RGPD y Google Analytics para Administraciones Públicas

Posted on 0 comentarios

Autores: Sergio Jiménez Meroño
Fecha de publicación o de alta: Mayo 2018
Comentarios:

Desde que se publica este artículo hasta la entrada en vigor del Reglamento General de Protección de Datos (RGPD) queda menos de un mes. En este momento o estás tranquilo porque has hecho los debers, o que estás un  preocupado por la que se viene encima. No es sencilla de aplicar, aunque supiéramos que venía, y las autoridades no invitan a tranquilizar a quien aplica. En este panorama, la configuración de la cuenta de Google Analytics de tu web sea la penúltima de tus preocupaciones. Es por eso que aquí en el blog quiero que sea el último y menos importante de tus problemas. Aquí os cuento qué tenéis que hacer para que vuestro Google Analytics cumpla la RGPD.

Que quede claro que, como no soy jurista, no conozco en detalle el tema del RGPD. En términos generales lo que hace (o pretende) es que se controlen los menos datos personales posibles y que sea siempre con conocimiento y control del titular de los datos. La norma ya no depende de la ubicación de la empresa, sino de dónde se accede al servicio. Es decir, si antes una empresa no tenía que cumplir “mucho” (si existe tal cosa) la normativa por estar en EEUU, ahora da lo mismo. Si presta servicio en Europa, tiene que cumplir la norma. Por eso habréis recibido cientos de correos estos días de muchos servicios avisando de que cambian sus condiciones.

El RGPD, tres pasos

Hay tres principios generales que nos aplican para el caso.

  1. No coges datos sin permiso explícito del usuario. Esto es el primer paso. Antes de conseguir cualquier información de un usuario, tendrás que pedir permiso a las personas que usan el servicio. Y el permiso tiene que ser explícito, nada de “si sigues leyendo es que aceptas”… No, aquí si no se da a un botón de acepto, no se mira. No tengo ni idea de cómo plantea la Unión Europea controlar esto a nivel de log de servidor.
  2. Incluso con permiso, no coges más de lo que necesitas. Este es el segundo pilar. Cuando alguien da permiso, aunque sea uno de esos bichos raros que NO se leen los Términos y condiciones no se cogen más datos de los necesarios para el servicio. Esto significa que si quieres saber qué webs mira la gente, no necesitas saber si es hombre o mujer. Esto incluye la vida de los mismos: cuánto tiempo se quedan los datos.
  3. Tienes que tener a alguien que responda de los datos. Esto está claro y lo tenemos claro. Habrá un delegado de datos, un Compliance Officer y son los responsables de lo que pase con esos datos.

Y con esto es con lo que tenemos que trabajar.

RGPD y Google Analytics: tres strikes habituales

Vayamos por parte. Google Analytics en una implementación simple hace seguimiento del usuario desde el momento que entra en la web. Una vez que se carga la cabecera de la web, Google revisa la cookie, chequea si está, si no está la inserta, y empieza a coger los datos de la visita. Luego los almacena y los procesa para verlos. Así nos estamos saltando el primer principio. Este es el caso de la gran mayoría de sitios web. Strike 1.

En todo caso, salvo instalaciones avanzadas, no es muy invasivo. Apenas coge un par de datos considerados personales (IP y Cookies) y sólo uni aparece en informes (las cookies). Cualquier otra cosa más complicada requiere o tocar la configuración, o la web o las dos. Aqui cumplimos (más o menos) la segunda opción. Las cookies sí son necesarias para hacer el seguimiento, pero la IP no. Strike 2.

En tercer lugar, hasta la fecha el único control de Google sobre la responsabilidad de los datos de Analytics era el responsable de la cuenta asignada. Así que podría haber alguna vulneración de esta normativa y que al final la cuenta titular estuviera a un nombre inexistente o no personalizado. Strike 3.

¿Qué hay que hacer para cumplir la RGPD con tu cuenta de Google Analytics?

Cuestiones legales

En primer lugar tenemos que ajustarnos a la normativa. En  administrar>>Cuenta>> Configuración de la cuenta tenemos que aceptar la addenda sobre el tratamiento de datos del RGPD. Pensad que como ahora tendréis que tener una política de protección de datos, tenéis que ver si se ajusta o no a ella.

Pantalla de actualización de términos de uso de Google Analytics para la RGPD.

Acto seguido, le damos al enlace Administrar Detalles ATD. Allí debemos introducir los datos de la persona o personas responsables de la organizacións. Esto nos permite introducir nombre, apellidos, correo electrónico y postal del:

  • Contacto principal
  • Responsable Protección de datos
  • Representante en el Espacio Económico Europeo (si lo necesitáis, que es poco posible)
Pantalla de alta de responsables de datos de la organización.
Pantalla de datos.
Cuestiones técnicas

El siguiente paso es configurar “la cosa” para que técnicamente cumplir el RGPD. Tenemos 3 cosas que hacer.

