Europa se ha visto afectada por una serie de restricciones de Google Analytics en los últimos meses. Hay varios incidentes en diferentes países, pero la incidencia más extendida fue la relacionada con las regulaciones en Italia, Francia y Austria, donde los reguladores de protección de datos dijeron que el uso de Google Analytics no cumple con el GDPR.
En este artículo, quiero hablar de la normativa que prohíbe la transferencia de datos de los usuarios europeos a las empresas estadounidenses. También voy a cubrir cómo se puede utilizar Stape Europe para configurar un servidor proxy de la UE para el servidor GTM que ayudará a que el uso de Google Analytics GDPR compatible.
La historia legal del intercambio de datos entre empresas de la UE y de Estados Unidos comenzó en 2016 cuando la Comisión Europea aprobó el Escudo de Privacidad (un marco legal que regula la transferencia de datos con fines comerciales entre empresas de Estados Unidos y de la UE).
En 2020 el Tribunal de Justicia de la Unión Europea declaró que el Escudo de Privacidad tiene una incapacidad. Sucedió ya que la legislación estadounidense no ofrece suficiente protección de los datos personales para los residentes europeos.
El amplio debate en esta sentencia se refería a los servicios de Google (como Google Analytics o Google Fonts) que no pueden garantizar la seguridad de los datos de los usuarios de la UE.
Los reguladores declararon que pedir el consentimiento del usuario (o cláusulas contractuales estándar) en el sitio y activar una herramienta de seguimiento inteligente basada en el consentimiento del usuario no hará que se cumpla el GDPR.
Los dos incidentes más famosos relacionados con la transferencia de datos de usuarios de la UE a EE.UU. se produjeron en Italia y Francia. Empecemos con el de Francia.
La autoridad francesa de protección de datos (CNIL) recibió quejas de usuarios franceses que preguntaban si el uso de Google Analytics (una herramienta de inteligencia que pertenece a la empresa estadounidense) cumple con las normas del GDPR.
La CNIL declaró que el uso de Google Analytics por parte de los sitios web franceses supuso una transferencia de datos de los usuarios europeos a empresas estadounidenses. Esto infringe las normas del GDPR, ya que las empresas estadounidenses no aportan suficientes pruebas de que los datos personales de los usuarios de la UE estén seguros. Además, la CNIL ha confirmado que la aplicación de los CSC por parte de Google no es suficiente para cumplir los requisitos del RGPD.
La situación en Italia es en cierto modo similar. El regulador italiano de SA recibió preguntas de varios usuarios sobre si el uso de Google Analytics por parte de un sitio italiano concreto entraba en el ámbito del GDPR. Después de las largas investigaciones, el regulador italiano advirtió a las empresas que dejaran de usar Google Analytics o que configuraran GA de forma compatible con el GDPR en 90 días.
Además, el regulador italiano hizo público que había recibido múltiples quejas sobre la transferencia de datos a las empresas estadounidenses. Todos los propietarios de sitios web italianos deberían tenerlo en cuenta a la hora de implementar herramientas de seguimiento inteligente con sede en Estados Unidos. De lo contrario, podrían aplicarse sanciones.
Así que, en resumen, la transferencia de datos de los usuarios de la UE a las empresas estadounidenses no cumple con el GDPR. La mayor duda se refiere al uso de Google Analytics, ya que es la herramienta de análisis más extendida.
Encriptación de datos.
El regulador italiano dice que la transferencia de datos encriptados no es una forma aceptable y no puede garantizar la protección de los datos del usuario. La razón es que la tecnología de encriptación espera que las claves de encriptación en el sitio de Google puedan ser utilizadas para ver y procesar los datos en bruto del usuario. Así que mientras la clave de cifrado esté disponible para el importador de datos (en este caso, Google), este método no puede considerarse conforme al GDPR.
Funciones integradas de Google Analytics que eliminan la información de identificación personal.
Google trató de adaptarse a las normas de privacidad de la UE implementando funciones diseñadas para anonimizar los datos de los usuarios. Los reguladores de la UE dijeron que, en la práctica, tecnologías como la de redactar la IP del usuario podrían tener un efecto casi nulo a la hora de evitar la identificación del usuario. Principalmente debido al constante procesamiento de la IP por parte de Google.
Consentimiento del usuario.
Google Analytics sigue sin ser GDPR si un usuario consiente las cookies de análisis. Afirmaron que la transferencia de datos a empresas estadounidenses y el consentimiento son diferentes. El consentimiento del usuario no ayuda a solucionar el problema de la transferencia de datos fuera de la UE.
Según ambos reguladores, la posible solución es utilizar un servidor proxy de la UE. Este servidor proxy tiene como objetivo romper la interacción de las herramientas de seguimiento de la inteligencia estadounidense con los navegadores de los usuarios. Una de las formas, y tal vez la más fácil, de implementar dicho servidor proxy es utilizar el servidor Google Tag Manager.
Los servidores proxy deben cumplir una serie de criterios. Los dos más importantes son:
Aunque el punto sobre las empresas registradas en la UE está claro, puede comprobar rápidamente dónde está registrada una empresa en su sitio web o consultando los directorios de registros públicos. El segundo punto puede ser complicado.
El principal malentendido viene sobre el uso de Google Cloud para sGTM. No se puede utilizar Google Cloud como servidor proxy para su sGTM. Al configurar un servidor proxy (que puede ser un servidor Google Tag Manager), no sólo la zona del servidor debe estar en Europa, sino que el servidor físico debe estar ubicado en Europa y ser propiedad de una empresa europea. Google no es una empresa de la UE, lo que significa que no satisface dos criterios principales.
La mala noticia es que el uso de un servidor proxy 100% UE para su servidor Google Tag Manager es insuficiente. Debe eliminar cualquier dato del usuario que la plataforma de análisis utilice para tomar huellas digitales o identificar a los usuarios. También debe pseudoanonimizar los datos de los usuarios antes de enviarlos a la herramienta de seguimiento estadounidense.
1. Dirección IP.
Debe eliminar la dirección IP de la solicitud para asegurarse de que no puede utilizarse para identificar a los usuarios. Cortar simplemente la IP no funcionará, ya que puede seguir utilizándose para identificar las zonas en las que se encuentra el usuario.
2. Identificadores de usuario.
Cuando un usuario visita su sitio, Google genera un ID de cliente único que identifica el par navegador-dispositivo del usuario y almacena las cookies. El ID de cliente generado por Google debe ser eliminado, aunque puede seguir utilizando un ID de cliente generado aleatoriamente.
3. Remitente externo.
Debe eliminar cualquier dato sobre el sitio web que el usuario visitó antes de aterrizar en su sitio. Por lo general, estos datos llevan información sobre si los visitantes aterrizaron en su sitio haciendo clic en un enlace en la entrada del blog de alguien, la búsqueda orgánica, etc.
4. Parámetro de la URL.
A menudo, los parámetros de la URL contienen información sobre la fuente, el medio, la campaña o la identificación del clic. Además, algunos sitios web insertan datos del usuario (como el correo electrónico, el nombre o el teléfono) en la URL. Sea cual sea el parámetro de la URL que lleve su sitio, hay que eliminarlo.
5. Cualquier dato que pueda ser utilizado para la toma de huellas dactilares.
Se puede utilizar un montón de datos para la toma de huellas dactilares; por ahora, no hay información clara sobre qué reguladores de datos cuentan como los que se pueden utilizar para la toma de huellas dactilares. Sin embargo, puede incluir el navegador, el dispositivo, el modelo, la configuración del idioma, la resolución de la pantalla, etc.
6. Identificador cross-site.
Básicamente, cualquier ID puede identificar al mismo usuario en un sitio web diferente. Puede ser un ID de usuario, un ID de usuario en CRM, un correo electrónico de usuario, etc.
7. Cualquier dato que pueda ser utilizado para la identificación del usuario.
Cualquier información sobre el usuario.
Por ahora, no hay manera de automatizar la eliminación de todos los parámetros descritos anteriormente. Todos ellos deben ser sustituidos manualmente utilizando la interfaz del servidor Google Tag Manager.
Para hacer frente a estos retos de seguimiento, creamos un nuevo producto: Stape Europe. Stape Europe es una empresa europea (registrada en Estonia) que utiliza un proveedor de servidores en la nube 100% de la UE, Scaleway, para alojar los contenedores GTM del servidor.
Cubrimos todas las cuestiones relacionadas con el servidor proxy propiedad de la UE. Cuando se configura un contenedor sGTM utilizando Stape Europe, no se transfiere ningún dato a la empresa estadounidense, ya que la propia Stape Europe es una empresa registrada en la UE, y utilizamos servidores que se encuentran físicamente en Europa.
Lamentablemente, por ahora, no tenemos una solución para la eliminación automática de los datos de los usuarios. Aunque nuestro equipo está trabajando duro para implementar funciones que ayuden a eliminar la IIP de forma automática, o al menos le haremos la vida más fácil eliminando parte de la PII automáticamente.
Hay que hacer mucho trabajo para que el uso de Google Analytics cumpla con el GDPR. Puede ser un verdadero dolor si no está familiarizado con el etiquetado del lado del servidor.
Lo bueno es que con Stape Europe, no tiene que preocuparse por el servidor proxy de la UE y puede sumergirse directamente en las limitaciones de datos establecidas en la interfaz del servidor Google Tag Manager.
¿Cómo serían los datos de Google Analytics después de eliminar toda la información necesaria? ¿Serán suficientes para analizar el comportamiento de los usuarios, el rendimiento del sitio, etc.? Bueno, veremos menos datos de los que estamos acostumbrados. Pero parece que es una nueva realidad a la que debemos acostumbrarnos.
O bien decide seguir cumpliendo con el GDPR y recibir menos datos sobre los visitantes del sitio web. O descuidar estas normas y arriesgarse a recibir advertencias o multas por transferir los datos de los usuarios a Estados Unidos.
Aunque hubo casos relacionados con la transferencia de datos en Italia, Francia y Austria, algunos otros países europeos ya han empezado a hablar de regulaciones similares. Así que si usted implementa el seguimiento del lado del servidor, le sugiero que elimine inmediatamente la parte con la transferencia de datos a los Estados Unidos. No espere a que se produzcan los mismos casos en su país; debe rehacer la configuración.
De todos modos, si tiene alguna pregunta, no dude en ponerse en contacto con nosotros. El equipo de Stape también puede ayudarle a configurar un servidor proxy de la UE.
Todo lo que se necesita son unas simples preguntas. Haga clic en Obtener ayuda, rellene el formulario, y le enviaremos un presupuesto.