Google Analytics en Europa: cómo garantizar el cumplimiento del RGPD

Las reglas del juego de la privacidad de datos se han convertido en un centavo, lo que afecta la capacidad de las empresas europeas para evaluar con precisión su desempeño y evaluar adecuadamente sus esfuerzos de marketing. Con las prohibiciones que han aparecido, las formas habituales de trabajar ya no son posibles, lo que lleva a la pérdida de datos valiosos que nunca serán reemplazados.

El tremendo cambio en el análisis digital comenzó con la prohibición del uso de Google Analytics en algunos países europeos y terminó con un nuevo marco de privacidad de datos entre la UE y los EE. UU. Según decisiones recientes de las autoridades europeas de protección de datos, el uso de Google Analytics se ha vuelto ilegal para los operadores de sitios web en varios países. Dado que la implementación de Google Analytics ahora se considera una infracción del Capítulo V del RGPD, las empresas europeas se han enfrentado a una crisis.

Sin embargo, en marzo de 2022, la situación cambió, así que intentemos determinar finalmente qué problemas han surgido con la privacidad de los datos y qué pueden hacer las empresas europeas para proteger sus análisis de marketing.

En los últimos años, han ocurrido muchos eventos en el campo de la privacidad de datos y Google Analytics. Para las empresas europeas, estos cambios en la recopilación y aplicación de datos han significado el final de la era dorada de los análisis de marketing avanzados y optimizados. Las limitaciones y prohibiciones en el uso de datos imposibilitan la aplicación de flujos de trabajo establecidos. Hemos recopilado y mapeado toda la información que tenemos para ver cómo comenzaron todos estos cambios y dónde nos encontramos ahora.

En 2020, la organización sin ánimo de lucro NOYB presentó 101 denuncias contra sitios web del Espacio Económico Europeo (EEE) que aplicaban Google Analytics o Facebook Connect. Después de esto, las autoridades de protección de datos del EEE comenzaron a emitir resoluciones que obligan a los operadores de sitios web del EEE a dejar de usar estos servicios porque no cumplen con el Reglamento general de protección de datos (GDPR).

El problema estaba en el método de aplicación de Google Analytics en Europa, ya que almacena los datos recopilados sobre los residentes de la UE (datos de comportamiento del usuario) en un servicio en la nube con sede en EE. UU. El punto conflictivo fue, y sigue siendo, que las medidas de seguridad adoptadas por Google son insuficientes para evitar que los servicios de inteligencia de EE. UU. accedan a los datos personales de los residentes de la UE. Según las autoridades europeas de protección de datos, estas transferencias de datos al extranjero violan el RGPD.

Hasta el momento, se han escuchado dos casos judiciales. El primero fue un caso austriaco (diciembre de 2021), seguido de un caso francés menos de dos meses después (febrero de 2022). El resumen de estos casos es que no existe una protección adecuada de los datos personales de los residentes de la UE junto con la transferencia ilegal de sus datos personales a servicios basados ​​en EE. UU. Por ejemplo, los números de identificación de usuario únicos, las direcciones IP y los parámetros del navegador no están suficientemente protegidos por las cláusulas de protección estándar que ofrece Google.

Casos similares en otros países europeos podrían tener un efecto dominó al suprimir el uso de Google Analytics (y servicios similares). Como ya hay respuestas y reacciones modeladas a estas quejas sobre la violación de la privacidad de los datos, es posible que más autoridades europeas sigan pronto el ejemplo, lo que resultará en una prohibición total de Google Analytics (y otras herramientas) en Europa.

Luego, el 25 de marzo de 2022, después de más de un año de negociaciones, los EE. UU. y la UE anunciaron un "acuerdo de principio" sobre un nuevo marco legal para las transferencias de datos personales de la UE a los Estados Unidos que cumplen con el RGPD. El Marco transatlántico de privacidad de datos aborda las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en la decisión Schrems II de julio de 2020 y garantiza los más altos estándares de privacidad y protección de datos. Google espera poder certificar sus procesos bajo el Marco Transatlántico de Privacidad de Datos en la primera oportunidad. Aún así, sigue siendo un "acuerdo en principio", con detalles y fechas aún por confirmar.

