Stape
Búsqueda
Pruébelo gratis

Server-side tracking y GDPR

Actualizado
16 jul 2024
Publicado
14 dic 2021
También disponible

El Reglamento General de Protección de Datos (RGPD) y la Ley de Privacidad del Consumidor de California (CCPA) son conjuntos de leyes de privacidad en línea que todos los propietarios de sitios web deben conocer y seguir. Establece normas específicas sobre el tratamiento de datos personales, incluida la recopilación, el almacenamiento y la eliminación de los mismos.

El GDPR puede afectar en gran medida a los datos de los usuarios que se recopilan en el sitio web y a cómo se utilizan. En esta entrada del blog, quiero hablar de cómo Google Tag Manager del lado del servidor puede ayudar a adaptar el seguimiento a los requisitos del GDPR. 

¿Qué es el GDPR (RGPD)?

El GDPR es un conjunto de normas que limitan la información sobre los usuarios que los sitios web pueden recopilar, cómo deben gestionarla, almacenarla y procesarla. Este conjunto de normas se organiza en 99 artículos individuales de las leyes del GDPR.

El GDPR entró en vigor el 25 de mayo de 2018. Sin embargo, los principios fundamentales de las leyes del GDPR siguen siendo los mismos en todos los países europeos, y cada país tiene derecho a modificarlo según sus necesidades. Por ello, debe conocer los aspectos del GDPR en su país.

Es importante entender que las normas del GDPR también se aplican a usted si tiene un negocio y un sitio web fuera de la UE (digamos en los Estados Unidos o Asia). Debe seguir cumpliendo las normas del GDPR si un usuario visita su sitio desde un país europeo.

¿Qué significa el GDPR para el seguimiento de sitios web?

El punto clave del que hablan las normas del GDPR son los datos personales. Describe cuándo y cómo los propietarios de sitios web pueden recopilar datos personales, almacenarlos y si están autorizados a transferirlos a terceros. 

Aunque cada país tiene derecho a cambiar la definición de Información Personal Identificable (IPI) o Personal Identifiable Information (PII), el nombre, la dirección, el correo electrónico, la IP o incluso las cookies de un usuario pueden considerarse IPI. Además, los datos sobre la salud, la religión o las preferencias políticas de los usuarios también pueden ser IPI.

Aunque el objetivo principal del GDPR, la ePrivacy y la CCPA era restringir a las grandes empresas de publicidad (como Google o Facebook) la elaboración de perfiles en diferentes sitios web y proteger la privacidad de los usuarios, con mayor frecuencia, las empresas más pequeñas comenzaron a recibir notificaciones o incluso multas por no cumplir con la política del GDPR.

1. Consentimiento de las cookies

cookie consent

Web Google Tag Manager ha lanzado recientemente una función de modo de consentimiento. Esta función todavía está en fase beta, lo que significa que podemos esperar muchas mejoras y cambios en un futuro próximo. Con el modo de consentimiento activado, Google comprueba el estado de consentimiento de los usuarios y reacciona en consecuencia. Dependiendo de lo que el usuario haya seleccionado en su banner de cookies, Google entenderá si GTM puede establecer cookies.

El modo de consentimiento de Web Google Tag Manager debe funcionar junto con la plataforma de gestión de consentimiento (CMP). El objetivo principal de la CMP es permitir a los usuarios seleccionar las cookies que permiten utilizar a los sitios. La mayoría de las CMP más populares tienen integración con el modo de consentimiento de GTM web. Esto significa que bloquean automáticamente las cookies y los rastreadores hasta que el usuario da su consentimiento.

Hay varios requisitos diferentes para el banner de cookies, y cada país tiene sus ajustes. Por ejemplo, algunos gobiernos exigen que se utilice un solo color para todos los botones. No se puede hacer que el botón "Permitir cookie" sea verde mientras que el botón "Bloquear cookie" sea blanco, haciendo que sea más naturalmente correcto pulsar el botón verde.

Otro requisito para un banner de cookies es que el usuario pueda navegar fácilmente por un sitio web sin tener que hacer clic en ningún botón del banner de cookies. Una de las actualizaciones recientes dice que se deben conservar los logs de todas las decisiones de consentimiento del usuario.

2. Consentimiento de correo electrónico promocional.

En la mayoría de los casos, hay dos tipos de correo electrónico: promocional y estrictamente necesario. No está permitido enviar correos electrónicos promocionales sin el consentimiento del usuario.

Por ejemplo, puede enviar el evento a su software de marketing por correo electrónico cuando un usuario existente acepta recibir materiales de venta y promoción. Puede utilizar la web Google Tag Manager para identificar a los usuarios que aceptaron recibir correos electrónicos promocionales. Por otro lado, si un nuevo usuario quiere recibir correos electrónicos de marketing, GTM web no le ayudará ya que la mayoría de las plataformas de software de correo electrónico no permiten crear nuevos usuarios en sus sistemas desde la web. Sólo se puede hacer a través del backend o servidor GTM.

Google Tag Manager del lado del servidor y el GDPR

El GTM del lado del servidor le permite controlar mejor el flujo de datos que recibe cada proveedor. El escenario ideal de cómo debería funcionar la GTM del servidor: usted tiene un flujo de datos en la GTM web que entrega datos a la GTM del servidor. Por ejemplo, puede utilizar Google Analytics 4 para enviar datos al contenedor del servidor. El GTM del servidor procesa las solicitudes de GA4 y las mapea en los datos de los eventos dentro del sGTM. A continuación, puede utilizar los datos de los eventos y las solicitudes HTTP para enviar información a herramientas de terceros.

stape server gtm

¿Tiene el servidor GTM un modo de consentimiento?

El GTM del servidor no tiene el consentimiento hecho, similar al GTM de la web. Deberá configurar una plataforma de gestión del consentimiento e integrarla con el Google Tag Manager web. El modo de consentimiento de la web GTM controlará qué información recopila GA4 y la enviará en función del consentimiento del usuario. Si el usuario no acepta el uso de cookies, Google Analytics 4 funcionará en modo restringido y no leerá ni escribirá cookies de marketing.

Cuando un usuario no da su consentimiento para establecer cookies de marketing, Google Analytics seguirá enviando solicitudes al contenedor GTM del servidor, lo que significa que sus datos se entregarán y procesarán en el servidor GTM. En este caso, la diferencia es que GA no podrá escribir, almacenar ni leer cookies.

Este tipo de solicitud tendrá un nuevo parámetro gcs que contiene el estado de consentimiento. Puede utilizar este parámetro en el GTM del servidor para registrar el modo de consentimiento del usuario.

Requisitos del GDPR para el GTM del servidor

Las normas del GDPR exigen que todos los países europeos almacenen la información de los visitantes de su sitio web en servidores situados en Europa. Cuando configure un servidor Google Tag Manager para el sitio web de la UE, asegúrese de seleccionar la región de alojamiento europea. 

¿Cómo ayuda el servidor GTM a cumplir con las normas del GDPR?

1. Controlar qué datos recogen los terceros.

Al insertar scripts de seguimiento web de terceros, no es posible controlar estrictamente la información que estos scripts recogen. Pueden recoger datos sensibles o identificadores personales sin que usted lo sepa.

El servidor Google Tag Manager resuelve este problema. Supongamos que usted quiere configurar el seguimiento del lado del servidor para Facebook sin utilizar el de la web para restringir que FB recopile datos no deseados de su sitio web. En este caso, las etiquetas del servidor de Facebook enviarán sólo la información que usted haya especificado dentro de estas etiquetas. FB no podrá acceder a ninguna otra información.

Puede utilizar las solicitudes HTTP salientes para ver qué información se ha enviado a Facebook. Esto evitará que FB recopile cualquier dato de su sitio web que no esté autorizado a recopilar.

2. Eliminar datos sensibles y PII.

Según la política de Google o Facebook, no se puede enviar información personal identificable (PII) a estas plataformas. El nombre del usuario, el correo electrónico y el número de teléfono pueden considerarse PII.

Hay dos maneras en las que sGTM puede ayudar con la PII. Puede eliminarla antes de enviarla a las plataformas de terceros, o puede hacer un hash de la IIP antes de enviarla.

Si ha configurado el CAPI de Facebook, sabrá que es necesario aplicar un hash a algunos parámetros antes de enviarlos al servidor de Facebook. Lo mismo ocurre con GA. Por ejemplo, usted puede hashear el correo electrónico del usuario antes de enviarlo a GA4, lo que cumplirá con la política de privacidad de GA.

Por lo tanto, si el envío de datos del usuario va en contra de la política de privacidad de GA4 y el GA4 del lado del servidor es una de las formas más populares de enviar datos de la web al servidor de GTM, ¿cómo debería abordarlo sin violar la política de privacidad con respecto a la información personal?

Tenemos varias soluciones:

1. Hashear los datos del usuario antes de enviarlos. 

Cada plataforma tiene sus estándares de hash de los datos de los usuarios. Google Analytics dice que se debe utilizar SHA256 + el uso de una sal, con un mínimo de 8 caracteres. Facebook también requiere SHA256, mientras que MailChimp requiere MD5.

Dicho esto, usted puede hashear los datos de los usuarios en la web GTM antes de enviarlos a cualquier proveedor. Existen plantillas personalizadas en la galería de GTM web/servidor para realizar el hash de los datos de los usuarios que simplifican el hash.

2. Utilizar el falso Google Analytics 4 ID

Algunas personas utilizan un ID de Google Analytics 4 real para realizar el seguimiento de los eventos, mientras que el ID de GA4 falso sólo se utiliza para entregar los datos al contenedor del servidor. Esto protegerá su propiedad principal de GA4 de ser bloqueada por no cumplir con la política de GA. 

3. Utilizar Data Tag/Data Client

Puede utilizar Data Tag/Data Client para enviar información al servidor GTM. Y luego, dentro del servidor GTM, hacer un hash de los datos necesarios antes de enviarlos al proveedor.

