía práctica de Comprensión de las cookies del navegador
Comprensión de las cookies del navegador: una guía completa para principiantes que cubre los tipos de cookies, las clasificaciones legales, las reglas de privacidad y su función en el análisis y el seguimiento de aplicaciones.