El 10 de febrero, la agencia francesa de protección de datos CNIL emitió una declaración exigiendo a un administrador de páginas web francés que cumpla con el Reglamento General de Protección de Datos (GDPR) y, si es necesario, que deje de utilizar Google Analytics en su configuración actual.

 

Muchos de nuestros clientes, socios y prospectos se preguntan sobre las implicaciones de esta decisión (y otras decisiones como la de la ADP) y buscan respuestas, por lo que nos hemos asociado con la plataforma de datos y SEO empresarial Oncrawl para organizar un webinar juntos sobre el tema y presentar algunas recomendaciones sobre cómo proceder.

 

El webinar fue moderado por Clément Hochedez, Gerente Senior de SEO en Didomi. Y los ponentes fueron Thomas Adhumeau, Chief Privacy Officer de Didomi, y Jérôme Salomon, Senior SEO Strategist de Oncrawl. Vea la grabación aquí y siga leyendo para obtener un resumen de las principales conclusiones.



 

Resumen : 

 

 


 

Análisis web y el panorama en la industria de la privacidad

 

Las herramientas de análisis web son una parte vital para el análisis de los diferentes vendors, ya que gracias a ellas, se recopilan datos que  ayudan a :

 

  • Comprender el rendimiento del sitio web y/o la aplicación

  • Analizar las tendencias y la satisfacción del cliente

  • Reducir los costes con información empresarial procesable

 

La implementación de buenas prácticas de análisis proporciona información valiosa que puede dar lugar al desarrollo de productos y servicios nuevos y mejorados para los clientes. Sin embargo, las regulaciones en todo el mundo han estado desafiando el uso de estas herramientas.

 

En Europa, la e-privacy regulation y el RGPD han tenido un impacto directo, ya que las plataformas de análisis web a menudo (no siempre) dependen de cookies o rastreadores, y requieren el procesamiento de información personal, que puede ser ilegal de acuerdo con las regulaciones europeas.

 

En EE. UU., la Ley de Privacidad del Consumidor de California (CCPA) adopta un enfoque ligeramente diferente al exigir a los operadores de sitios web que agreguen un botón de "no vender mis datos" en sus sitios web. Este enfoque de exclusión voluntaria afecta a los profesionales del marketing y a su uso de herramientas de análisis al limitar la capacidad de ejecutar campañas de retargeting.

 

Pero, volviendo a Europa ¿qué pasó exactamente el 10 de febrero con Google Analytics y la CNIL?

 

¿Cuál es el contexto detrás de la decisión que afecta a Google Analytics?

 

Para comprender las decisiones recientes que han impactado a Google Analytics, es importante dar un paso atrás hacia otra decisión histórica: la decisión Schrems II, tomada por el Tribunal de Justicia de la Unión Europea en julio de 2020,

 

Schrems II declaró que el esquema que hace posibles y válidas las transferencias entre EE.UU. y la UE (llamado el "Escudo de Privacidad") era inválido. Esto tuvo consecuencias de gran alcance e impidió técnicamente cualquier transferencia de datos entre la UE y los Estados Unidos, a menos que los participantes establecieran medidas complementarias (aunque no se definieran explícitamente cuáles), es decir, exportadores e importadores de datos. 

 

Como resultado, Google implementó medidas para cumplir en el contexto de Google Analytics, que las autoridades austriacas, danesas y francesas de protección de datos (APD) consideraron insuficientes. Como resultado, llegaron a la conclusión de que las transferencias que se producen entre la UE y los EE. UU. con Google Analytics no se realizan legalmente. 

 

Ahora, ¿qué pueden hacer los usuarios de Google Analytics? Hemos recogido algunas recomendaciones.

 

Descargo de responsabilidad: La decisión francesa no afirma que Google Analytics esté prohibido. Dice que la implementación actual de Google Analytics en el sitio web específico que se auditó no cumple con los principios clave del RGPD. Esta diferencia es importante.

 

Recomendaciones para estar en conformidad con la normativa

 

ES_Recommendations-1

 

1. Valorar todas las alternativas

La primera acción recomendada por la CNIL en su comunicado de prensa es revisar los competidores de Google Analytics. Hemos enumerado algunas opciones en la siguiente sección.

 

La mayoría de las empresas deben realizar una auditoría y decidir si migrar a otra herramienta. Además, recomendamos documentar el proceso en caso de una auditoría por parte de una APD.

 

Si se decide seguir utilizando Google Analytics, hay otras medidas que se pueden implementar de inmediato (después de ponerse en contacto con su asesor de Google para obtener más información)

 

2. Utilizar la función de anonimización de IP que ofrece Google Analytics

Google Analytics ofrece la posibilidad de ocultar las direcciones IP. Recomendamos encarecidamente habilitar esta función, ya que se recomienda directamente en la decisión de la APD austríaca.

