La guía definitiva de Google Analytics y el cumplimiento del RGPD

A estas alturas, todos los negocios en línea exitosos están familiarizados con Google Analytics (GA). El software es imprescindible para cualquier organización que quiera aprender más sobre su audiencia. Hoy en día, administrar un negocio en línea sin GA es el equivalente a conducir un automóvil sin ruedas; no es probable que llegues muy lejos.

Después de todo, GA nos proporciona muchos informes y métricas para conocer a nuestra audiencia. ¿De qué país es un visitante? ¿Cuál es su demografía? ¿Cuáles son sus intereses? Todas estas preguntas pueden ser respondidas en GA.

Los datos juegan un papel en casi todas las empresas modernas. Usando la atribución basada en datos , por ejemplo, ayuda a ajustar la publicidad. Otro ejemplo, el mapeo de calor, puede mejorar el diseño del sitio web .

Pero dado que las empresas tienen acceso a todos estos datos, los consumidores se preocupan cada vez más por saber adónde van los datos y cómo se utilizan. Durante mucho tiempo, las empresas podían recopilar datos con pocas restricciones. Pero a medida que las preocupaciones relacionadas con los datos se hicieron cada vez más frecuentes, entró en escena una nueva legislación.

Entra en el Reglamento General de Protección de Datos (RGPD). Es justo decir que esta legislación tenía preocupadas a muchas empresas. Incluso ahora, hay organizaciones que no entienden completamente el RGPD. Esto no es sin razón; la regulación es extremadamente complicada y provoca dolores de cabeza.

¿Entonces, qué debería hacer? Afortunadamente, esta guía está aquí para mostrar cómo puede continuar aprovechando al máximo GA y seguir cumpliendo con GDPR.

En primer lugar… ¿Qué es el RGPD?  

Fuente de imagen

GDPR se introdujo como una forma de modernizar la legislación relacionada con los datos. Antes de 2018, las leyes de datos estaban enormemente desactualizadas, algunas databan de 1990. No es difícil ver por qué estas leyes debían actualizarse.

Durante los últimos 20 años, Internet se ha disparado, ahora hay 5 mil millones de personas en línea en todo el mundo. Las personas se registran en diferentes cuentas, ingresan detalles personales y dejan enormes huellas digitales. La legislación ya no era suficiente para regular estos datos. GDPR unificó y actualizó diferentes leyes bajo una sola bandera.

Esto significó nuevas reglas para las formas en que las empresas recopilaron y usaron los datos relacionados con sus clientes.

Cómo afecta el RGPD a los negocios en línea

La legislación completa de GDPR es enorme: un documento de 90 páginas que establece la ley. Obviamente, no podemos resumir las 90 páginas completas aquí. En su lugar, estos son los factores más importantes que deberá tener en cuenta.

Un visitante debe dar su consentimiento antes de recopilar cualquier dato; no importa cuál sea la información, si se relaciona con el visitante, necesitará su permiso para recopilarla. Una ventana emergente de consentimiento de cookies ayudará con esto. Si tiene un formulario de contacto, asegúrese de incluir una casilla de verificación para confirmar que un usuario ha leído su política de privacidad.

Su sitio web debe mostrar cómo cumple con GDPR: no intente escribir su propia política de privacidad. Necesitarás la ayuda de un profesional que esté familiarizado con el RGPD. O puede encontrar plantillas en línea.

Asegúrese de que un cliente 'se suscriba' a su comercialización: antes de enviar cualquier materiales de marketing digital a un cliente, deben aceptar recibirlos. Del mismo modo, un cliente debería poder "optar por no participar" fácilmente en cualquier momento.

Es posible que entre un poco de pánico al leer esta información. La realidad es que esto es solo una pequeña parte de la legislación. Para obtener información más detallada, echa un vistazo a este resumen del RGPD.

¿El RGPD se aplica a empresas fuera de la UE?

Es posible que estés leyendo lo anterior y pensando '¡Genial! No estoy en la UE, por lo que la ley no se aplica a mí'. Bueno, lamentablemente no hubo tanta suerte. Incluso si su organización no tiene su sede en la UE, su sitio web seguirá recibiendo visitantes que sí lo estén. Necesitará el consentimiento de estos visitantes antes de poder recopilar sus datos.

¿Qué multas están asociadas con el incumplimiento de GDPR?  

Antes de entrar en esto, quiero establecer que existen varias entidades que hacen cumplir el RGPD para diferentes empresas en Europa. Dado que la UE estableció las reglas, y no quiero enumerar todos los consejos de administración, solo me referiré a la UE como la entidad que hace cumplir estas reglas.

Si aún no lo ha hecho, es posible que desee sentarse para este. La multa máxima por infringir el RGPD es de 20 millones de euros o el 4 % de la facturación anual (la que sea mayor). Incluso Google no pudo escapar de la ira de GDPR, incurriendo en una enorme multa de 50 millones de euros .

