La analítica web se ha co­n­ve­r­ti­do en un in­s­tru­me­n­to central para el marketing online. La mayoría de páginas web utilizan he­rra­mie­n­tas de se­gui­mie­n­to como Google Analytics o Matomo (antes Piwik) para entender el co­m­po­r­ta­mie­n­to de los usuarios en ellas, ya que los datos generados permiten extraer evi­de­n­cias que se pueden utilizar para mejorar la usa­bi­li­dad de las páginas o diseñar los procesos de forma más eficiente. Y si, por un lado, el comercio ele­c­tró­ni­co no se puede imaginar un mundo sin analítica web, el sector crítico, por el otro, enciende la alarma de la pro­te­c­ción de la pri­va­ci­dad del usuario.

El temor que sustenta esta oposición es pre­ci­sa­me­n­te la falta de co­no­ci­mie­n­to del usuario sobre los datos que se re­co­le­c­tan y con qué finalidad se hace. El trato de los datos pe­r­so­na­les, con los cuales se crean perfiles de usuario con los que se pueden sacar co­n­clu­sio­nes acerca del cliente in­di­vi­dual, presenta la mayor fuente de conflicto. Con ello, tanto las empresas como los pro­vee­do­res de páginas web deben obtener más datos sobre los clientes. Sin embargo, es posible realizar un análisis web con las he­rra­mie­n­tas di­s­po­ni­bles re­s­pe­ta­n­do la normativa vigente. Eso sí, han de cumplirse ciertas co­n­di­cio­nes que ge­ne­ra­l­me­n­te requieren una in­te­r­ve­n­ción en el código de la he­rra­mie­n­ta.

Free Cloud Server Trial
Prueba el servidor cloud gratis
  • Tráfico ilimitado, ce­r­ti­fi­ca­do SSL y firewall incluidos
  • Alojado en nuestros centros de datos en España
  • Soporte experto 24/7 en español

Marco legal para el se­gui­mie­n­to es­ta­dí­s­ti­co

En principio no hay nada que prohíba la eva­lua­ción de la actividad de los usuarios en una página web si cumple con la normativa vigente a propósito de la pro­te­c­ción de los datos.

El fu­n­da­me­n­to legal en la Unión Europea está es­ta­ble­ci­do Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD), de acuerdo con el que la creación de perfiles de usuario solo está permitida si se realiza de forma anónima, como por ejemplo mediante pseu­dó­ni­mos. Con ello, cuando los datos pe­r­so­na­les pueden ide­n­ti­fi­car al usuario de una página web de forma clara e ine­quí­vo­ca, no se pueden guardar sin el permiso explícito del afectado.

Esto también afecta a las di­re­c­cio­nes IP dinámicas, al ser capaces de localizar geo­grá­fi­ca­me­n­te al usuario, lo que ha dado lugar a de­te­r­mi­nar, también en los casos en que se registre la dirección IP del usuario, la necesidad de la au­to­ri­za­ción por su parte.

Esto dificulta la labor de aquellos ad­mi­ni­s­tra­do­res de páginas web que quieren estudiar las métricas de los usuarios con ayuda de so­lu­cio­nes comunes en el sector porque todas las he­rra­mie­n­tas de se­gui­mie­n­to, en su co­n­fi­gu­ra­ción estándar, no solo registran la dirección dinámica del usuario, sino que también implantan cookies que toman nota de su co­m­po­r­ta­mie­n­to en la web. Una uti­li­za­ción re­s­pe­tuo­sa con la pro­te­c­ción de datos solo sería posible una vez hecho acopio de la au­to­ri­za­ción del in­te­r­nau­tau­sua­rio de Internet.

El RGPD le da gran im­po­r­ta­n­cia a la in­fo­r­ma­ción de los usuarios. Para los gestores de páginas web esto significa que deben dejarles claro a sus vi­si­ta­n­tes qué datos almacenan y con qué finalidad. En este sentido, las de­cla­ra­cio­nes de co­n­se­n­ti­mie­n­to generales y exhau­s­ti­vas son también un tabú. Si se necesitan datos di­fe­re­n­tes para diversos objetivos, se debe pedir el co­n­se­n­ti­mie­n­to de los usuarios por separado para cada uso previsto. Tampoco está permitido, como hasta ahora, asumir un co­n­se­n­ti­mie­n­to si­le­n­cio­so. Según el RGPD, si el usuario no da su opinión acerca de si se pueden almacenar sus datos pe­r­so­na­les, esto es co­n­si­de­ra­do como un rechazo, algo que también es de apli­ca­ción para las cookies.

