¿Te ha gustado el artículo?
0
¿Te ha gustado el artículo?
0

Analítica web y la ley de cookies: Google Analytics y Piwik

La analítica web se ha convertido en un instrumento central para el marketing online. La mayoría de páginas web utilizan herramientas de seguimiento como Google Analytics o Piwik para entender el comportamiento de los usuarios en ellas, ya que los datos generados permiten extraer evidencias que se pueden utilizar para mejorar la usabilidad de las páginas o diseñar los procesos de forma más eficiente. Y si, por un lado, el comercio electrónico no se puede imaginar un mundo sin analítica web, el sector crítico, por el otro, enciende la alarma de la protección de la privacidad del usuario.

El temor que sustenta esta oposición es precisamente la falta de conocimiento del usuario sobre los datos que se recolectan y con qué finalidad se hace. El trato de los datos personales, con los cuales se crean perfiles de usuario con los que se pueden sacar conclusiones acerca del cliente individual, presenta la mayor fuente de conflicto. Sin embargo, es posible realizar un análisis web con las herramientas disponibles respetando la normativa vigente. Eso sí, han de cumplirse ciertas condiciones que generalmente requieren una intervención en el código de la herramienta.

Marco legal para el seguimiento estadístico

En principio no hay nada que prohíba la evaluación de la actividad de los usuarios en una página web si cumple con la normativa vigente a propósito de la protección de los datos. El fundamento legal está establecido en España por la denominada Ley de Cookies, nombre popular con que se conoce el punto tercero del artículo 4 del Real Decreto-ley 13/2012, de 30 de marzo, que se enmarca dentro de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y que sintetiza en 2012 las directivas europeas de 2002 y de 2009. Según esta, la creación de perfiles de usuario solo está permitida si se realiza de forma anónima. Cuando los datos personales pueden identificar al usuario de una página web de forma clara e inequívoca, no se pueden guardar sin el permiso explícito del afectado.

Esto también afecta a las direcciones IP dinámicas, al ser capaces de localizar geográficamente al usuario, lo que ha dado lugar a determinar, también en los casos en que se registre la dirección IP del usuario, la necesidad de la autorización por su parte. Esto dificulta la labor de aquellos administradores de páginas web que quieren estudiar las métricas de los usuarios con ayuda de soluciones comunes en el sector, porque todas las herramientas de seguimiento, en su configuración estándar, no solo registran la dirección dinámica del usuario, sino que también implantan una cookie que toma nota de su comportamiento en la web. Una utilización respetuosa con la protección de datos solo sería posible una vez hecho acopio de la autorización del internauta.

Opciones de análisis web conforme a la normativa

En general, a la hora de llevar a cabo tareas de analítica web conforme a la regulación, los administradores se encuentran ante una disyuntiva de caminos:

  • Un análisis autorizado de forma explícita
  • Un análisis anónimo (sin necesidad de autorización)

Aquellos propietarios de páginas web que solicitan la confirmación previa del usuario para la creación de perfiles de usuarios sobre la base de cookies analíticas actúan del lado de la ley. Esta autorización debería mostrarse al usuario en el mismo momento de abrirse la página y la decisión del usuario ha de tomarse libre y claramente. En este caso no basta con incluir este consentimiento en las condiciones generales, sino que debería tomar la forma, por ejemplo, de una ventana emergente. Si el usuario confirma el uso de sus datos personales para elaborar un perfil de usuario, el administrador ha de protocolizar esta autorización y guardarla de forma que sea accesible al usuario en todo momento.

Sin duda, recolectar el permiso de todos y cada uno de los usuarios que visitan una página supone un volumen extra de trabajo para los administradores, al mismo tiempo que aumenta el riesgo de abandono, lo que ha llevado a una escasa aplicación, especialmente en España, donde la ley llegó tarde y algo imprecisa (aunque no tanto las sanciones). En su lugar, la alternativa la representa el análisis web anonimizado, estrategia de seguimiento por la cual se utilizan perfiles de usuario pseudoanónimos basados en cookies no rastreables. La información recolectada con este fin se ha de almacenar separadamente de datos personales como la dirección IP, el nombre o los datos bancarios. Si más tarde se quieren unificar las bases de datos, también es necesario disponer del permiso explícito.

El método de la máscara de IP o IP Masking, con el cual se ocultan las últimas cifras de la IP ya en el momento del registro, es otra opción válida en este sentido. Debido a que, por lo general, la mayoría de herramientas de análisis registran las direcciones al completo de forma automática para procesarlas, por ejemplo, en el marco de la geolocalización, llevar a cabo un análisis anonimizado con estas herramientas requiere una configuración extra. En la parte final de este artículo mostramos cómo hacerlo en Google Analytics y Piwik.

Independientemente de qué variante se lleve a cabo, la ley establece la obligación de informar al usuario al respecto, además de permitirle en todo momento rectificar su decisión, cuya aplicación técnica depende de la herramienta que se utilice.

