Actualización 28/05/2018: Características y alcances de la implementación del RGPD por parte de Google Analytics 2018-05-29T08:42:21+00:00

 

Características y alcances de la implementación
del RGPD por parte de Google Analytics

El Reglamento General de Protección de Datos (RGPD), como nueva legislación vigente desde el 25 de mayo de 2018 en el Espacio Económico Europeo (EEE),  exigió a muchas empresas a modificar sus políticas de gestión y privacidad de los datos personales de sus usuarios. Como era de esperar, Google también busca minimizar su riesgo pues en su caso las multas por incumplimiento del RGPD podrían elevarse hasta los  $ 4,400 millones si tomamos en cuenta los ingresos de la empresa el año pasado. Esto ha obligado a Google Analytics a realizar ciertos cambios en su rol como procesadora de datos.

 

 

En esta actualización,  veremos algunas de las características y alcances  de  estas transformaciones realizadas por Google para cumplir con los nuevos estándares legales. Particularmente, nos detendremos en las implicaciones que ellas tienen para los negocios en línea.

 

En principio, la definición: ¿Qué es el Reglamento General de Protección de Datos (RGPD)?

Es el Reglamento que protege los datos que las personas suministran a Empresas, Gobiernos, Instituciones, Organismos y cualquier organización con sede en el Espacio Económico Europeo (EEE)  o que gestione datos de sus ciudadanos. Lo que persigue el RGPD, es ampliar los derechos de los ciudadanos, para que puedan decidir cómo desean que sus datos sean tratados y cómo quieren recibir información de las empresas y otras organizaciones. Este Reglamento ha sido diseñado para otorgar mayor seguridad y control a las personas sobre su información personal, así como para establecer unas reglas comunes en toda Europa de protección de dicha información.


¿Qué significa para las empresas?

El RGPD tiene varias implicaciones para las empresas. Entre ellas:

  • Las empresas y otras organizaciones tienen que ser más transparentes e indicar claramente qué información recopilan, para qué se utilizará, cómo la recopilan y si esa información se compartirá con cualquier otra persona.
  • También pueden recopilar información que sea directamente relevante para su uso previsto. Si la organización que recopila esa información luego decide usarla para un propósito diferente, debe obtener permiso nuevamente de cada individuo.
  • Una vez que se ha recopilado la información de un individuo, el RGPD establece requisitos sobre cómo se almacena y protege esa información.
  • Si ocurre una violación de datos, los consumidores deben ser notificados dentro de las 72 horas.
  • No cumplir con el RGPD puede tener algunas consecuencias muy graves. Si se produce una violación de datos debido a un incumplimiento, una empresa puede recibir multas de hasta € 20 millones o el 4% de los ingresos globales anuales de la empresa, el monto que sea mayor.
  • Algunas empresas se verán obligadas a cerrar por completo para los ciudadanos de la UE (como unroll.me)
  • De hecho, apenas han pasado 3 días desde su aplicación obligatoria y ya hay demandas multimillonarias de usuarios a Empresas como Disney, Google, Facebook, Instagram, etc., que están basadas en el RGPD.

 

¿Las empresas con sede fuera de la Unión Europea deben preocuparse por el RGPD?

El hecho de que una empresa no tenga su sede en Europa no significa necesariamente que no deban cumplir con el RGPD.  Si una empresa tiene su sede en los Estados Unidos (o en otro lugar fuera de la UE), pero realiza negocios en Europa, recopila datos sobre usuarios de Europa, se mercadea en Europa o tiene empleados que trabajan en Europa, el RGPD también se aplica a ellos.

Siempre que quede muy claro que los bienes o servicios de una empresa solo están disponibles para los consumidores de países fuera de la Unión Europea, el RGPD  no se aplica.

Podría ser el caso de una empresa situada en México, por ejemplo, que venda servicios locales. Aunque esa empresa esporádicamente reciba visitas de ciudadanos españoles o de otros países de la Unión Europea, no aplicaría el RGPD. Sin embargo, si otra empresa mexicana  tiene la opción de ver las páginas en alemán y en francés, permite que los clientes paguen con euros y utiliza un lenguaje de marketing que se refiere a los clientes europeos. En esa situación, el RGPD se aplicaría ya que están solicitando más claramente negocios de personas en Europa.

¿Cómo Google adapta sus contenidos al RGPD?