 

3. Aumentar los controles de políticas privacidad.

Google también ofrece una serie de controles de privacidad avanzados que se pueden implementar para limitar la recopilación de datos, que van desde la desactivación de las funciones de publicidad hasta la desactivación completa de la recopilación de datos. 

 

Le recomendamos valorar su uso de Google Analytics internamente. 

 

4.Obtener el consentimiento de los usuarios para el uso de Google Analytics

Esta es una recomendación que ya se debería haber implementado a estas alturas, dada la última recomendación de las APD en toda Europa (por ejemplo, las recomendaciones de la CNIL sobre cookies), 

 

A la luz de los acontecimientos, las empresas no deben depender del interés legítimo. 

 

5.Contar conel consentimiento explícito para la transferencia a EE. UU.

Esta recomendación se deriva del artículo 49 del RGPD: 

 

A falta de una decisión de adecuación (...) o de las garantías adecuadas (...), se efectuará una transferencia o un conjunto de transferencias de datos personales a un tercer país (...) si el interesado ha consentido explícitamente en la transferencia propuesta, después de haber sido informado de los posibles riesgos de tales transferencias para el interesado debido a la ausencia de una decisión de adecuación y de las garantías adecuadas."

 

Esta no es una solución ideal desde el punto de vista del usuario, y como tal puede considerarse más como una posibilidad que como una recomendación por ahora. 

 

Nota: Tenga en cuenta que estas decisiones tienen profundas implicaciones y no se trata solo de Google Analytics. Todas las herramientas utilizadas y ofrecidas por las empresas estadounidenses también podrían verse afectadas de la misma manera. Prepárese para más acción en este frente en 2022, especialmente desde que la CNIL dijo que dará prioridad a la aplicación contra los proveedores de servicios en la nube en 2022.

 

¿Cuáles son algunas alternativas a Google Analytics?

 

Si bien actualmente es difícil evaluar el impacto de la decisión contra Google Analytics, hemos decidido recopilar algunas alternativas no estadounidenses, cuyos datos no pueden transferirse potencialmente a los Estados Unidos. Para dar mayor claridad, hemos recopilado los pros, los contras, el rango de precios y la ubicación de alojamiento de datos para cada herramienta.

 

Recommendations-2

 

Tenga en cuenta que estas recomendaciones no reemplazan una evaluación legal que se realizará de su parte.

 

Piwik Pro

 

Piwik Pro

 

Piwik Pro es una solución basada en cookies con una integración similar a la de Google Analytics. 

 

Rango de precios: Plan Core gratis (500k visitas/máx.) / Enterprise bajo petición

Datos alojados en: UE (Elastix)

Sede: Polonia, UE

Ventajas:

  • Gran interfaz de usuario 

  • Sin muestreo de datos

Puntos en contra:

  • Podría ser complicado integrarlo con otras herramientas

  • Menos opciones disponibles que Google Analytics

 

AT Internet

 

AT

 

AT Internet es una empresa francesa adquirida por Piano Software Inc. en 2021.

 

Rango de precios: A partir de 355€/mes

Datos alojados en: UE (SFr y AWS)

Sede: UE, Francia

Ventajas:

  • Funciones dedicadas de comercio electrónico

Puntos en contra:

  • Reviews afirman que la herramienta podría ser difícil de usar

 

Fathom

 

Fathom

 

Fathom es una solución libre de cookies, que resuelve la cuestión del consentimiento y la cuestión de la fiabilidad de los datos, ya que solo se basa en los resultados. Desafortunadamente, también significa que los datos serán realmente de alto nivel (sin canales, sin fuentes, solo referencias).

 

Rango de precios: A partir de 14$/mes (100k páginas vistas)

Datos alojados en: Alemania (Hetzner)

Sede: Canadá

Ventajas:

  • No se requiere aviso de consentimiento

  • El tamaño del script es muy pequeño, lo que resulta en una carga rápida

Puntos en contra:

  • Análisis de alto nivel

  • Sin seguimiento del comportamiento 

 

Plausible

 

Plausible

 

Otra solución libre de cookies, Plausible, es de código abierto y se puede alojar en sus propios servidores.

 

Rango de precios: A partir de 9€/mes (10k páginas vistas)

Datos alojados en: Alemania (Hetzner)

Sede: Estonia

Ventajas:

  • No se requiere aviso de consentimiento

  • El tamaño del script es muy pequeño, lo que resulta en una carga rápida

  • Código abierto

Puntos en contra:

  • Análisis de alto nivel

  • Sin seguimiento del comportamiento 

 

Matomo

 

Matomo_Updated (1)

 

Matomo es la versión de código abierto de Piwik Pro, con tres formas de integración: libre de cookies, basada en cookies y seguimiento del lado del servidor.

