El Reglamento General de Protección de Datos (GDPR) ha hecho necesario proteger la privacidad del usuario. Según el GDPR, debe eliminar cualquier información de identificación personal antes de transferir los datos del usuario a cualquier herramienta de propiedad estadounidense. Este paso se hizo necesario debido a la invalidación del Escudo de Privacidad.
En este artículo, describiré cómo eliminar automáticamente los datos de los usuarios mediante el power-up del stape Anonimyzer y redactar manualmente los datos de los usuarios a través de la web y el servidor GTM. Se trata de una extensión del artículo publicado en nuestro blog, que cubre por qué es necesario utilizar un servidor proxy para utilizar Google Analytics de una manera compatible con el GDPR.
Hubo algunos incidentes en países de la UE (Italia, Francia, Austria y Dinamarca) cuando la gente se puso en contacto con las autoridades locales de protección de datos para verificar si el uso de Google Analytics en el sitio web entra en el ámbito del GDPR. La respuesta en todos los casos fue que el uso de Google Analytics no cumple con el GDPR.
La razón principal es que las empresas estadounidenses (incluida Google) no ofrecen suficientes medidas de seguridad para proteger los datos personales de los usuarios de la UE. Por eso, compartir información personal con empresas estadounidenses va en contra del GDPR. Puede encontrar más información al respecto en nuestra anterior entrada del blog.
La buena noticia es que existe una solución para utilizar Google Analytics y seguir cumpliendo con el GDPR. La CNIL (autoridad francesa de protección de datos) dijo que para utilizar GA de forma compatible con el GDPR, debe implementar dos cosas principales: El servidor proxy de la UE y la seudonimización de los datos del usuario antes de la exportación.
El servidor proxy garantiza que no haya contacto directo entre el sitio web y la herramienta de análisis de Estados Unidos. La forma más sencilla de implementar un servidor proxy de este tipo es utilizando el contenedor del servidor Google Tag Manager. Los servidores proxy deben cumplir una serie de criterios. El principal: la empresa que le proporcione un servidor proxy debe estar registrada en la UE; los servidores utilizados para alojar su contenedor sGTM deben estar ubicados físicamente en la UE. Por estas dos razones, no puede utilizar Google Cloud (GCP) para sGTM. Básicamente, es la misma razón que Google Analytics: Google, una empresa estadounidense, es la propietaria.
Otra buena noticia es que Stape le tiene cubierto. Tenemos un producto específico, Stape Europe, que cumple todos los requisitos del servidor proxy de la UE. Stape Europe está registrado en la UE (Estonia) y utiliza el servidor en la nube de la UE proporcionado por Scaleway para ejecutar su contenedor sGTM.
En este artículo, quiero centrarme más en la segunda parte de la ley, que es la seudonimización de los datos del usuario. En Stape, estamos implementando una lista de funciones que le ayudarán a eliminar los datos de los usuarios de forma automática. Por eso dividiré el artículo en dos partes:
La lista de datos de usuarios que deben ser seudonimizados es bastante vaga.
Por ahora, estamos diseñando el potenciador anonimizador de Stape sólo para GA4. Sin embargo, se adaptará y estará disponible con la función de anonimización de UA en futuras actualizaciones.
Es esencial entender que la lista de parámetros que GA4 envía puede cambiar. Mantendremos este artículo actualizado, pero asegúrese de probar la anonimización de los datos del usuario antes de publicarla en producción.
La mejor herramienta que he encontrado que ayuda a seguir e identificar los parámetros de GA4 es ésta.
El proceso de seudonimización de los datos del usuario tiene lugar dentro de las etiquetas GA4 en el contenedor GTM de la web y del servidor. Si aún no ha configurado el servidor GA4, siga estos pasos.
No tenemos directrices estrictas sobre los datos que deben eliminarse. Depende de usted cómo quiera que sea la seguridad de su empresa. Por ejemplo, puede eliminar la IP del usuario o redactar los últimos dígitos. Otra gran pregunta es sobre parámetros como el país, el idioma, el navegador, etc. Cada parámetro por separado no da suficiente información de identificación del usuario, pero un conjunto de parámetros puede proporcionarla.
No hay dudas sobre si debe eliminar parámetros como el ID de cliente o las consultas de URL. El uso de cada parámetro de forma individual puede llevar a la identificación del usuario debido al ID único en Google.
Digamos que puede ser esencial para usted analizar el tráfico móvil frente al de escritorio o las conversiones en diferentes navegadores. ¿Debe eliminar todos los datos que puedan utilizarse para la toma de huellas dactilares y la identificación del usuario o eliminar sólo algunos? ¿Puede dejar el navegador y el dispositivo si elimina todos los demás parámetros?
Asegúrese de discutir estas cuestiones con sus abogados o DPO para tener una buena protección si el regulador viene a usted. Creo que eliminar todos los identificadores de usuario que puedan utilizarse para tomar huellas digitales y reidentificar es mejor para mantener la seguridad de su empresa.
Este artículo no pretende ser una instrucción. Sólo se trata de compartir la experiencia sobre la eliminación o pseudoanonimización de datos y cómo stape lo hace automáticamente. Usted puede elegir no usar nuestro potenciador de anonimización o anonimizar manualmente cada parámetro.
Recientemente hemos lanzado una versión beta del power-up Anonymizer. Está disponible para todos los usuarios de Stape. El objetivo principal del anonimizador es eliminar o anonimizar los datos de los usuarios en Google Analytics 4 y Universal Analytics.
Para activar el anonimizador, abra el contenedor sGTM en stape, haga clic en el power-up y abra el anonimizador.
Este producto incluye datos de GeoLite2 creados por MaxMind, disponibles en https://www.maxmind.com
Tendrá que seleccionar qué parámetros quiere dejar como están, eliminar o anonimizar. Una vez configurados los parámetros, deberá actualizar la URL del servidor de etiquetado para Google Analytics 4 y Universal Analytics. Si ha utilizado previamente la URL del servidor de etiquetado https://sgtm.example.com cuando el anonimizador está habilitado, la URL del servidor de etiquetado actualizada será como https://sgtm.example.com/anonymize. Las solicitudes a sGTM se realizan a través de la ruta /anonymize y se eliminan los datos especificados.
Cuando las solicitudes de GA pasan por la URL del servidor de etiquetado que incluye /anonymize, eliminamos o anonimizamos automáticamente los parámetros seleccionados.
Después de habilitar y configurar Anonymizer, asegúrese de haber cambiado la URL de transporte de GA4/UA en la etiqueta de configuración de Web GTM por la que termina en /anonymize.
A continuación se muestra una lista de todos los parámetros que Anonimiser puede eliminar y anonimizar. Al crear Anonimyser nuestro objetivo era dar a nuestros clientes la capacidad de eliminar todos los parámetros que de alguna manera pueden ser considerados como datos personales del usuario. Puedes seleccionar qué parámetros quieres eliminar. Hable con su DPO o sus abogados para especificar qué parámetros deben ser eliminados.
Tendrás dos opciones para la mayoría de los parámetros: dejarlos como están o eliminarlos. Para dos parámetros (IP e ID de cliente), verá las opciones Anonimizar y Anonimizar estrictamente.
IP
Anonimizar - elimina el último octeto.
Anonimizar estrictamente - elimina los dos últimos octetos
Client ID. Funciona sólo si se utiliza la identificación del cliente gestionada por JavaScript.
Anonimizar - utilice un hash de IP+UserAgent y añada año+mes.
Anonimizar estrictamente - utilice un hash de IP+UserAgent y añada una marca de tiempo, crc32_hash(IP+UA).timestamp
| Nombre del parámetro | Descripción | GA4 Parámetro | Anonymize |
| IP | User IP | IP Address | Anonimizar - elimina el último octeto. Anonimizar estrictamente - elimina los dos últimos octetos |
| Client ID | Google Analytics Client ID, _ga, _ga_*, FPLC, FPID cookies | cid, _ga, _ga_*, FPLC, FPID | Anonimizar - utilice un hash de IP+UserAgent y añada año+mes.Anonimizar estrictamente - utilice un hash de IP+UserAgent y añada una marca de tiempo, crc32_hash(IP+UA).timestamp |
| User ID | User ID, Google Developer ID, Firebase ID | uid, gdid, _fid | - |
| Session ID | Session ID, New Session ID | sid, _nsi | - |
| Query parameters | Remove query paramaters from Document Location | dl | - |
| Referer | Document Referrer Header, Document Referrer Parameter | referer header, dr | - |
| User Agent | Document User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameter | user-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua | - |
| User Country | Geographical ID, Current country for the user | geoid, _uc | - |
| Browser plugins | Java Enabled, Flash Version | je, fl | - |
| Screen Info | Browser screen resolution, Viewport size | sr, vp | - |
| Screen Colors | Specifies the screen color depth | sd | - |
| User Language | Browser active locale | ul | - |
| User Agent Architecture | uaa | - | |
| User Agent Bitness | uab | - | |
| User Agent Full Version List | uafvl | - | |
| User Agent Mobile | uamb | - | |
| User Agent Model | uam | - | |
| User Agent Platform | uap | - | |
| User Agent Platform Version | uapv | - | |
| User Agent WOW64 | uaw | - |
| Campaign Medium | cm | - | |
| Campaign Source | cs | - | |
| Campaign Name | cn | - | |
| Campaign Content | cc | - | |
| Campaign ID | ci | - | |
| Campaign Term | ck | - | |
| Campaign Creative Format | ccf | - | |
| Campaign Marketing Tactic | cmt | - | |
| Google Ads ID | gclid | - | |
| Google Display Ads ID | dclid | - |
Los parámetros que recoge Google Analytics 4 cambian de vez en cuando. Por lo tanto, debe comprobar sus solicitudes de GA4 para asegurarse de que se eliminan todos los datos del usuario.
Después de configurar los parámetros en Anonimizer y cambiar la URL de transporte de GA4 a la que contiene /anonymize al final, eliminaremos o anonimizaremos los parámetros especificados.
Después de activar el anonimizador y actualizar la URL de transporte de GA4, utilice los depuradores web/sGTM, la consola y el depurador de GA4 para comprobar si se han eliminado todos los parámetros necesarios.
Esta es relativamente fácil de implementar pero tiene cierta controversia. Google tiene una función integrada para eliminar el último byte de la dirección IP. Al cortar el byte anterior, la probabilidad de que google pueda identificar a los usuarios es de 1 a 256. En combinación con otros parámetros, la IP puede identificar rápidamente a una persona concreta.
Algunas personas piensan que cortar el último octeto es suficiente. Otros creen que hay que eliminar la IP de usuario por completo. Mi opinión es que es mejor anular la IP de usuario por completo. Nunca se sabe si Google reutiliza la IP.
"Cabe señalar que los identificadores en línea, como las direcciones IP o la información almacenada en las cookies, pueden utilizarse habitualmente para identificar a un usuario, en particular cuando se combinan con otros tipos de información similares. Esto se ilustra en el considerando 30 del RGPD, según el cual la asignación de identificadores en línea, como las direcciones IP y los identificadores de cookies, a las personas físicas o a sus dispositivos puede "dejar rastros que, en particular cuando se combinan con identificadores únicos y otra información recibida por los servidores, pueden utilizarse para crear perfiles de las personas físicas e identificarlas."
Para eliminar la IP del usuario, he utilizado la etiqueta GA4 del servidor y he puesto un ip_overrride a una IP aleatoria.
Google asigna un ID de cliente único al par de dispositivos del navegador y lo utiliza para identificar cuando el mismo usuario vuelve a visitar su sitio. Este parámetro debe eliminarse o pseydoanonimizarse antes de enviarlo a GA4.
" Para garantizar una seudonimización eficaz, el algoritmo que realiza la sustitución debe garantizar un nivel suficiente de colisión (es decir, una probabilidad suficiente de que dos identificadores diferentes den un resultado idéntico después de un hash) e incluir un componente variable en el tiempo (añadir un valor a los datos con hash que evolucione con el tiempo para que el resultado del hash no sea siempre el mismo para el mismo identificador)."
Hay numerosos enfoques para anonimizar los ID de los clientes, todo depende de su imaginación y del conjunto de herramientas que utilice. Pero asegúrese de que la identificación del cliente es única y de que ha añadido un componente de variación temporal.
Se puede utilizar un hash de agente de usuario, IP, variable numérica aleatoria GTM, etc. A diferencia de la IP del usuario, no encontramos una forma de redactar el id del cliente en el lado del servidor, así que lo hicimos en el cliente.
Una vez que haya anonimizado el ID de cliente de Google Analytics, es posible que desee anular las cookies de GA4 con los nuevos valores para garantizar que GA4 no establezca ningún identificador de usuario. Para ello, he utilizado la plantilla de etiquetas Cookie Monster para el contenedor GTM del servidor. Todo lo que necesita hacer es añadir los nombres y valores de las cookies. Una vez hecho esto, no olvide utilizar la consola y comprobar las cookies que GA establece.
Después de redactar el identificador de cliente, tendrá un impacto significativo en los informes de GA4. Dado que el identificador de cliente será único, GA no podrá determinar los visitantes nuevos frente a los recurrentes. Así como la atribución multicanal y los eventos como el inicio de sesiones, la primera visita, etc.
Un referente externo está diseñado para determinar cómo un usuario aterrizó en su sitio. Fue tráfico orgánico, de pago o quizás social.
Para eliminar, debe reescribir page_referrer.
El objetivo principal de los parámetros en la URL es determinar el origen de las campañas publicitarias. Los parámetros de la URL pueden ser utm_souce, utm_medium, diferentes tipos de ID de clic, etc. Además de eso, algunas plataformas insertan automáticamente los datos del usuario en la URL.
Para eliminar los parámetros de la URL, debe reescribir la URL de la página. Varias variables en la galería de plantillas web GTM pueden ayudarle con esto. Yo he utilizado Trim Query. Sólo tiene que especificar una lista de bloqueo o allowlist de parámetros de consulta, que hará toda la magia para usted.
Esta información puede ser el agente de usuario, el dispositivo, el navegador, la resolución de pantalla, el idioma, el sistema operativo, etc. Asegúrese de haber redactado toda la información que pueda utilizarse para la toma de huellas digitales.
Asegúrese de que no utiliza identificadores cruzados como un ID de usuario o de CRM.
Esta parte es un poco difícil de entender, pero sugiero que compruebe la solicitud que su contenedor sGTM envía a GA y se asegure de que no hay parámetros que puedan ser utilizados para la reidentificación del usuario.
Hay varias maneras de comprobar si todos los datos necesarios fueron eliminados o seudonimizados. En primer lugar, debe ir al depurador GTM del servidor y ver las solicitudes GA4 salientes. Asegúrese de probar diferentes escenarios cuando hay parámetros de usuario vs. sin parámetros de usuario, parámetros de URL, varios eventos, referentes, etc.
La segunda forma es utilizar el depurador de Google Analytics 4 y ver qué datos procesa GA4.
No solo Google recoge los datos de los usuarios de la UE y los transfiere a Estados Unidos, lo que viola el GDPR. Múltiples empresas han recogido datos personales de europeos durante años, y ahora parece que sus prácticas se verán restringidas de forma generalizada en respuesta a la desactivación del Escudo de Privacidad y a la sentencia de que la transferencia de datos de los usuarios de la UE a Estados Unidos es ilegal en virtud del GDPR.
Si usted es propietario de un sitio web en la Unión Europea, es hora de empezar a cambiar los datos que comparte con las empresas estadounidenses, o puede correr el riesgo de ser multado por la aplicación de la normativa.
1. ¿Cómo puedo utilizar el servidor proxy para GA cuando se implementa a través de gtag.js?
Si utiliza gtag.js en su sitio web para enviar eventos al contenedor del servidor, puede añadir el parámetro transport_url a su etiqueta existente:
gtag('config', 'TARGET-ID', {
'transport_url': 'https://analytics.example.com',
'first_party_collection': true,
});
Puede utilizar una URL anonimizadora para anonimizar los datos de los usuarios en GA cuando se implementa a través de gtag.js. Digamos que utiliza el anonimizador Stape y su URL de anonimización es https://sgtm.site.com/anonymize. Sólo necesita añadir https://sgtm.site.com/anonymize como una URL de transporte a la configuración de gtag.