Para el RGPD, Google Analytics queda definido como procesador de datos, mientras que tú  o tu empresa son considerados el controlador de datos en esta relación. Por ello, deberás tomar medidas para asegurarte de que tu cuenta de Google Analytics esté configurada para cumplir con los nuevos requisitos. La principal consecuencia de la aplicación del RGPD a partir del 25 de mayo es que la configuración de retención de datos predeterminada para GA eliminará sus datos. Esto, asociado a otras implementaciones nuevas:

  1. En Analytics, por ejemplo, ahora podrás eliminar la información de usuarios individuales si la solicitan.
  2. También introdujeron configuraciones de retención de datos que te permiten controlar cuánto tiempo se guardan los datos individuales del usuario antes de eliminarlos automáticamente.
  3. Google ha establecido 26 meses como la configuración predeterminada o por default. Sin embargo, si estás trabajando con una empresa con sede en Estados Unidos, por ejemplo y que realiza negocios estrictamente en los Estados Unidos u otro país fuera de la Unión Europea, puedes establecer que nunca expire si lo deseas.
  4. Es importante tener en cuenta que esto solo se aplica a los datos sobre usuarios individuales y eventos, por lo que los datos agregados sobre la información de alto nivel como las visitas a la página no se verán afectados por esto.

 

 

Sobre la Información de Identificación Personal (IIP)

  1. Google está eliminando cuentas de GA para capturar PII. Por ello, para asegurarte de que estas utilizando Analytics de conformidad con el RGPD debes comenzar a evaluar mediante la auditoría de todos los datos que recopiléis para certificar que sean relevantes para su finalidad prevista y que no estés enviando accidentalmente ninguna información de identificación personal (IIP)  a Google Analytics.
  2. Enviar IPP a Google Analytics ya estaba en contra de sus Términos de Servicio, pero muy a menudo sucede por accidente cuando la información se envía a través de una URL de página. Si resulta que estáis enviando IPP a Analytics, tendrás que hablar con tu equipo de desarrollo web sobre cómo solucionarlo, ya que usar filtros en Analytics para bloquearlo no es suficiente. Debéis asegurarte de que nunca se envíe a Google.
  3. IPP incluye todo lo que se puede utilizar potencialmente para identificar a una persona específica, ya sea solo o cuando se combina con otra información, como una dirección de correo electrónico, una dirección de casa, una fecha de nacimiento, un código postal o una dirección IP. Las direcciones IP no siempre se consideraban IPP, pero el RGPD las clasifica como un identificador en línea.
  4. Sin embargo, no te preocupes, aún puedes obtener información geográfica sobre los visitantes de tu sitio. Todo lo que tienes que hacer es activar el anonimato del IP y la última parte de una dirección IP se reemplazará con un cero, por lo que aún puedes obtener una idea general de dónde proviene tu tráfico, aunque será un poco menos preciso.

Google Tag Manager y el RGPD

 

 

  1. ¿Estáis usando Google Tag Manager (GTM)? Si usáis GTM, el anonimato de IP es bastante fácil. Simplemente abre tu etiqueta Google Analytics o tu variable de configuración, elegid “Más configuraciones” y seleccionad “Campos para establecer”. Luego, elegid “anonymizeip” en el cuadro “Nombre del campo”, ingresa “verdadero” en el cuadro “Valor” y guarda tus cambios. Si no utilizas GTM, habla con tu equipo de desarrollo web sobre la edición del código de Google Analytics para convertir tus direcciones IP en anónimas.
  2. La información seudónima como los ID de usuario y los ID de transacción todavía son aceptables bajo el RGPD, pero es necesario protegerlos. Los ID de usuario y de transacción deben ser identificadores de base de datos alfanuméricos, no escritos en texto plano.
  3. Si te encontráis fuera del EEE y el RGPD se aplica a ti, accede a la configuración de tu cuenta de Google Analytics y acepta los términos de procesamiento actualizados.
  4. Si tienes tu base en la UE, los términos actualizados ya se han incluido en tus términos de procesamiento de datos.
  5. Si el RGPD se aplica a tu sitio web, también deberéis ingresar a la configuración de tu organización y proporcionar información de contacto para tu organización.

Configuración de control de retención de datos

Una de las nuevas acciones de Google Analytics, se refiere a la implementación de controles de retención de datos.  Gracias a estos controles podrás determinar durante cuánto tiempo se almacena en los servidores de Google la información referente a la navegación de los usuarios en tu web. A partir del pasado 25 de mayo (cuando entró en vigor el RGPD), estos datos se almacenarán según esta configuración.

Esta configuración se aplicará a los datos a nivel de usuario y de evento asociados a las cookies, los identificadores del usuario (p. ej., ID de usuario) y los identificadores publicitarios (p. ej., las cookies de DoubleClick, el ID de publicidad de Android, el identificador de anunciantes de Apple).

Se podrá elegir entre 14, 26, 38 y 50 meses. Según vaya caducando el periodo de retención se irán eliminando esos datos. Aunque los datos totales, no se verán afectados.

