LÍNEA DE INFORMACIÓN: 06 1 614 CLICK
 

5 pasos de Google Analytics para el cumplimiento del GDPR | Weboptim

¿Qué es el GDPR y por qué debería importarle?
El Reglamento General de Protección de Datos (RGPD) es la ley de protección de datos de la Unión Europea, que entra en vigor el 25 de mayo de 2018. Su objetivo es consolidar las normas de protección de datos en la UE.

Información importante sobre el GDPR

- Si una organización no cumple la normativa, podría enfrentarse a una sanción económica de hasta 20 millones de euros, o 4% de los ingresos mundiales.
- Debe cumplir la normativa aunque no esté físicamente presente en la UE pero suministre bienes o servicios a ciudadanos de la UE.
- La definición de datos personales es amplia e incluye direcciones IP, identificadores de cookies y localización GPS.
- Se requiere un consentimiento claro y transparencia: esto significa que la inactividad y las casillas marcadas previamente no constituyen consentimiento.
- Los ciudadanos de la UE tienen derecho a que se borren sus datos, y deben borrarse si así lo solicitan.
- El GDPR crea una oportunidad para generar confianza y destacar su marca.

 

europe-3256079_640
 

 

Google Analytics: el procesador de datos

Si utilizamos Google Analytics, Google es nuestro procesador de datos. Nosotros somos el controlador de datos, ya que podemos controlar qué datos enviamos a Google Analytics.

 

 

Pasos:

1. Compruebe su información de identificación personal (IIP)

Esperemos que esto no sea sorprendente, pero la recopilación de información de identificación personal va en contra de los términos y condiciones de Google Analytics.
Esto es válido tanto para la versión gratuita Google Analytics Standard como para la versión de pago Google Analytics 360. Lo supiéramos o no, ahora es el momento de asegurarnos de que no transmitimos información de identificación personal.

 

  • Comprobamos las URL, las direcciones y otras dimensiones de los datos de las páginas para asegurarnos de que no se recopila información de identificación personal. Un ejemplo habitual de recogida de datos de identificación personal es cuando la URL contiene un parámetro fijo „email = querystring”.
  • Nos aseguramos de que los datos proporcionados por los usuarios en los formularios, que también recoge Analytics, no contengan información personal identificable.
  • Tenga en cuenta que no basta con filtrar los datos PII, sino que deben gestionarse a nivel de código para evitar que los datos personales entren en Google Analytics.

 

2. Activar la anonimización de IP

El GDPR considera que las direcciones IP son datos personales. Aunque la dirección IP (por defecto) nunca se muestra en los informes, Google la utiliza para proporcionar datos de geolocalización.

Por razones de seguridad, se recomienda activar la función de anonimización de IP de Google Analytics. Esto requiere un cambio de código.

 

Si utiliza Google Tag Manager, añada la etiqueta a la configuración de Google Analytics.
Abra la variable, haga clic en el botón más opciones y añada lo siguiente como nuevo campo: nombre: anonymizeIp valor: true

 

tag manager ip anonim
 

 

Si no utiliza Google Address Manager, es posible que tenga que modificar el código directamente.
Debe incluirse la siguiente línea adicional: ga(‘set’, ‘anonymizeIp’, true);

 

Este cambio hará que Google anonimice la dirección IP, lo que técnicamente puede hacerse eliminando el último octeto de la dirección IP (por ejemplo, la dirección IP será 123.123.13.0). Esto se hace antes de almacenar y procesar los datos. La dirección IP completa nunca se introducirá en el sistema si esta función está activada.
El efecto de esto es que la precisión de los informes geográficos se reduce ligeramente.