 

Rango de precios: Gratis (alojado en su propio servidor) / A partir de 13€ (en la nube)

Datos alojados en: UE (pero el contrato es con AWS Nueva Zelanda)

Sede: Nueva Zelanda

Ventajas:

  • Muchas estadísticas

  • Signos vitales web

  • Sin muestreo de datos

  • No se requiere aviso de consentimiento (dependiendo de su configuración)

Puntos en contra:

  • Sin integración con Google Ads (sin datos de PPC)

 

Nota: Adobe Analytics y otras plataformas de EE. UU. son alternativas valiosas, pero en el contexto de esta decisión y debido a que están basadas en EE. UU., decidimos no incluirlas.

 

Preguntas y Respuestas (Q&A)

 

¿Le importaría profundizar en las implicaciones de largo alcance de la decisión?

Esta decisión podría tener consecuencias en muchas industrias diferentes, de la misma manera que la industria de Adtech se vio afectada por la decisión de la autoridad belga con respecto al TCF de IAB Europe

 

Por ejemplo, las soluciones que se han desarrollado recientemente, como la publicidad contextual, en respuesta a la falta de datos, también podrían verse afectadas, ya que las transferencias se realizarán de la misma manera y se accederá a las direcciones IP. 

 

Es posible que estas decisiones estén impidiendo en cierta medida el libre flujo de datos entre EE. UU. y la UE y, como resultado, la mayoría de los servicios o herramientas que utilizamos a diario ya no serían compatibles ni accesibles desde el punto de vista del RGPD y la privacidad electrónica. 

En resumen, es enorme. 

 

¿Alguien ha oído hablar de la respuesta de Google con respecto a este problema específico con el sitio web de comercio electrónico incriminado? 

Google ha compartido una respuesta interesante

 

Google parece estar en desacuerdo con la decisión. En última instancia, la mejor opción disponible para que todos avancen es asegurarse de que Estados Unidos y la UE lleguen a un acuerdo sobre las transferencias de datos. Eso significa que Estados Unidos tendría que dar marcha atrás en algunas de sus leyes y regulaciones de privacy, lo que no será una victoria fácil, pero eso es lo que haría que fuera más fácil para todos hacer un buen trabajo.

 

Google parece estar presionando. Están involucrados en las negociaciones y, mientras tanto, parecen estar trabajando en funciones y controles adicionales para sus clientes.

 

¿Cómo calcula la tasa de consentimiento existente en su sitio web?

Puede calcular fácilmente la tasa de consentimiento de su sitio web con una Consent Management Platform (CMP)

 

¿Alguno de los reguladores ha establecido un plazo de retención en los archivos de registro? ¿Cómo afectaría un período de retención a las tasas de usuario para que se corrijan o destruyan los datos?

No hay ninguna orientación al respecto a nuestro conocimiento.Esta debe ser una evaluación para cada propietario del sitio web para realizar. Pero siempre debe ser proporcional a las actividades de procesamiento que se están produciendo. 5 años, por ejemplo, probablemente no es una buena idea, pero un día probablemente no es suficiente.

 

¿El criterio principal siempre va a ser si usted es capaz de definira alguien utilizando la información que tiene a su disposición? Si es así, significa que puede considerarse información personal.

Oncrawl anonimiza los datos en los registros, por ejemplo, para asegurarse de que cumplen con el RGPD

 

¿Debería el comercio electrónico pensar en una nueva forma de obtener el consentimiento para el seguimiento? Por ejemplo, ¿pedir crear una cuenta y/o iniciar sesión antes de usar el sitio web?

No se trata tanto de cómo se recopilan los datos sino de cómo se comparten. En un entorno conectado, será más fácil recopilar datos de una manera compatible, pero al compartirlos con otras partes, los mismos problemas permanecerán.

 

Herramientas como Mixpanel y Amplitude no se basan en cookies sino en el ID de usuario. ¿Podría ser una alternativa a Google Analytics?

Es ligeramente mejor debido a la ausencia de cookies, pero no resolverá el problema de la transferencia de datos a los EE. UU. En este caso, los ID de usuario permitirían a cualquiera seleccionar y/o identificar a un usuario, y por lo tanto se considerarían información personal.

 

Si tienes una integración del lado del servidor y cifras los datos antes de compartirlos con Google, o los anonimizas de alguna manera, ¿sería compatible?

Uno de los principales problemas es que Google tiene tantos datos más allá de Google Analytics que los DPA están preocupados de que eventualmente se rastree a los usuarios a través de todos estos servicios. 

 

En ese sentido, el reprocesamiento de datos antes de compartirlos para que Google no pueda vincularlos a otros activos de datos que tienen, probablemente podría hacerlo compatible.

 

Almacenar los datos en la UE no resuelve todo

Almacenar la información en Europa no es necesariamente arreglar las cosas, ya que puede suponer un problema cuando vayas a trabajar con una empresa estadounidense a la que el gobierno estadounidense podría pedir y exigir que comparta datos. Así pues, incluso si los datos se almacenan en la UE, el riesgo de transferencia existe y podría causar un problema.

 


 

Para obtener más información sobre Didomi, reserve una demostración con uno de nuestros expertos: