La privacidad de los datos es un tema crucial en la era digital, especialmente para empresas que operan en la Unión Europea (UE). Con la introducción de Google Analytics 4 (GA4), surge la pregunta de si esta nueva versión de la herramienta de análisis de Google cumple con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Este artículo explora los principales aspectos de GA4 en relación con la RGPD, evaluando su conformidad y situación actual, además de recopilar los problemas legales por incumplimiento normativo que han ido surgiendo en varios países y las implicaciones que han tenido para las organizaciones públicas y privadas.
¿Qué aspectos tenemos que considerar de Google Analytics 4?
Google Analytics 4 es la última versión de la popular herramienta de análisis web de Google. A diferencia de su predecesor, Universal Analytics, GA4 está diseñado para centrarse en el análisis de eventos y ofrecer una visión más completa del recorrido del usuario a través de múltiples plataformas y dispositivos. Este enfoque en los datos de eventos permite a las empresas obtener información más detallada sobre el comportamiento del usuario.
En el pasado ya surgieron problemas con Google Analytics a la hora de garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Dado el historial, las empresas privadas y administraciones públicas se plantean si esta nueva versión de la herramienta de Google volverá a repetir los mismos errores o si finalmente cumplirá con la RGPD de Europa.
¿Qué es la RGPD?
El Reglamento 2016/679, o también conocido como la RGPD, es una legislación de la UE diseñada para proteger la privacidad y los datos personales de los ciudadanos europeos. Esta ley entró en vigor el 25 de mayo de 2018 y establece estrictos requisitos para la recopilación, procesamiento y almacenamiento de datos personales.
Las principales áreas de enfoque de la RGPD incluyen el consentimiento del usuario, el derecho de acceso y rectificación, y la obligación de informar sobre violaciones de datos.
Características y cumplimiento de la RGPD
GA4 introduce varias características nuevas que mejoran la capacidad de análisis de las empresas, a la vez que busca cumplir con la RGPD. Entre estas características se incluyen el análisis basado en eventos, la integración con Google Ads, modelos predictivos y herramientas de privacidad y control de datos.
Asimismo, uno de los cambios más significativos es el anonimato automático de las direcciones IP de los usuarios, lo que significa que estas no se almacenan en los registros. Además, GA4 permite a las empresas configurar períodos de retención de datos personalizados, facilitando la eliminación de datos antiguos y cumpliendo así con las normativas de retención de datos de la RGPD.
También ofrece herramientas para gestionar el consentimiento del usuario, asegurando que solo se recopilen datos de usuarios que hayan dado su consentimiento explícito. Google proporciona documentación clara sobre cómo se utilizan y procesan los datos en GA4, ayudando a las empresas a cumplir con los requisitos de transparencia de la RGPD.
Algunos de estos requisitos son:
- Consentimiento explícito: las empresas deben obtener el consentimiento claro y explícito de los usuarios antes de recopilar sus datos personales.
- Derecho al olvido: los usuarios tienen el derecho de solicitar que sus datos sean eliminados.
- Transparencia y acceso: las empresas deben ser transparentes sobre cómo se utilizan los datos y proporcionar acceso a los usuarios a sus propios datos.
- Seguridad de los datos: las empresas deben implementar medidas de seguridad adecuadas para proteger los datos personales.
RGPD: un marco legal estricto
Los problemas de incumplimiento normativo de Google Analytics comenzaron con la sentencia Schrems II que invalidó el escudo de privacidad 1.0. En ese momento, la UE exigió que los derechos de privacidad de sus ciudadanos fueran respetados por el gobierno estadounidense.
Como respuesta, varios países de la UE decidieron prohibir el uso de Google Analytics. Austria fue el primero en diciembre de 2021, seguido por Países Bajos y Francia en enero y febrero de 2022, respectivamente. Italia se sumó meses más tarde, convirtiéndose en el cuarto país en implementar esta prohibición. Asimismo, argumentaron que la recopilación y transferencia de datos de usuarios a EE.UU. no cumplía con las normas de protección de datos de la UE.
Los datos recolectados en cuestión, incluían la fecha y hora de la visita, información del navegador, dirección IP, resolución de pantalla, sistema operativo y preferencia de idioma del usuario. Además, las leyes de EE.UU. obligaban a Google a compartir estos datos con agencias de inteligencia si se les solicitaba, lo cual aumentó aún más la preocupación sobre el manejo de datos personales de ciudadanos europeos.
