Analítica web y el RGPD: Google Analytics y Matomo
La analítica web se ha convertido en un instrumento central para el marketing online. La mayoría de páginas web utilizan herramientas de seguimiento como Google Analytics o Matomo (antes Piwik) para entender el comportamiento de los usuarios en ellas, ya que los datos generados permiten extraer evidencias que se pueden utilizar para mejorar la usabilidad de las páginas o diseñar los procesos de forma más eficiente. Y si, por un lado, el comercio electrónico no se puede imaginar un mundo sin analítica web, el sector crítico, por el otro, enciende la alarma de la protección de la privacidad del usuario.
El temor que sustenta esta oposición es precisamente la falta de conocimiento del usuario sobre los datos que se recolectan y con qué finalidad se hace. El trato de los datos personales, con los cuales se crean perfiles de usuario con los que se pueden sacar conclusiones acerca del cliente individual, presenta la mayor fuente de conflicto. Con ello, tanto las empresas como los proveedores de páginas web deben obtener más datos sobre los clientes. Sin embargo, es posible realizar un análisis web con las herramientas disponibles respetando la normativa vigente. Eso sí, han de cumplirse ciertas condiciones que generalmente requieren una intervención en el código de la herramienta.
Con el saldo inicial de cada tarifa puedes usar el servidor cloud de IONOS durante 1 mes de forma gratuita (o hasta que se agote el saldo) y disfrutar de la combinación perfecta de rendimiento y seguridad.
Marco legal para el seguimiento estadístico
En principio no hay nada que prohíba la evaluación de la actividad de los usuarios en una página web si cumple con la normativa vigente a propósito de la protección de los datos.
El fundamento legal en la Unión Europea está establecido Reglamento General de Protección de Datos (RGPD), de acuerdo con el que la creación de perfiles de usuario solo está permitida si se realiza de forma anónima, como por ejemplo mediante pseudónimos. Con ello, cuando los datos personales pueden identificar al usuario de una página web de forma clara e inequívoca, no se pueden guardar sin el permiso explícito del afectado.
Esto también afecta a las direcciones IP dinámicas, al ser capaces de localizar geográficamente al usuario, lo que ha dado lugar a determinar, también en los casos en que se registre la dirección IP del usuario, la necesidad de la autorización por su parte.
Esto dificulta la labor de aquellos administradores de páginas web que quieren estudiar las métricas de los usuarios con ayuda de soluciones comunes en el sector porque todas las herramientas de seguimiento, en su configuración estándar, no solo registran la dirección dinámica del usuario, sino que también implantan cookies que toman nota de su comportamiento en la web. Una utilización respetuosa con la protección de datos solo sería posible una vez hecho acopio de la autorización del internautausuario de Internet.
El RGPD le da gran importancia a la información de los usuarios. Para los gestores de páginas web esto significa que deben dejarles claro a sus visitantes qué datos almacenan y con qué finalidad. En este sentido, las declaraciones de consentimiento generales y exhaustivas son también un tabú. Si se necesitan datos diferentes para diversos objetivos, se debe pedir el consentimiento de los usuarios por separado para cada uso previsto. Tampoco está permitido, como hasta ahora, asumir un consentimiento silencioso. Según el RGPD, si el usuario no da su opinión acerca de si se pueden almacenar sus datos personales, esto es considerado como un rechazo, algo que también es de aplicación para las cookies.
Con el nuevo Reglamento General de Protección de Datos, en el caso concreto que nos ocupa, la Ley de cookies tanto para Google Analytics como para Matomo debe adaptarse a dicho texto legal.
Opciones de análisis web conforme al RGPD
En general, a la hora de llevar a cabo tareas de analítica web de conformidad con el Reglamento General de Protección de Datos, los administradores se encuentran ante una disyuntiva de caminos:
- Un análisis web autorizado de forma explícita
- Un análisis web anónimo (sin necesidad de autorización)
Aquellos propietarios de páginas web que solicitan la confirmación previa del usuario para la creación de perfiles de usuarios sobre la base de cookies analíticas actúan del lado de la ley. Esta autorización debería mostrarse al usuario en el mismo momento de abrirse la página y la decisión del usuario ha de tomarse libre y claramente. En este caso no basta con incluir este consentimiento en las condiciones generales, sino que debería tomar la forma, por ejemplo, de una ventana emergente. Si el usuario confirma el uso de sus datos personales para elaborar un perfil de usuario, el administrador ha de protocolizar esta autorización y guardarla de forma que sea accesible al usuario en todo momento.