  • Crear un mecanismo de consentimiento. Hasta ahora las AAPP no tenían obligación de informar de las cookies por la LSSI tal y como vimos en su día. Estos mecanismos eran un mensaje flotante que avisaba de un consentimiento tádito. Esto ya no es algo válido. Tendréis que poner este cuadro de diálogo que se muestre cuando se accede sin haber dado antes consentimiento y que, hasta que no se de al botón “aceptar” no se ejecute el código de Google Analytics. No es algo difícil, pero hasta donde yo sé, no hay soluciones estándar y creo que Google no lo provee. Así que hay que en esto es donde estáis más solos.
Aviso de cookies del blog. Tendréis que poner algo parecido para hacer el seguimiento de usuarios.
  • Anonimizar la IP. Este tema ya lo hemos hablado. Configurar que las IP’s se alamacenen ofuscando datos es algo que puedes hacer modificando el código de Google Analytics o, con Google Tag Manager.
  • Definir la vida útil de los datos. A partir de ahora Google te da la opción de decidir con que antigüedad quieres que se almacenen los datos de los usuarios. Esto lo puedes hacer yendo a la Administrar>>propiedad>>Información de seguimiento>> retención de datos. Esto nos permite decidir entre 12, 26, 38, 50  meses y para siempre. Lógicamente, para siempre no es algo proporcionado, así que sugeriría 26 o 38 (considerando que muchos de los datos como páginas vistas, no se perderán) que es más que suficiente.
Pantalla de configuración de la retención de datos en Google Analytics.

Adicionalmente, Google se compromete a tener una herramienta que permita eliminar datos individuales. En el caso del que hablamos, si alguien solicita que se eliminen sus datos, que serían una cookie, de la que nos tendría que pasar el número, podríamos hacerlo. Esto permite cumplir la ley sin problemas.

Lo que NO hay que hacer

Hay dos cuestiones que no hay que hacer bajo en la gran mayoría de los casos.

  • Activar el remarketing e informes de publicidad: El remarketing permite hacer listas de usuarios que visitan la web, o están cierto tiempo o lo que sea, para poder enviarles información. Esto es un parámetro que está en administrar>>propiedad>>información de seguimiento>>remarketing. Pues bien, A no ser que queráis enviar recordatorios o similar (que es una opción interesante, pero que no aplica casi nunca para sector público), no le déis al botón. De los de publicidad, ni os cuento.
Pantalla de configuración de informes demográficos.
  • Informes demográficos. Los informes demográficos  son esos tan chulos que te dicen edad, sexo, o aficiones del público. Esto se hace triangulando bastantes datos de bastantes sitios. En caso de usarlos informarlo abiertamente dado que compartes datos para hacerlos. En todo caso, como no creo que lo necesites o lo uses para nada, no los actives. Si los tienes activados, vete a Administrar>>propiedad>>configuración de la propiedad y ahí, lo desactivas.
Complemento de Facebook que posiblemente haga seguimiento de usuarios sin que lo sepas.

Un punto adicional. Es posible que tengas en la web plugins o complementos como esos recuadros de “tenemos x seguidores en facebook” y demás. Atentos, porque estos plugins hacen seguimiento de usuarios y puede que tú no lo sepas. En este caso, tienes la obligación de informar o de quitarlo. Si tenéis plug-ins de terceros, revisadlos.

El RGPD: una oportunidad

Realmente, estas tareas no son especialmente complicadas. Ahora que están recopiladas,  salvo el tema del consentimiento explícito que tiene un plus de programación, el resto es parametrización. En todo caso,hablamos de una situación en la que puede ser que perdamos datos que antes se cogían. Sin embargo, creo que  se trata de una oportunidad de revisar no sólo la configuración de Google Analytics, sino del papel que juega en la estrategia de la organización.

Así que, a parte de implantar estos datos, puedes revisar el resto de tu instalación con la guía, y, en su caso, si estás aprovechándolo. Puedes aprovechar para revisar filtros, segmentos, crear objetivos, pensar cuadros de mandos… Como decía, estoy convencido de que la mayoría de los que leeis el blog tenéis Analytics, queréis usarlo, pero no os apañáis. Si ese es el caso, y necesitáis ayuda, tanto para adaptarte al RGPD como para mejorar tu configuración y conocer a la ciudadanía, estamos aquí para ayudarte. Contactanos y veremos cómo ayudar a tu organización.

Sigue toda la actualidad con Club de Innovación:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *