Skip to content

BLOG

Novedades, ideas y reflexiones varias.

Photo by Doloresz Dombi on Unsplash

El problema con Google Analytics no es su ilegalidad

[Editado el 30 de enero para incluir referencia a las nuevas directrices de la autoridad supervisora holandesa para el uso de Google Analytics sin necesidad de consentimiento previo]

Una vez más, queda expuesta la incompatibilidad manifiesta entre la mentalidad binaria de la comunidad técnica (territorio de los números y la precisión) y la naturaleza líquida y flexible del ámbito legal (territorio del lenguaje y su interpretación). 


Los hechos

La autoridad de protección de datos austríaca considera que el operador de Netdoktor no se ajusta a la normativa por hacer un uso de Google Analytics que, además de patrones de navegación y otros datos genéricos, almacena la dirección IP de sus visitantes. Esto ha sido precedido por la decisión del Supervisor Europeo de Protección de Datos (una especie de AEPD con jurisdicción sobre las instituciones comunitarias) al respecto del uso que el Parlamento Europeo hace de la misma herramienta.

Las consecuencias

Nadie ha dicho que Google Analytics sea “ilegal”, salvo la plétora de servicios competidores que han saltado rápido a la yugular. Lo que sí está claro es que no puede enviarse datos personales a EEUU con confianza alguna (ni siquiera bajo Standard Contractual Clauses) en un mundo post-Schrems II, y que la dirección IP ya entra abiertamente bajo esa categoría. 

Eso sí, cuando reducimos las capacidades de la herramienta al análisis agregado y anónimo nos aporta poco valor añadido frente a un montón de productos de mucha menor sofisticación, con el desincentivo y riesgo de seguir guardando datos (anónimos o no) en Estados Unidos.

Es por esto que tiene sentido pensarse bien un cambio a soluciones sencillas, locales y de bajo coste que reduzcan la dependencia del buscador y su tendencia a amasar más información de la estrictamente necesaria. 

El destripado

Y por fin vamos con el destripado visual para los enemigos del “depende”, si bien tendremos que poblarlo de notas al pie para dejar claros los pormenores.

La distinción más importante se produce en el salto entre una implementación “aislada” del producto de medición digital (“escenario 1”) y un aprovechamiento de sus capacidades de enriquecimiento con datos externos, o deduplicación a efectos de evaluación de inversiones (“escenario 2”). 

La mera ofuscación de la dirección IP en Google Analytics (algo que sucede automáticamente en algunas versiones) debería de bastar para no pasar de la primera casilla, evitando completamente el faldón de consentimiento, siempre y cuando no se guarde más información (códigos postales, códigos de cliente, propiedades varias), encriptada o no. Y siempre y cuando no se integre la información recabada en Google Analytics con CRM, CDP u otros productos a nivel granular (la autoridad holandesa extiende estos requisitos en sus propias directrices al respecto).

El problema de pasar al segundo nivel, en el caso de Google Analytics, es que automáticamente nos encontramos ante el precipicio del tercero (“escenario 3”), porque el dato se está mandando siempre a Estados Unidos y hace ya meses que no podemos ampararnos en el Privacy Shield o, incluso, las Cláusulas Contractuales Modelo (o SCC) para esa transferencia de datos. Las alternativas que se ofrecen son medidas de seguridad adicionales (encriptación) que la agencia supervisora (AEPD) tendrá que considerar suficientes, o bien otra capa de consentimiento cualificado o “explícito” que por aquí solemos llamar “pata negra” porque requiere una verificación en dos pasos o fórmula similar.

Los artículos que siguen fundamentan las premisas fundamentales del diagrama: 

En fin, es por todo ello muy cuestionable que un 30% de la audiencia (que, por ejemplo, termine aceptando cookies cuando la pregunta es verdadera) pueda representar al 100% en el escenario 2 (teniendo además en cuenta que hablamos de comportamientos/perfiles muy diferenciados). Y lo es más aún que lo haga el 10% que además pasa el filtro de una verificación en dos pasos (para enviar el dato a nube en EEUU a falta de cláusulas contractuales modelo y medidas de seguridad adicionales), en el escenario 3.

Con lo que volvemos a la casilla de salida: tenemos que escoger entre una muestra muy pequeña y profunda (de la audiencia) y una muestra muy amplia y superficial. Lo bueno es que la estadística avanzada (a veces digna de auparse a “IA”) ya nos permite hacer cosas más interesantes con esta última, en este fantástico mundo que ha venido a llamarse Privacidad desde el diseño.

(Foto de cabecera de Doloresz Dombi on Unsplash)

Share on twitter
Share on facebook
Share on linkedin