Con el nuevo Re­gla­me­n­to General de Pro­te­c­ción de Datos, en el caso concreto que nos ocupa, la Ley de cookies tanto para Google Analytics como para Matomo debe adaptarse a dicho texto legal.

Opciones de análisis web conforme al RGPD

En general, a la hora de llevar a cabo tareas de analítica web de co­n­fo­r­mi­dad con el Re­gla­me­n­to General de Pro­te­c­ción de Datos, los ad­mi­ni­s­tra­do­res se en­cue­n­tran ante una di­s­yu­n­ti­va de caminos:

  • Un análisis web au­to­ri­za­do de forma explícita
  • Un análisis web anónimo (sin necesidad de au­to­ri­za­ción)

Aquellos pro­pie­ta­rios de páginas web que solicitan la co­n­fi­r­ma­ción previa del usuario para la creación de perfiles de usuarios sobre la base de cookies ana­lí­ti­cas actúan del lado de la ley. Esta au­to­ri­za­ción debería mostrarse al usuario en el mismo momento de abrirse la página y la decisión del usuario ha de tomarse libre y cla­ra­me­n­te. En este caso no basta con incluir este co­n­se­n­ti­mie­n­to en las co­n­di­cio­nes generales, sino que debería tomar la forma, por ejemplo, de una ventana emergente. Si el usuario confirma el uso de sus datos pe­r­so­na­les para elaborar un perfil de usuario, el ad­mi­ni­s­tra­dor ha de pro­to­co­li­zar esta au­to­ri­za­ción y guardarla de forma que sea accesible al usuario en todo momento.

Además, los usuarios también deben poder revocar su co­n­se­n­ti­mie­n­to en cualquier momento. Esta re­vo­ca­ción debe poder rea­li­zar­se de manera tan simple como se otorga el co­n­se­n­ti­mie­n­to. Tan pronto como el usuario cambie de opinión y, así se lo comunique al gestor de la página web, será necesario detener el pro­ce­sa­mie­n­to de los datos. Los datos hasta ahora ya re­co­pi­la­dos y al­ma­ce­na­dos no tienen que eli­mi­nar­se, a menos que el usuario así lo exija.

Hecho

El RGPD les exije a los pro­vee­do­res de páginas web que vuelvan a pedir el co­n­se­n­ti­mie­n­to de los usuarios cada seis meses, de modo que los co­n­se­n­ti­mie­n­tos de los usuarios deberán tener fecha y hora. Solo así es posible que el sistema de análisis web pueda realizar su trabajo co­rre­c­ta­me­n­te y conforme a la ley vigente.

Asimismo, el RGPD les otorga a los usuarios el derecho a la in­fo­r­ma­ción, con lo que estos tienen co­no­ci­mie­n­to sobre los datos que se almacenan. Para los gestores de páginas web es im­po­r­ta­n­te poder acceder a dichos datos en cualquier momento. Además, el Re­gla­me­n­to concede 30 días para tramitar las so­li­ci­tu­des y también es relevante el hecho de que el proveedor de análisis web y otros pro­vee­do­res de servicios externos no están au­to­ri­za­dos para evaluar los datos por sí mismos, ya que los usuarios no han dado su co­n­se­n­ti­mie­n­to para ello. Ge­ne­ra­l­me­n­te, el co­n­se­n­ti­mie­n­to se le concede al propio gestor de la página web.

Sin duda, re­co­le­c­tar el permiso de todos y cada uno de los usuarios que visitan una página supone un volumen extra de trabajo para los ad­mi­ni­s­tra­do­res, al mismo tiempo que aumenta el riesgo de abandono. En la práctica, rara vez se solicita el co­n­se­n­ti­mie­n­to para la pro­te­c­ción de datos. En su lugar, la al­te­r­na­ti­va la re­pre­se­n­ta el análisis web ano­ni­mi­za­do. La in­fo­r­ma­ción re­co­le­c­ta­da con este fin al visitar una página web se ha de almacenar separada de datos pe­r­so­na­les como la dirección IP, el nombre o los datos bancarios. Si más tarde se quieren unificar las bases de datos, también es necesario disponer del permiso explícito.

Nota

Si no se tiene la seguridad de si los datos que se recopilan son anónimos y pe­r­so­na­les, es necesario ser precavido. La le­gi­s­la­ción solo habla de datos anónimos si no es posible asi­g­nár­se­los a una persona.

Para cumplir con el RGPD también se puede recurrir aEl método de la máscara de IP o IP Masking, con el cual se ocultan las últimas cifras de la IP ya en el momento del registro. Debido a que, por lo general, la mayoría de he­rra­mie­n­tas de análisis registran las di­re­c­cio­nes al completo de forma au­to­má­ti­ca para pro­ce­sar­las, por ejemplo, en el marco de la geo­lo­ca­li­za­ción, llevar a cabo un análisis ano­ni­mi­za­do con estas he­rra­mie­n­tas requiere en la mayoría de los casos una co­n­fi­gu­ra­ción extra. En la parte final de este artículo mostramos cómo hacerlo en Google Analytics y Matomo.

Al recurrir al análisis web, es necesario tener en cuenta los si­guie­n­tes puntos:

Opt in

El co­n­se­n­ti­mie­n­to para el tra­ta­mie­n­to de los datos pe­r­so­na­les debe obtenerse a través del método de opt in. En este caso no puede re­cu­rri­r­se ni al co­n­se­n­ti­mie­n­to si­le­n­cio­so ni al opt out. Hasta que los usuarios no den su co­n­se­n­ti­mie­n­to explícito, no puede al­ma­ce­nar­se ningún dato personal, lo que también significa que dichos datos no se re­co­le­c­tan di­re­c­ta­me­n­te cuando se visita la página, sino que el al­ma­ce­na­mie­n­to solo está permitido después de darse el co­n­se­n­ti­mie­n­to.

Nota

Debido a que el RGPD entró en vigor re­cie­n­te­me­n­te y todavía no se han formulado todos sus detalles de forma unívoca, aún existe cierta in­ce­r­ti­du­m­bre. Así, no hay un acuerdo, por ejemplo, sobre si el opt in también es necesario para la analítica web en su totalidad, por lo que es probable que los futuros procesos ju­di­cia­les aclaren cómo debe in­te­r­pre­tar­se el RGPD en detalle.

Obli­ga­ción de informar

Esta obli­ga­ción entra en juego tan pronto como se usan técnicas de se­gui­mie­n­to y tiene como objeto informar al usuario de que su na­ve­ga­ción va a ser evaluada en forma de perfiles de usuario, en qué medida se va a hacer y con qué objetivo. Esta de­cla­ra­ción ha de estar di­s­po­ni­ble en todo momento y ser accesible desde todas las páginas de la web. Se re­co­mie­n­da, por esto, enlazarla en algún lugar siempre visible, como el pie de página.

Derecho de re­vo­ca­ción

Otro requisito para realizar un análisis web de co­n­fo­r­mi­dad con la pro­te­c­ción de datos es el derecho de oposición. Los usuarios deben tener la po­si­bi­li­dad en cualquier momento de revocar su co­n­se­n­ti­mie­n­to previo con la misma facilidad con la que lo dieron, tras lo que cesará la captación de datos pe­r­so­na­les.

Cómo cumplir el RGPD con Google Analytics y Matomo

Según el RGPD, los de­sa­rro­lla­do­res de las he­rra­mie­n­tas de se­gui­mie­n­to es­ta­ble­ci­das deben es­fo­r­zar­se por adaptar sus páginas web a la normativa de pro­te­c­ción de datos, por lo que, en principio, es re­s­po­n­sa­bi­li­dad de los ad­mi­ni­s­tra­do­res de las páginas web ocuparse de que se cumplan las co­n­di­cio­nes legales del análisis web.

A co­n­ti­nua­ción, te mostramos cómo se lleva a cabo en la práctica la co­n­fi­gu­ra­ción adecuada tanto de Google Analytics como de Matomo.

Ajustes en Google Analytics

Google, el gran re­co­pi­la­dor de datos, ha adaptado su servicio de analítica web al nuevo Re­gla­me­n­to europeo, de modo que sus usuarios deben realizar los si­guie­n­tes ajustes para que sus métodos de análisis web sean acordes a las políticas de pro­te­c­ción de datos actuales.

Dirección IP anónima

Para superar algunas de­bi­li­da­des de la co­n­fi­gu­ra­ción pre­de­te­r­mi­na­da que impiden el uso acorde con el RGPD de Google Analytics, la he­rra­mie­n­ta ofrece algunas ex­te­n­sio­nes de software que permiten controlar la manera en que Google recaba in­fo­r­ma­ción. La función “ano­n­y­mi­zeIp” permite a los ad­mi­ni­s­tra­do­res de páginas web, una vez la han integrado ma­nua­l­me­n­te en el código, solicitar que las di­re­c­cio­nes IP de sus usuarios pe­r­ma­ne­z­can anónimas. En las páginas de Ayuda de Analytics de Google en­cue­n­tras in­fo­r­ma­ción técnica al respecto.

Hoy se usa la he­rra­mie­n­ta de dos maneras y, en función de si utilizas los métodos clásicos de análisis o Universal Analytics, el código se co­m­ple­me­n­ta con las si­guie­n­tes líneas:
 

  • Analítica clásica: la extensión se integra mediante la función _ano­n­y­mi­ze­lp de la bi­blio­te­ca de Ja­va­S­cri­pt ga.js:
var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview'])
ga('create', 'UA-XXXXXXX-X', 'ejemplo.es');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');

En ambas variantes, el último octeto de una dirección IPv4 se su­b­s­ti­tu­ye por 0, mientras que en el caso de di­re­c­cio­nes IPv6 la máscara de IP incluye los últimos 80 bit.

De­cla­ra­ción de pro­te­c­ción de datos y derecho de re­vo­ca­ción

Según indican las co­n­di­cio­nes de uso de Google Analytics, los pro­pie­ta­rios de sitios web están obligados a hacer re­fe­re­n­cia a la uti­li­za­ción del software de se­gui­mie­n­to y cómo y en qué medida se recaban los datos. Esta misma de­cla­ra­ción también se pone de ma­ni­fie­s­to en el RGPD y ha de dejar abierta al mismo tiempo la po­si­bi­li­dad  de la re­vo­ca­ción por parte del usuario. Para ello se re­co­mie­n­da enlazar a la extensión de navegador de Google que in­ha­bi­li­ta Google Analytics.

Borrar datos antiguos

Los los datos pe­r­so­na­les que no se adecúen al RGPD en Google Analytics han de ser eli­mi­na­dos sin excepción. Para ello se re­co­mie­n­da la creación de una cuenta nueva en la pla­ta­fo­r­ma para la página web en cuestión.

Co­n­fi­gu­ra­ción de Matomo (antes Piwik)

También en este caso hay que realizar algunos ajustes para adecuarse al RGPD, aunque, a di­fe­re­n­cia de la he­rra­mie­n­ta de Google, este software de código abierto, ahora conocido como Matomo y que antes se llamaba Piwik, no almacena los datos recabados en su servidor, sino que se almacenan en el del cliente en una base de datos propia (MySQL) y no se comparten con terceros.

Ano­ni­mi­zar las di­re­c­cio­nes IP

En la co­n­fi­gu­ra­ción estándar, Matomo tiene que llevar a cabo la ano­ni­mi­za­ción de di­re­c­cio­nes IP, pero para ase­gu­rar­se de que la co­n­fi­gu­ra­ción es correcta, co­m­prué­ba­lo en el apartado de Ad­mi­ni­s­tra­tion, donde también podrás es­ta­ble­cer el número de bytes (entre uno y tres) que tienen que ano­ni­mi­zar­se.

Al­ma­ce­na­mie­n­to de datos

Matomo permite eliminar la totalidad de los datos re­gu­la­r­me­n­te, por ejemplo después de 6 meses. En el punto co­rre­s­po­n­die­n­te del menú de Ad­mi­ni­s­tra­tion también pueden eli­mi­nar­se los datos antiguos en caso de que estos no se co­rre­s­po­n­dan con el RGPD. Puedes encontrar más in­fo­r­ma­ción en las FAQ oficial de Matomo.

Pro­te­c­ción de datos y re­vo­ca­ción

Matomo ofrece la po­si­bi­li­dad de no aceptar el rastreo en el marco de la de­cla­ra­ción de pro­te­c­ción de datos mediante un iFrame de opt out, di­s­po­ni­ble en su página oficial:

<iframe frameborder="no" width="600" height="200" src="http://ejemplo.tld/index.php?module=CoreAdminHome&action=optOut&lang=de"></iframe>

Matomo respeta, además, la pre­fe­re­n­cia “Do not track”, que muchos na­ve­ga­do­res ya llevan incluidos por defecto, siempre que no esté des­ac­ti­va­da.

Por favor, ten en cuenta el aviso legal relativo a este artículo.

Ir al menú principal