Para configurarlo debes tener permisos de edición y se configura por cada propiedad que tengas en tu cuenta. Accede desde Administrar a la propiedad que quieras cambiar y al apartado “retención de datos”.

 

 

Una vez en esa sección, configura el tiempo de retención de esos datos y activa o desactiva que este tiempo se reestablezca con cada actividad nueva o no. Esta acción es importante porque si la activas, le dirás a Analytics que, si al usuario inicia una sesión nueva cada mes, su identificador se actualizará cada mes. Por lo tanto, nunca llegará a alcanzar el periodo de vencimiento. Si la desactivas, no importará cuantas veces inicie sesión durante el periodo de retención, ya que la cuenta de tiempo se iniciará tras la primera interacción. Borrándose los datos asociados al identificador de ese usuario, cuando alcance el periodo de retención definido.

Configuración para eliminación de usuarios

Google Analytics pone a disposición una herramienta que permite eliminar todos los datos de los usuarios asociados a una propiedad de una cuenta. Será una herramienta automática que identificará cualquiera de los elementos que envía el ID de cliente de Analytics. Toda la información estará disponible en la zona específica para desarrolladores de Google Analytics.

Actualización de la enmienda para el procesamiento de datos

Una de las acciones que ya debes realizar en tus cuentas de Analytics, es la de actualizar la aceptación de la enmienda de procesamiento de datos en su configuración. Google ha cambiado esta enmienda para adaptarse a los requisitos del nuevo RGPD.

Esta información se encuentra en Administrar / Configuración de la cuenta. Pero la configuración no termina ahí. Deberás seguir el enlace de “Administrar detalles de ATD”.

 

Adenda sobre Tratamiento de Datos

ATD, son las iniciales de Adenda sobre Tratamiento de Datos. Son unas condiciones dirigidas a empresas ubicadas en el territorio de Suiza o de algún estado miembro del EEE (Espacio Económico Europeo). Así como a empresas que estén sujetas al ámbito territorial de aplicación del nuevo RGPD.

Si eres un cliente con contrato directo con Google Analytics, podrás aceparlas directamente, Aquí están disponibles las nuevas condiciones que deberás aceptar. Al aceptar estas Condiciones de Tratamiento de Datos deberás proporcionar la siguiente información.

  • Entidad legal: es el nombre registrado que tu organización utiliza para fines económicos y legales.
  • Contacto principal: es una dirección de correo donde Google notificará las modificaciones en la Condiciones en el Tratamiento de Datos.
  • Responsable de protección de datos: se trata de la persona designada, si procede, para facilitar las disposiciones legales del RGDP. Es una figura de obligatoriedad para todas las autoridades y organismos públicos, así como para empresas que realicen una observación habitual y sistemática de las personas a gran escala o que tengan entre sus actividades principales el tratamiento de datos sensibles.
  • Representante del EEE: es la persona designada si procede, para representar a los clientes que no están establecidos en la UE en relación con sus obligaciones definidas en el RGPD.

Recomendaciones finales:

Google ha puesto a disposición de sus usuarios una lista de verificación del cliente que a continuación transcribimos. Sugerimos enfáticamente leer los postulados sobre protección de datos de su sitio web   y comprobar su aceptación por parte de tu sitio web:

Lista de comprobación de clientes

Como profesionales del marketing, sabemos que debemos elegir productos que cumplan las normativas aplicables y utilizar los datos personales desde el respeto a estas normas. Nos comprometemos a cumplir el RGPD y te animamos a que te informes sobre los planes de cumplimiento normativo de tu organización. Estas son las preguntas más importantes que debes hacerte:

  • ¿Cómo garantiza tu organización la transparencia y el control en relación con el uso que hace de los datos de los usuarios? ¿Estás explicando a tus usuarios los tipos de datos que recoges y la finalidad?

  • ¿Sabes seguro si tu organización dispone de los consentimientos adecuados que exige el RGPD en todos los casos necesarios? ¿Tienes todos los consentimientos necesarios en cada paso de tu cadena de suministro de anuncios?

  • ¿Dispone tu organización de los sistemas adecuados para registrar las preferencias y los consentimientos de los usuarios?

  • ¿Cómo demostrarás a los reguladores y a las partes interesadas que tu organización cumple los principios del RGPD y hace un uso responsable de los datos de los usuarios?

    Políticas de protección de datos de Google

 

Los invitamos a chequear estas preguntas en los sitios web que están construyendo en el Máster de Neetwork.com. Así también, revisar las áreas iniciales sobre Google Analytics en la Lección 4 del Módulo 6 del Máster en Negocios Digitales y Analítica Web.

 

Pin It on Pinterest