De esta forma, en 2023 el CNIL, organismo de protección de datos en Francia, publicó una guía actualizada sobre el uso de Google Analytics, reiterando que la práctica es ilegal y junto con el DSB (organismo austriaco de control de la protección de datos) declararon que el uso de Google Analytics viola el RGPD y que las empresas de la UE que sigan utilizando Google Analytics pueden ser multadas. De la misma forma, en Italia, la Garante per la Protezione dei Dati Personali recomendó a las empresas cambiar de herramienta y tomar medidas adicionales de protección de datos.
¿GA4 cumple la RGPD en Europa?
El año pasado, la UE y EEUU anunciaron un nuevo acuerdo en el que se establecería un nuevo Escudo de Privacidad, destacando que es un acuerdo político y no legal, y por lo tanto su validez y continuidad en el tiempo es dudosa.
Asimismo, se realizaron unas sesiones de preguntas y respuestas con los diferentes organismos de la UE, como el CNIL y la DBS, en las que se llegaron a las siguientes conclusiones y posibles medidas: el cifrado de los datos para su exportación, el uso de un servidor proxy y pedir el consentimiento explícito de los usuarios para las transferencias de datos, medida inviable porque tendría que ser a todos los usuarios europeos que emplean esta herramienta.
Desde el inicio del año 2024, el ecosistema digital de Google enfrenta dos cambios importantes en términos de privacidad:
- El primero, exige el uso de banners de cookies certificados como Plataformas de Gestión del Consentimiento (CMP) por Google y el Marco de Transparencia y Consentimiento (TCF) de IAB versión 2.2.
- El segundo, es la introducción de la Versión 2 del Modo de Consentimiento en Google Analytics 4.
Estas modificaciones buscan abordar los crecientes retos y exigencias regulatorias sobre la privacidad de los usuarios, especialmente en el Espacio Económico Europeo (EEE) y el Reino Unido.
¿Cuál es la situación en España?
En España, la Agencia Española de Protección de Datos (AEPD) decretó que a partir de enero de este año es obligatorio implementar las medidas establecidas en su nueva Guía de Cookies, actualizada conforme a las Directrices 03/2022 del Comité Europeo de Protección de Datos. Para este proceso, la AEPD ha colaborado con asociaciones del sector como Adigital, Anunciantes, Autocontrol e IAB Spain.
Desde el 1 de agosto de 2023, Google exige que las páginas web empleen el banner de cookies certificado por la IAB, y a partir del 16 de enero de 2024, las plataformas de Google, como Google AdSense, Ad Manager y AdMob, deberán implementar una CMP certificada por Google, integrada con el Marco de Transparencia y Consentimiento (TCF) de IAB Europe.
Este cambio implica que Google Ads dejará de pujar por fuentes de inventario personalizado en sitios y aplicaciones que no cumplan con este requisito.
Las empresas que operan en España deben estar especialmente atentas a las directrices de la AEPD, que enfatizan la necesidad de transparencia y el consentimiento claro y explícito de los usuarios.
Tech4access y la solución integral de cumplimiento RGPD con Siteimprove Analytics
En resumen, Google Analytics 4 incluye varias características diseñadas para ayudar a las empresas a cumplir con la RGPD como la anonimización de las IP, herramientas de consentimiento y controles de retención de datos. Sin embargo, a pesar de la actualización, el cumplimiento de la RGPD depende de un acuerdo que carece de validez legal y que no se puede determinar su continuidad en el tiempo, siempre pueden volver a producirse ilegalidades en el tiempo.
En Tech4access, como consultores expertos de soluciones y servicios innovadores de accesibilidad y usabilidad digital, trabajamos siempre con las soluciones que ofrecen mayor garantía de cumplimiento normativo para evitar que nuestros clientes puedan tener problemas, tanto en el presente como en el futuro. Por este motivo, ponemos a su disposición Siteimprove Analytics, que ofrece una alternativa robusta y completa frente a Google Analytics 4.
Se trata de una plataforma avanzada de análisis digital que no solo proporciona una visión detallada y en tiempo real del comportamiento del usuario, sino que también asegura el cumplimiento con las normativas de privacidad de datos, como el RGPD. Siteimprove Analytics incluye características como el almacenamiento seguro de datos, el seguimiento avanzado de eventos y objetivos, y soluciones integrales de marketing.
Si deseas saber más información al respecto para poder integrar a Siteimprove Analytics como la herramienta de análisis y optimización de tu web, no dudes en contactarnos.