El 25 de mayo de 2018 empezó a aplicarse en todo el territorio europeo el Reglamento general de protección de datos (RGPD). Hoy, desde el punto de vista de una consultoría de protección de datos, va a analizarse cómo ha afectado esta nueva normativa a una herramienta muy utilizada por todas las empresas en materia online: Google Analytics.
¿Qué es Google Analytics?
Es una herramienta que permite consultar a los dueños de páginas web diversos datos sobre el tráfico de personas que pasan por ellas día a día, como puede ser el tiempo medio de las visitas o la cantidad de las mismas.
Google Analytics trabaja utilizando un código de seguimiento que es añadido a la página web en la que se realiza el estudio. Todos los usuarios que entran dentro de dicha web cuentan con un número de identificación interno que ayuda a la herramienta a suministrar el conocimiento deseado al dueño del dominio.
Así, haciendo uso de esta aplicación se tiene la posibilidad de realizar un análisis sobre la frecuencia de visitas de un usuario en dicha página, el tiempo que le dedica…
Una vez dicho esto, es más fácil advertir que existe una confrontación con la nueva ley en tanto que esta protege los datos personales de los residentes en la Unión Europea.
¿Qué datos personales utiliza Google Analytics y cuáles lo son para la nueva ley?
La cuestión fundamental que debe dilucidarse ahora es qué datos de los que obtiene Google se ven afectados por la nueva normativa recogida en el RGPD.
Los datos obtenidos por Google para utilizar en estas herramientas pueden clasificarse del siguiente modo:
– Los identificadores online, entre los que se encuentran las cookies de identificación de los usuarios.
– Los identificadores de dispositivos y las direcciones de los protocolos de Internet.
– Los identificadores de los clientes.
El problema se halla en que el concepto de datos personales que protege el nuevo reglamento tiene una extensa definición. Considera datos personales la dirección de IP, todos los datos de contacto y la información contenida en informes médicos y financieros. Pero todavía va más allá y considera como tales todos aquellos datos que pudieran usarse para identificar a alguien de forma directa o indirecta, como pudieran ser los mencionados en la lista anterior.
¿Cómo se va adaptando paulatinamente Google a la nueva normativa?
Para poder cumplir con la nueva normativa del RGPD y seguir suministrando el mismo servicio a sus clientes, Google ha puesto en marcha una serie de cambios:
– Ha actualizado su política de consentimiento, tanto para los clientes de esta plataforma como para los usuarios de los servicios de su motor de búsqueda y demás aplicaciones.
– Ha limitado el procedimiento de información de menores de edad en virtud de lo establecido en el RGPD.
– Ha modificado los controles para retener los datos para controlar mejor los que se mantienen en sus servidores y los que se borran. Los datos de los usuarios y de los eventos se mantendrán en consonancia con estos nuevos ajustes, siendo borrados de forma inmediata todos los que no se contemplen en la nueva ley.
– Además, para los clientes de la herramienta que se encuentran fuera del territorio de la Unión Europea, los nuevos términos están ya disponibles en la pestaña de administrador. Y para los clientes ubicados dentro de ese territorio, los términos ya han sido actualizados.
¿Qué puede hacer un usuario de Google Analytics?
Para poder hacer uso de esta plataforma sin peligro de transgredir el nuevo reglamento hay que hacer dos cosas: cambiar la configuración de la página web y asegurarse de que el uso que se le da está dentro del permitido. Para esto último es recomendable seguir una serie de pasos.
Lo primero que es preceptivo hacer es controlar que datos que son recogidos en la web del visitante y que se van a remitir a Google. Es importante que dichos datos no entren dentro de los parámetros entendidos por la legislación como datos personales.
En la plataforma de Google Analytics debe habilitarse la opción de IP anónima. De esta forma, uno de los datos que considera la legislación como de carácter personal quedará protegido.
Hay que asegurar también que ninguno de los datos que el usuario de la web deje en ella se filtre. Es decir, se trata de la combinación de usuario y contraseña si la web requiere registro o del correo electrónico. Todo aquel dato que deje una huella digital es susceptible de protección conforme al reglamento.
Proveer a los visitantes de la web de información previa y hacer uso de una política de transparencia con respecto a los datos recogidos es una buena forma de eludir responsabilidades y evitar problemas con la nueva ley. Pero ante cualquier duda, lo mejor siempre es acudir al asesoramiento de una consultoría de protección de datos.