Vale la pena señalar que la mayoría de las multas no alcanzarán nada cercano a este número. Pero la multa ilustra cuán seria es la UE para abordar el problema de los datos.

Además de imponer una multa, la UE podría hacer cualquiera de las siguientes cosas:

• Emitir una advertencia a una organización
• Prohibir el procesamiento de datos (ya sea temporal o permanentemente)
• Ordenar a una empresa que elimine los datos del usuario

¿Cómo se ve afectado Google Analytics por el RGPD?  

Al activar Google Analytics en su sitio web, también está integrando una etiqueta de seguimiento. Además de enviar datos a su Informes de GA , esta etiqueta envía las direcciones IP de los usuarios de su sitio web a Google junto con otra información.

Parte de la legislación GDPR es que si envía datos de usuario a un tercero, primero debe informar a los usuarios. Esto significa que deberá incluir información en su sitio que permita a los usuarios saber cómo GA maneja sus datos.

Si aún no lo ha hecho, puede ser una buena idea configurar Google Tag Manager para un mayor control sobre el etiquetado.

¿Google Analytics necesita consentimiento?  

Uno de los aspectos más frustrantes de GDPR es que muchas áreas siguen siendo ambiguas. Ya hemos analizado las dolorosas multas asociadas con el RGPD, lo que ilustra por qué siempre es mejor ser precavido.

¿Entonces, qué debería hacer?  

La respuesta más fácil es utilizar una herramienta de gestión de consentimiento. Esto busca el permiso de un usuario antes de implementar cualquier código de seguimiento de GA. Hay muchas opciones de gestión de consentimiento para elegir:

• TrustArc
• OneTrust
• Cookiebot  

Los anteriores son algunos que recomiendo. Aunque no todas las opciones incluyen funciones para evitar el código de seguimiento de GA. Asegúrese de investigar antes de elegir una opción.

Pasos sencillos para cumplir con el RGPD  

La gran cantidad de medidas contenidas en GDPR es suficiente para mantenerlo despierto por la noche. Pero si se apega a los siguientes pasos básicos, puede mantenerse alejado de los problemas.

Incluya la información correcta en su banner de cookies  

Recuerde, GDPR se enfoca en el tema del consentimiento. Un usuario debe dar su consentimiento para que pueda recopilar y analizar sus datos. Pero primero, un usuario necesita entender a qué está dando su consentimiento. Para cumplir con GDPR, su banner de cookies debe contener toda la información que un usuario necesita saber para tomar una decisión informada.

Esto significa que debe explicar cómo está utilizando Google Analytics para recopilar sus datos. Esto debe incluir lo que está haciendo con la información de un usuario y por qué la recopilación de datos es importante para su sitio web.

No pase por alto la política de cookies  

Una política de privacidad es extremadamente importante para establecer la forma en que utiliza los datos de los clientes. Pero esto no debería significar que descuides una política de cookies. Las cookies pueden ser extremadamente detalladas en sí mismas; necesitará una sección para cada cookie que utilice. Esto debería incluir cookies de terceros .

Una vez más, podría verse tentado a reducir costos redactando su póliza usted mismo. No. Para ser precisa y compatible, su póliza deberá haber sido construida por un experto. O bien, puede encontrar plantillas en línea.

Esté preparado para las filtraciones de datos

Fuente de imagen

Desafortunadamente, los ciberataques son algo con lo que las empresas están aprendiendo a vivir. Entre 2020 y 2021, los ataques relacionados con la ciberseguridad aumentaron en 31 % Este aumento no parece mostrar ningún signo de desaceleración. Cuando los ataques resultan en violaciones de datos, debe considerar el RGPD.

Después de cualquier violación de datos, deberá notificar a los usuarios dentro de las 72 horas. Es mejor prepararse para esto antes de que suceda en lugar de tambalearse si ocurriera un ataque. Recuerda que las filtraciones de datos también se aplican a tu cuenta de GA. Google le enviará un correo electrónico para notificarle si su cuenta se ha visto comprometida.

Prepárese para compartir y eliminar datos  

Una gran parte de GDPR se trata de ser transparente con las formas en que recopila y analiza datos. Esto significa que si un cliente solicita ver sus datos, está obligado a mostrárselos. Al igual que con los problemas de ciberseguridad, debe tener un proceso para compartir los datos de los clientes cuando se le solicite.

Igualmente, un usuario puede decidir que quiere que se eliminen sus datos. Si recibe una solicitud de eliminación, debe cumplirla. Ser capaz de usar datos para la reorientación es realmente excelente y debería ser parte integral de sus esfuerzos de marketing pagados. Pero la privacidad de las personas significa más.