Además, los usuarios también deben poder revocar su consentimiento en cualquier momento. Esta revocación debe poder realizarse de manera tan simple como se otorga el consentimiento. Tan pronto como el usuario cambie de opinión y, así se lo comunique al gestor de la página web, será necesario detener el procesamiento de los datos. Los datos hasta ahora ya recopilados y almacenados no tienen que eliminarse, a menos que el usuario así lo exija.
El RGPD les exije a los proveedores de páginas web que vuelvan a pedir el consentimiento de los usuarios cada seis meses, de modo que los consentimientos de los usuarios deberán tener fecha y hora. Solo así es posible que el sistema de análisis web pueda realizar su trabajo correctamente y conforme a la ley vigente.
Asimismo, el RGPD les otorga a los usuarios el derecho a la información, con lo que estos tienen conocimiento sobre los datos que se almacenan. Para los gestores de páginas web es importante poder acceder a dichos datos en cualquier momento. Además, el Reglamento concede 30 días para tramitar las solicitudes y también es relevante el hecho de que el proveedor de análisis web y otros proveedores de servicios externos no están autorizados para evaluar los datos por sí mismos, ya que los usuarios no han dado su consentimiento para ello. Generalmente, el consentimiento se le concede al propio gestor de la página web.
Sin duda, recolectar el permiso de todos y cada uno de los usuarios que visitan una página supone un volumen extra de trabajo para los administradores, al mismo tiempo que aumenta el riesgo de abandono. En la práctica, rara vez se solicita el consentimiento para la protección de datos. En su lugar, la alternativa la representa el análisis web anonimizado. La información recolectada con este fin al visitar una página web se ha de almacenar separada de datos personales como la dirección IP, el nombre o los datos bancarios. Si más tarde se quieren unificar las bases de datos, también es necesario disponer del permiso explícito.
Si no se tiene la seguridad de si los datos que se recopilan son anónimos y personales, es necesario ser precavido. La legislación solo habla de datos anónimos si no es posible asignárselos a una persona.
Para cumplir con el RGPD también se puede recurrir aEl método de la máscara de IP o IP Masking, con el cual se ocultan las últimas cifras de la IP ya en el momento del registro. Debido a que, por lo general, la mayoría de herramientas de análisis registran las direcciones al completo de forma automática para procesarlas, por ejemplo, en el marco de la geolocalización, llevar a cabo un análisis anonimizado con estas herramientas requiere en la mayoría de los casos una configuración extra. En la parte final de este artículo mostramos cómo hacerlo en Google Analytics y Matomo.
Al recurrir al análisis web, es necesario tener en cuenta los siguientes puntos:
Opt in
El consentimiento para el tratamiento de los datos personales debe obtenerse a través del método de opt in. En este caso no puede recurrirse ni al consentimiento silencioso ni al opt out. Hasta que los usuarios no den su consentimiento explícito, no puede almacenarse ningún dato personal, lo que también significa que dichos datos no se recolectan directamente cuando se visita la página, sino que el almacenamiento solo está permitido después de darse el consentimiento.
Debido a que el RGPD entró en vigor recientemente y todavía no se han formulado todos sus detalles de forma unívoca, aún existe cierta incertidumbre. Así, no hay un acuerdo, por ejemplo, sobre si el opt in también es necesario para la analítica web en su totalidad, por lo que es probable que los futuros procesos judiciales aclaren cómo debe interpretarse el RGPD en detalle.
Obligación de informar
Esta obligación entra en juego tan pronto como se usan técnicas de seguimiento y tiene como objeto informar al usuario de que su navegación va a ser evaluada en forma de perfiles de usuario, en qué medida se va a hacer y con qué objetivo. Esta declaración ha de estar disponible en todo momento y ser accesible desde todas las páginas de la web. Se recomienda, por esto, enlazarla en algún lugar siempre visible, como el pie de página.
Derecho de revocación
Otro requisito para realizar un análisis web de conformidad con la protección de datos es el derecho de oposición. Los usuarios deben tener la posibilidad en cualquier momento de revocar su consentimiento previo con la misma facilidad con la que lo dieron, tras lo que cesará la captación de datos personales.
Cómo cumplir el RGPD con Google Analytics y Matomo
Según el RGPD, los desarrolladores de las herramientas de seguimiento establecidas deben esforzarse por adaptar sus páginas web a la normativa de protección de datos, por lo que, en principio, es responsabilidad de los administradores de las páginas web ocuparse de que se cumplan las condiciones legales del análisis web.
A continuación, te mostramos cómo se lleva a cabo en la práctica la configuración adecuada tanto de Google Analytics como de Matomo.
Ajustes en Google Analytics
Google, el gran recopilador de datos, ha adaptado su servicio de analítica web al nuevo Reglamento europeo, de modo que sus usuarios deben realizar los siguientes ajustes para que sus métodos de análisis web sean acordes a las políticas de protección de datos actuales.
Dirección IP anónima
Para superar algunas debilidades de la configuración predeterminada que impiden el uso acorde con el RGPD de Google Analytics, la herramienta ofrece algunas extensiones de software que permiten controlar la manera en que Google recaba información. La función “anonymizeIp” permite a los administradores de páginas web, una vez la han integrado manualmente en el código, solicitar que las direcciones IP de sus usuarios permanezcan anónimas. En las páginas de Ayuda de Analytics de Google encuentras información técnica al respecto.
Hoy se usa la herramienta de dos maneras y, en función de si utilizas los métodos clásicos de análisis o Universal Analytics, el código se complementa con las siguientes líneas:
- Analítica clásica: la extensión se integra mediante la función _anonymizelp de la biblioteca de JavaScript ga.js:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])
- Universal Analytics: recurre a la biblioteca JavaScript analytics.js y utiliza la función ga('set', 'anonymizeIp', true)
ga('create', 'UA-XXXXXXX-X', 'ejemplo.es');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
En ambas variantes, el último octeto de una dirección IPv4 se substituye por 0, mientras que en el caso de direcciones IPv6 la máscara de IP incluye los últimos 80 bit.
Declaración de protección de datos y derecho de revocación
Según indican las condiciones de uso de Google Analytics, los propietarios de sitios web están obligados a hacer referencia a la utilización del software de seguimiento y cómo y en qué medida se recaban los datos. Esta misma declaración también se pone de manifiesto en el RGPD y ha de dejar abierta al mismo tiempo la posibilidad de la revocación por parte del usuario. Para ello se recomienda enlazar a la extensión de navegador de Google que inhabilita Google Analytics.
Borrar datos antiguos
Los los datos personales que no se adecúen al RGPD en Google Analytics han de ser eliminados sin excepción. Para ello se recomienda la creación de una cuenta nueva en la plataforma para la página web en cuestión.
Configuración de Matomo (antes Piwik)
También en este caso hay que realizar algunos ajustes para adecuarse al RGPD, aunque, a diferencia de la herramienta de Google, este software de código abierto, ahora conocido como Matomo y que antes se llamaba Piwik, no almacena los datos recabados en su servidor, sino que se almacenan en el del cliente en una base de datos propia (MySQL) y no se comparten con terceros.
Anonimizar las direcciones IP
En la configuración estándar, Matomo tiene que llevar a cabo la anonimización de direcciones IP, pero para asegurarse de que la configuración es correcta, compruébalo en el apartado de Administration, donde también podrás establecer el número de bytes (entre uno y tres) que tienen que anonimizarse.
Almacenamiento de datos
Matomo permite eliminar la totalidad de los datos regularmente, por ejemplo después de 6 meses. En el punto correspondiente del menú de Administration también pueden eliminarse los datos antiguos en caso de que estos no se correspondan con el RGPD. Puedes encontrar más información en las FAQ oficial de Matomo.
Protección de datos y revocación
Matomo ofrece la posibilidad de no aceptar el rastreo en el marco de la declaración de protección de datos mediante un iFrame de opt out, disponible en su página oficial:
<iframe frameborder="no" width="600" height="200" src="http://ejemplo.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>
Matomo respeta, además, la preferencia “Do not track”, que muchos navegadores ya llevan incluidos por defecto, siempre que no esté desactivada.
Por favor, ten en cuenta el aviso legal relativo a este artículo.