 

3. Compruebe la colección de pseudoidentificadores (correos electrónicos con hash, identificador de usuario)

Podemos utilizar seudónimos, pseudoidentificadores al implementar Google Analytics. Esto puede incluir lo siguiente:

  • ID de usuarioID de usuario: debe ser un identificador alfanumérico de la base de datos; nunca texto sin formato, por ejemplo, nombre de usuario.
  • Datos cifrados, como una dirección de correo electrónico: Google tiene un mínimo de hash y se recomienda encarecidamente utilizar una cadena de al menos 8 caracteres.
  • ID de transacción: Técnicamente, se trata de un pseudoidentificador, ya que puede conducir a la identificación del individuo cuando se combina con otras fuentes de datos. Este identificador debe ser siempre un identificador alfanumérico de base de datos.

Esto parece ser una práctica aceptable según el GDPR y los Términos y Condiciones de Google Analytics. Pero se recomienda asegurarse de que la política de privacidad se actualiza para reflejar la finalidad de la recopilación de datos y de que se obtiene el consentimiento explícito de los usuarios. En cualquier caso, la información facilitada a los usuarios debe ser clara y responder a las preguntas „qué datos recopilamos” y „cómo utilizamos esos datos”.

 

4. Actualice su política de privacidad

Según el GDPR, la actualización de la política de privacidad es una de las tareas más importantes y debe comunicarse siempre a los usuarios de forma clara, comprensible y concisa.
Como siempre ha sido, el propósito de una política de privacidad es describir lo que recopilamos y, lo más importante, lo que una organización debe seguir y hacer como dice aquí. La audiencia de una política de privacidad es el usuario final (no el abogado).

 

A la hora de redactar un aviso de privacidad, deben tenerse en cuenta las siguientes cuestiones:

  • ¿qué información recogemos?
  • ¿quién los colecciona?
  • ¿cómo se cobra?
  • ¿por qué colecciona?
  • ¿cómo lo utilizará?
  • ¿con quién lo comparte?
  • ¿qué impacto tendrá en los afectados?
  • ¿se opondrá el particular al uso propuesto?

 

gdpr regulation
 

5. Crear opciones de inclusión/exclusión

La gran pregunta que todo el mundo se hace es si realmente necesitamos el consentimiento explícito. Al fin y al cabo, puede suponer una cantidad de trabajo considerable y tener un impacto absoluto en la participación de los usuarios.

 

¡Pensemos en ello!

Si recogemos identificadores de usuario u otros pseudoidentificadores, el usuario debe dar su consentimiento. Como ya se ha dicho, el consentimiento debe ser explícito (opt in). Se acabaron los días en que los anuncios de cookies indicaban que si el usuario seguía utilizando el sitio, estaba dando su consentimiento: esto ya no es consentimiento. En su lugar, se debe preguntar claramente a los usuarios. El enfoque más común es tener una ventana emergente en la página al iniciar sesión que pida permiso al usuario y, si lo da, la página se recargará o se ejecutarán los scripts de Google Analytics.

 

Si los datos de identificación del usuario se recogen o utilizan para la elaboración de perfiles de comportamiento u otras tecnologías publicitarias, debe establecerse un mecanismo de consentimiento previo.

 

Google Analytics también registra un identificador de cookie denominado identificador de cliente de GA y, dado que se trata de una función básica del producto, es probable que Analytics ofrezca permiso de inclusión voluntaria a todos los visitantes de la UE. Estos identificadores en línea se consideran datos personales y, por tanto, están sujetos a regulación.
Como parte del GDPR, existen requisitos para proporcionar una prueba del consentimiento (pista de auditoría). Le recomendamos que realice un seguimiento del consentimiento en Google Analytics como un evento individual.

 

 

 

Resumen

Estos cinco pasos de acción son una excelente forma de garantizar que su cuenta de Google Analytics o su sitio web cumplen con el GDPR. El GDPR es un complejo conjunto de normativas y es esencial que su organización cuente con un plan para lograr su cumplimiento.

 

 

 

Fuente: http://www.blastam.com/blog/5-actionable-steps-gdpr-compliance-google-analytics

 

 

¿Te ha gustado el artículo? ¡Puedes compartirlo aquí!


Referencias
Póngase en contacto con
para un presupuesto