3. Modificar la IIP antes de enviarla.

No sólo los datos del usuario (como el correo electrónico o el número de teléfono) pueden considerarse IIP. Tenemos un cliente que hace publicidad de equipos médicos en Facebook. En las direcciones URL figuran los nombres de los aparatos médicos y, a veces, de las enfermedades. Facebook se queja de que envían información sanitaria de los usuarios (considerada IIP) a Facebook, lo que va en contra de la política de FB. FB también notificó que su cuenta de anuncios podría ser restringida de la publicidad si no eliminan la información de salud de las URLs.

Usando Server GTM, usted puede modificar la URL de un sitio web antes de enviarla a cualquier proveedor. Usted puede cortar los parámetros de la URL o reemplazar cualquier palabra clave en la URL.

Cómo utilizar el estado de consentimiento en el servidor GTM

1. En primer lugar, seleccione y configure una plataforma de gestión del consentimiento. Para stape.io, utilizamos cookiebot ya que tiene todas las características que requiere el GDPR, un precio razonable, y la integración con el modo de consentimiento en la web GTM. En este manual utilizaré cookiebot. Algunos pasos de la integración pueden ser diferentes si se utiliza otro CMP, pero la lógica debería ser la misma. 

4. Configure una etiqueta CMP en la Web GTM. Lo más probable es que usted encuentre su etiqueta CMP en la galería de plantillas de la web GTM. En mi caso, añadí la etiqueta cookiebot de la galería -> creé una nueva etiqueta -> añadí el ID, y definí el estado de consentimiento por defecto. Esta etiqueta debe activarse en el disparador de Inicialización de Consentimiento. 

tag configuration

5. En la Web GTM, hay etiquetas con comprobaciones de consentimiento incorporadas (principalmente los productos de Google, como Google Ads, Google Analytics y Floodlight). La principal ventaja es que estas etiquetas reaccionan automáticamente al comportamiento de consentimiento y ajustan sus acciones. No se necesita ninguna configuración adicional.

Tenga en cuenta que tendrá que establecer las configuraciones adicionales para aquellas etiquetas que no admitan comprobaciones de consentimiento integradas. Lo más probable es que tenga que utilizar eventos personalizados en GTM para ello. Así como configurar los ajustes de consentimiento.

6. El siguiente paso sería configurar o modificar las etiquetas GA4 en el contenedor Web GTM. Para ello, vaya a la Configuración avanzada -> Configuración del consentimiento -> active. No se requiere consentimiento adicional. Modifique esta etiqueta para que se active en la etiqueta de Inicialización del Consentimiento.

tag configuration

7. Abra las vistas previas del GTM de la web y del servidor y pruebe el GA4 como si fuera un usuario que no ha seleccionado nada en el banner de cookies ni ha denegado las cookies. En el GTM del servidor, debería ver gcs=G100 en las solicitudes de GA. El parámetro Gcs indica el estado del consentimiento, y gcs=G100 significa que el usuario no ha dado ningún consentimiento. 

http request

8. Pruebe GA4 como si fuera un usuario que permite las cookies. En este caso, en las peticiones del servidor GA4, debería ver gcs=G111.

http request

9. Digamos que quiere establecer una etiqueta en el contenedor sGTM que no se dispara cuando un usuario niega el almacenamiento de cookies. En este caso, crea una nueva variable con el tipo Query Parameter y añade gcs. Después puede crear un disparador que restrinja que la etiqueta se dispare cuando gcs=G100, significará que el usuario negó el consentimiento. 

variable configuration

Conclusión:

Con la ayuda de Google Tag Manager web, puede adaptarse a las normas del GDPR más fácilmente. Todo lo que tiene que hacer es elegir entre varios sistemas de gestión de consentimiento o utilizar una solución personalizada y luego integrarla con su GTM web, para que los derechos de privacidad en línea de los usuarios se protejan adecuadamente y al mismo tiempo permitir el uso de las cookies necesarias para proporcionar una experiencia fluida.

Por ahora, el GTM del servidor no tiene un modo de consentimiento incorporado, pero puede utilizar las solicitudes de GA para leer el estado del consentimiento desde el GTM web. GTM deniega la configuración y lectura de cookies en el modo de consentimiento "no permitido", mientras que las solicitudes de GA seguirán siendo procesadas.

El GTM del servidor le permite controlar estrictamente los datos que reciben sus proveedores. A diferencia del seguimiento del navegador, en el que no se puede estar 100% seguro de la información que recogen los scripts. Con el etiquetado del lado del servidor, sólo los datos configurados se entregarán al proveedor de terceros. No sólo ayuda a proteger su sitio de scripts no deseados, sino que también lo acelerará porque no se hará ningún trabajo en el navegador del usuario. El seguimiento de SS también permite modificar y hacer un hash de la PII antes de enviarla a las herramientas de terceros.

Si usted está buscando una manera de optimizar el rendimiento de su sitio web y hacer que los datos del usuario sean seguros - entonces el seguimiento del lado del servidor es algo que debe ser considerado seriamente. Podemos ayudarle a configurar el seguimiento del lado del servidor para cualquier sitio web.

Etiquetado con:gtm server

Pruebe Stape para todo del lado del servidor¡ahora mismo!