Acceso y eliminación de datos en Google Analytics

Afortunadamente, es posible encontrar los datos de un usuario individual dentro de GA. Desafortunadamente, hacerlo es un poco complicado. En primer lugar, el usuario que solicita un cambio deberá compartir su ID de cliente de GA. Esta es una cookie colocada por GA para rastrear usuarios individuales.

Los datos recopilados de las identificaciones pueden ayudarnos de muchas maneras. Por ejemplo, al aprender sobre el comportamiento del usuario, podemos mejorar micro embudos y aumentar la probabilidad de ventas.

Para acceder a esto, deberán acceder a las cookies almacenadas en su navegador. Desde aquí, deberán ubicar la cookie de GA y buscar el identificador _ga . A continuación se muestra un ejemplo de una cookie de GA.

GA1.2.456731348.6436758325

En esta situación, los números ' 456731348.6436758325' serían el ID de cliente del usuario. Una vez que se le ha enviado una identificación, puede identificarla dentro de sus registros de GA y eliminarla. También debe indicar al usuario que elimine las cookies de GA de su navegador. Para obtener más información sobre la eliminación de datos dentro de GA, Google ha creado un guía detallada.

Si se familiariza con este proceso ahora, le resultará mucho más fácil tratar con consultas relacionadas con datos.

Anonimizar direcciones IP  

Como ya se mencionó, GA recopila las direcciones IP de todos los usuarios. Vale la pena señalar que esto es completamente para fines geográficos y las direcciones IP no se incluyen en los informes. A pesar de esto, las direcciones IP todavía se clasifican como una forma de identificación y caen dentro de la jurisdicción de GDPR.

Afortunadamente, Google ofrece una solución práctica dentro de GA para evitar este problema. Puede usar una función llamada Anonimización de IP, que enmascara la dirección IP de los usuarios durante la recopilación.

Sea consciente de lo que está enviando a Google  

Como se mencionó anteriormente, algunos datos que recopila en GA también se comparten con Google. Hay algunos pasos que deberá seguir para asegurarse de que estos datos no infrinjan el RGPD. A continuación se presentan algunos pasos importantes para asegurarse de permanecer en el lado correcto de la ley.

Aceptar los términos de procesamiento de datos: Google ha creado un documento detallado sobre cómo procesan y comparten los datos de GA. Deberá firmar este documento para evitar infringir el RGPD. Para hacerlo, vaya a Administrador, seleccione Configuración de la cuenta y desplácese hacia abajo hasta Términos de procesamiento de datos.  

Asegúrese de que los datos compartidos sean anónimos: cuando comparte datos con Google, es importante que no incluyan ninguna información identificable sobre un usuario. Esto significa que no se deben incluir datos como las direcciones de correo electrónico. Como se mencionó, anonimizar las direcciones IP es una parte importante de esto.

Desactivar el uso compartido de datos: de forma predeterminada, Google comparte datos de GA con otros servicios. Esto se puede desactivar yendo a Configuración de la cuenta y eligiendo Compartir datos.  

No conserve los datos durante un período prolongado  

GDPR no estipula cuánto tiempo una organización debe conservar los datos, solo que la información no debe conservarse más tiempo del necesario. Dentro de GA, usted elige la cantidad de tiempo que almacena los datos. La configuración predeterminada es de 24 meses, pero se puede reducir a 14 meses. Para hacerlo, diríjase a Administrador, elija Información de seguimiento y Retención de datos.  

No olvides la importancia del RGPD  

Nos guste o no, el RGPD llegó para quedarse. La gigantesca legislación puede ser difícil de entender; como se ilustra aquí, GDPR cubre muchas áreas y requiere nuevas medidas. Pero no se dé por vencido con el análisis de datos: el hecho es que los datos son esenciales en el mundo moderno.

Pero GDPR no significa que su operación de datos tenga que ser menos efectiva. GA continúa haciéndose más y más poderoso; la última versión llamada google analytics 4 agrega una gama completamente nueva de funciones.

Tómese el tiempo para familiarizarse con el RGPD. Con las medidas adecuadas implementadas, la legislación no debería ser una preocupación. GA incluso viene con herramientas para facilitar el cumplimiento. Con las preocupaciones de GDPR fuera del camino, puede volver a aprovechar al máximo sus datos y llevar su negocio al siguiente nivel.

Biografía: Phil Pearce es experto en análisis, autor y analista web. También es el director de análisis y fundador de Google Analytics, Google Tag Manager, Google Ads y la agencia CRO , MeasureMinds Group. Durante los últimos 20 años, Phil ha ayudado a los clientes a mejorar su análisis y marketing de motores de búsqueda mediante la introducción de nuevas herramientas y técnicas disruptivas. Ha escrito para sitios web como Hubspot y BambooHR .

Encuentra a Phil en LinkedIn

Encuentra a Phil en Twitter