Nadie puede predecir el futuro y, dado que el panorama digital cambia rápidamente, las empresas deben estar preparadas para proteger su flujo de trabajo de procesamiento de datos.

Debido a las quejas de NOYB, muchas autoridades de protección de datos del Espacio Económico Europeo (EEE) quieren obligar a los operadores de sitios web del EEE a dejar de usar Google Analytics por completo. Quienes sufren tales decisiones son las empresas europeas que desean implementar tecnologías en línea para aumentar sus ingresos comerciales y mejorar su rendimiento general.

En este momento, estas empresas se encuentran en una posición débil, ya que están esperando que el tema políticamente candente de las transferencias internacionales de datos se resuelva con algunas resoluciones lógicas. No olvidemos que, a pesar de los problemas de transferencia de datos, existen otros riesgos peligrosos para la privacidad de los datos a nivel mundial, como los ciberataques y el ransomware.

De momento, los problemas que se dan con el uso de Google Analytics son los siguientes:

• Los sitios web que no puedan cumplir con el RGPD pagarán fuertes multas si continúan transfiriendo datos confidenciales de los usuarios a servicios basados ​​en los EE. UU.
• Sin aplicar Google Analytics, los especialistas en marketing temen no poder evaluar su desempeño de marketing.
• Para cambiar su solución de análisis de marketing, las empresas gastarán mucho en aprender e implementar un nuevo producto.

Veamos qué se puede hacer para resolver estos problemas y cómo las empresas pueden evitar problemas aún mayores en el futuro.

Nota: El proyecto NOYB proporciona pautas para las empresas. Especialmente para las empresas más pequeñas de la UE que no están seguras de las leyes de vigilancia de los EE. UU. o cuyo socio de los EE. UU . está sujeto a estas leyes, existen pautas gratuitas y solicitudes modelo en el sitio web noyb.eu.

Por supuesto, este estado de cosas es desagradable para muchas empresas y viola procesos de trabajo de larga data. Sin embargo, no hay motivo para desesperarse, ya que este ciertamente no es el fin del mundo, y hay salidas.

En primer lugar, debemos comenzar mencionando que Google Analytics se puede implementar de dos maneras. En consecuencia, la forma en que se implementa influye en su cumplimiento con el RGPD. Los dos métodos son:

Por lo general, los sitios web aplican el modo del lado del cliente , lo que significa usar código JavaScript en las páginas del sitio web, configurar cookies, generar ID de cliente y transferir los datos obtenidos a Google Analytics para producir las estadísticas del sitio web.

Veamos qué pasos se deben seguir al usar Google Analytics en el modo del lado del cliente. Hay aspectos tanto técnicos como legales que verificar para garantizar el cumplimiento del RGPD.

1. Comience con el consentimiento adecuado del usuario. Debe informar a los usuarios que sus datos (información del dispositivo, ID de seguimiento, direcciones IP, etc.) no solo se recopilarán sino que se transferirán a servicios basados ​​en EE. UU. Asimismo, cabe señalar que los usuarios pueden retirar su consentimiento en cualquier momento.
2. Implementar anonimización de IP. (Para las propiedades de Google Analytics 4, la anonimización de IP está habilitada de forma predeterminada).
3. Comprueba que tanto la opción de compartir datos como la opción de señales en Google Analytics están desactivadas.
4. Si está utilizando identificaciones de usuario patentadas, asegúrese de que no haya permiso para la identificación del usuario.

¡Importante! No olvides consultar el estado legal de las cosas. Verifique todos los contratos que firma, ya que todos los contratos firmados por empresas en la región EMEA deben celebrarse con Google Ireland Limited y no con Google LLC. Luego, verifique la TIA que cubre la transferencia de datos entre Google Ireland Limited y Google LLC.

La segunda variante es implementar un modo del lado del servidor . Es más discreto, ya que este modo le permite mover etiquetas fuera del sitio web (tanto publicidad como medición) y transferirlas a un contenedor de servidor seguro. Además, al aplicar el seguimiento del lado del servidor, las direcciones IP de los usuarios se anonimizan automáticamente antes de que la información se comparta con las herramientas de informes de Google. En resumen, significa que no hay comunicación directa entre el usuario y Google. El servidor del editor recopila la información y luego la envía a Google para su análisis.

Aunque muchas empresas pueden tener la impresión de que la falta de Google Analytics significa que no hay análisis en absoluto, eso no es cierto. Hay otras formas de implementar análisis de marketing avanzados, y el equipo de BI de OWOX proporciona soluciones seguras tanto para la recopilación como para el almacenamiento de datos.

¿Qué es OWOXBI?

OWOX BI es una solución de análisis de marketing que automatiza la entrega de datos de fuentes aisladas a su destino de análisis, asegurando que sus datos sean siempre precisos y actualizados.

Entre las principales ventajas de trabajar con datos utilizando OWOX BI se encuentran las siguientes:

• Todos los datos se almacenan en Google BigQuery con pleno cumplimiento de GDPR. El seguimiento del lado del servidor de OWOX BI proporciona una recopilación segura de datos propios en su dominio personal. El proceso de seguimiento cumple con Schrems II y el RGPD.
• Esquema de datos familiar de Google Analytics. Obtiene el conocido esquema de datos universal de Google Analytics para hits y transformación de sesiones. Solo lleva unos minutos configurar fácilmente el seguimiento utilizando su configuración actual de Google Analytics.
• Recopilación de datos de alta calidad. No se vea afectado por los bloqueadores de anuncios y obtenga datos sin procesar completos con una calidad explicable. Recopile cada hit en su almacenamiento de Google BigQuery EU casi en tiempo real y sin muestreo.
• Marketing eficaz y análisis de datos. En 2023, una parte importante de la información sobre la efectividad de los canales publicitarios ya no estará disponible debido a la desaparición de las cookies de terceros y la reducción de la vida útil de las cookies. Puede minimizar las pérdidas con el seguimiento del lado del servidor de OWOX BI, recopilar datos propios y fusionarlos con datos de marketing en su almacenamiento.

¿Cuáles son los pasos que puede seguir con OWOX BI para guardar sus análisis de marketing?

Como la mayoría de las empresas prefieren asegurarse de que tanto la recopilación como el almacenamiento de datos se realicen en la región de la UE, OWOX BI evita el uso de Google Analytics. En detalle, el flujo de datos de OWOX BI se ve así:

1. Recoge datos del sitio web en el formato clásico de Google Analytics. Dado que este formato de datos es familiar, es posible reutilizar miles de consultas SQL existentes.
2. Recopile datos sin procesar en el almacenamiento de Google BigQuery en tiempo real. Los datos obtenidos le pertenecen y se almacenan en la zona de la UE que ha seleccionado.

En resumen, OWOX BI permite que cada comercializador y analista continúe con su trabajo y aplique soluciones de análisis que satisfagan al departamento legal de la empresa:

• Garantice el cumplimiento del RGPD mientras trabaja con datos confidenciales.
• Evite perder tiempo y recursos reprocesando datos o aprendiendo y adoptando una nueva pila tecnológica.
• Mantenga el marcado existente de su sitio web, ya que el tiempo de implementación junto con los períodos de valor son realmente cortos.

La situación con la prohibición de Google Analytics y el próximo Marco Transatlántico de Privacidad de Datos aún debe aclararse. Sin embargo, independientemente de los resultados, es mejor proteger su negocio ahora sin esperar un mejor momento en el futuro. Hay pasos obvios que puede tomar para minimizar los riesgos, que van desde hacer preparativos legales y garantizar el consentimiento del usuario hasta alejarse de los proveedores de servicios de propiedad estadounidense.

El seguimiento del lado del servidor de OWOX BI proporciona una recopilación segura de datos propios que cumple con Schrems II y el RGPD. Y la guinda del pastel es la capacidad de minimizar las pérdidas resultantes de la desaparición de las cookies de terceros y la reducción de la vida útil de las cookies.