Esta obligación entra en juego tan pronto como se usan técnicas de seguimiento y tiene como objeto informar al usuario de que su navegación va a ser evaluada en forma de perfiles de usuario, en qué medida se va a hacer y con qué objetivo. Sin embargo, existe una diferencia si el seguimiento es anonimizado o si no lo es. En el primer caso, basta con incluirlo en el Aviso legal (apartado de Protección de datos), pero en el segundo, si se usan cookies de terceros (retargeting, plugins de las redes sociales) o de origen pero que identifican al usuario, se ha de obtener el consentimiento previo del usuario, además de incluirse en el Aviso legal. Esta declaración ha de estar disponible en todo momento y ser accesible desde todas las páginas de la web. Se recomienda, por esto, enlazarla en algún lugar siempre visible, como el pie de página.

La normativa también obliga a eliminar todos los datos obtenidos antes de su confirmación y en algunos países (Alemania) la ley obliga a cerrar un contrato con los proveedores del servicio de analítica web sobre la manipulación de los datos almacenados en sus servidores.

Cumplir la ley de cookies con Google Analytics y Piwik

Ninguna de estas dos herramientas está configurada de base para cumplir con los requerimientos legales en cuanto a protección de datos, especialmente si se usan cookies no técnicas. En principio es responsabilidad de los administradores de la web ocuparse de que se cumplan las condiciones legales del análisis web. Para ello, puedes seguir estos tres sencillos pasos siguiendo lo explicado anteriormente:

1. Asegurar la anonimidad de la dirección IP

2. Integrar una declaración de protección de datos y derecho de revocación

3. Borrar los datos antiguos recabados sin permiso

A continuación te mostramos cómo se lleva a cabo en la práctica la configuración adecuada de estas herramientas sobre la base de estas tres medidas.

Ajustes en Google Analytics

La herramienta de análisis de Google afirma en su apartado de privacidad que solo utiliza cookies de origen que no identifican al usuario. En este caso y según la Ley de Cookies española no es necesario solicitar el consentimiento previo del usuario. Lo contrario sucede con aquellas cookies de terceros instaladas por entidades publicitarias (AdSense, DoubleClick), las cuales requieren, según la normativa española y europea, el permiso del usuario. Este puede obtenerse de diversas maneras, pero siempre de forma clara e inequívoca, algo que, por otro lado, la ley española deja un poco indefinido, lo que ha ocasionado que a día de hoy el 90 por ciento de las páginas no actúen aún conforme a la ley.

Dirección IP anónima

Para superar algunas debilidades de la configuración predeterminada que impiden el uso acorde con la ley de cookies de Google Analytics, la herramienta ofrece algunas extensiones de software que permiten controlar la manera como Google recaba información. La función “anonymizeIp” permite a los administradores de páginas web, una vez la han integrado manualmente en el código, solicitar que las direcciones IP de sus usuarios permanezcan anónimas. En las páginas de Ayuda de Analytics de Google encuentras información técnica al respecto. 

Hoy se usa la herramienta de dos maneras y, en función de si utilizas los métodos clásicos de análisis o Universal Analytics, el código se complementa con las siguientes líneas:

  • Analítica clásica: la extensión se integra mediante la función _anonymizelp de la biblioteca de JavaScript ga.js:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])
ga('create', 'UA-XXXXXXX-X', 'ejemplo.es');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

En ambas variantes, el último octeto de una dirección IPv4 se substituye por 0, mientras que en el caso de direcciones IPv6 la máscara de IP incluye los últimos 80 Bit.

Declaración de protección de datos y derecho de revocación

Según indican las condiciones de uso de Google Analytics, los propietarios de sitios web están obligados a hacer referencia a la utilización del software de seguimiento y cómo y en qué medida se recaban los datos. Esta misma declaración ha de dejar abierta al mismo tiempo la posibilidad  de la revocación por parte del usuario. Para ello se recomienda enlazar a la extensión de navegador de Google que inhabilita Google Analytics.

Borrar datos antiguos

Como los datos personales afectados han de ser eliminados sin excepción, se recomienda la creación de una cuenta nueva para la página web en cuestión.

Configuración de Piwik

También en este caso hay que realizar algunos ajustes para adecuarse a la ley, aunque, a diferencia de la herramienta de Google, este software de código abierto no almacena los datos recabados en su servidor, sino que se almacenan en el del cliente en una base de datos propia (MySQL) y no se comparten con terceros.

Enmascarar la dirección IP

Con  “AnonymizeIP”, Piwik ofrece un plugin para ocultar direcciones IP que se puede activar en la configuración del programa. Esta extensión permite ocultar de uno a tres de los últimos octetos de la IP. El alcance de la anonimización se define en el archivo config.ini.php:

[Tracker]
ip_address_mask_length = 2

Este ejemplo indica al programa que ha de ocultar los dos últimos octetos.

Protección de datos y revocación

Piwik ofrece la posibilidad de no aceptar el rastreo en el marco de la declaración de protección de datos mediante un iFrame de opt out, disponible en su página oficial:

<iframe frameborder="no" width="600" height="200" src="http://ejemplo.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>

Piwik respeta, además, la preferencia “Do not track” de los navegadores Firefox, Internet Explorer, Chrome y Opera, siempre que no esté desactivada.

Eliminar datos antiguos

Piwik cuenta con una función para actualizar la información recabada conforme a los requisitos legales.

Cifrado Google Analytics Seguridad Protección de Datos