- A medida que la transferencia de datos personales a Estados Unidos mediante herramientas de análisis web se volvió un tema clave, la autoridad sueca de protección de datos IMY auditó el uso de Google Analytics por parte de CDON, Coop, Dagens Industri y Tele2
- La auditoría se centró en la versión de Google Analytics vigente al 14 de agosto de 2020, y el punto principal fue el nivel de protección de los datos transferidos durante el proceso de medición y análisis de tráfico
- IMY considera que los datos enviados a Estados Unidos mediante la herramienta estadística de Google constituyen datos personales, ya que pueden combinarse con otros datos únicos
- Aunque las cuatro empresas se basaron en las cláusulas contractuales tipo, se determinó que las medidas técnicas de seguridad adicionales no eran suficientes para garantizar un nivel de protección equivalente al de la UE/EEE
- A Tele2 se le impuso una multa de 12 millones de coronas suecas (SEK) y a CDON una de 300 mil SEK; Tele2 ya dejó de usarla y las otras tres empresas recibieron una orden para suspender su uso
Auditoría de IMY sobre el uso de Google Analytics
- La autoridad sueca de protección de datos IMY auditó el uso de Google Analytics por parte de cuatro empresas
- Las empresas auditadas fueron CDON, Coop, Dagens Industri y Tele2
- La auditoría se centró en la versión de Google Analytics vigente al 14 de agosto de 2020
- Google Analytics es una herramienta estadística para medir y analizar el tráfico de sitios web
- La auditoría se llevó a cabo en el contexto de una queja de NOYB (None of Your Business) y del fallo Schrems II del Tribunal de Justicia de la Unión Europea (CJEU)
- La queja sostenía que las cuatro empresas transfirieron datos personales a Estados Unidos infringiendo la ley
- Según el GDPR, los datos personales pueden transferirse a terceros países fuera de la UE/EEE, pero la Comisión Europea debe determinar que el nivel de protección del país es adecuado
- En el fallo Schrems II, el CJEU concluyó que en ese momento no podía considerarse que Estados Unidos ofreciera un nivel de protección adecuado equivalente al de la UE/EEE
Evaluación de la transferencia de datos personales y medidas de protección
- IMY considera que los datos transferidos a Estados Unidos mediante la herramienta estadística de Google constituyen datos personales
- Esto se debe a que pueden vincularse con otros datos únicos transferidos junto con ellos
- Se determinó que las medidas técnicas de seguridad de las cuatro empresas eran insuficientes para ofrecer una protección esencialmente equivalente a la garantizada en la UE/EEE
- Las cuatro empresas utilizaron las cláusulas contractuales tipo como base para la transferencia de datos personales a través de Google Analytics
- Cuando no existe una decisión de adecuación de la Comisión Europea, es posible realizar transferencias basadas en cláusulas contractuales tipo
- Según el CJEU, pueden requerirse medidas de protección adicionales para que esas cláusulas mantengan en la práctica la protección prevista
- La auditoría de IMY concluyó que las medidas técnicas de seguridad adicionales de las cuatro empresas no eran suficientes
Multas y órdenes de suspensión por empresa
- IMY decidió multas y medidas de suspensión reflejando el nivel de protección y el estado de uso en cada empresa
- Tele2: multa de 12 millones de SEK; recientemente dejó de usar Google Analytics por decisión propia
- CDON: multa de 300 mil SEK
- CDON no había adoptado medidas de protección tan amplias como Coop y Dagens Industri
- CDON, Coop y Dagens Industri recibieron una orden para dejar de usar Google Analytics
- Esta decisión se aplica directamente a las cuatro empresas, pero también envía una señal a otras organizaciones que usan Google Analytics para que revisen los riesgos de transferencia de datos personales
1 comentarios
Comentarios de Hacker News
Mi cuñada (bueno, en realidad es la novia del hermano menor de mi novia, pero no importa) estudió recientemente para una certificación de analítica de datos y, de hecho, obtuvo varias
Todo el programa (https://medieinstitutet.se) está basado en Google Analytics, así que ahora el valor de esa persona está atado a su capacidad de usar Google Analytics. Casi nadie va a querer pasar de 6 a 12 meses reaprendiendo un sistema de analítica nuevo o directamente dejar de ser analista, así que es muy probable que se resistan con fuerza para que esta habilidad siga siendo válida
Parece que no estamos evaluando bien la dependencia que aceptamos al aprender algo porque nos simplifica la vida. Google Analytics se vendió como una solución que evitaba tener que construir tu propia analítica, y el precio era que Google también se quedaba con la información, pero a los webmasters individuales no les importó mucho
Ahora al menos miles de personas dependen de la existencia de esta herramienta específica, y si se prohíbe podrían volverse económicamente inútiles. Me parece sorprendentemente tonto aprender exclusivamente herramientas así, en lugar de los principios básicos y sus componentes
Aunque viendo que también existe el título de “Cloud Engineer”, supongo que esta lección es difícil de aprender
La analítica de datos es una disciplina general que no está atada a GA, y en vez de hacer que parezca más amplia de lo que son los conocimientos y capacidades reales, sería más correcto llamarla “Google Analytics Certification”
La analítica de datos incluye estadística, y hoy en día probablemente también algo de entrenamiento, uso y comprensión básica de modelos de aprendizaje automático. Participé en la creación de un programa de habilidades reales de analista de datos para personas que querían cambiarse a ese trabajo, y ese programa incluso recibió certificación oficial como formación profesional para personas que buscan empleo
A muchos oficinistas comunes se les capacita en Word/Excel/Outlook y luego es muy difícil o imposible recapitarlos en otras herramientas. Puede ser por falta real de comprensión o por resistencia al cambio
En las escuelas también pasa mucho que “Informatik” se reduzca a aprender dónde hacer clic en productos de Microsoft. Del mismo modo, en los trabajos técnicos también es común especializarse en herramientas y productos concretos. A los mecánicos automotrices a veces prácticamente los obligan a especializarse en ciertas marcas, y los técnicos de reparación de electrodomésticos también tienden a vender y reparar sobre todo lavadoras, secadoras y lavavajillas de una sola marca
Toda la industria tecnológica se está moviendo hacia la nube, y aunque no uses a grandes proveedores como Amazon, Microsoft o Google, si son servidores administrados, técnicamente sigue siendo cloud sin importar dónde estén
La verdad, nunca me subí a la moda de Google Analytics y me alegra, porque nunca he dedicado más de 5 minutos a pegar unas cuantas líneas de etiqueta en un sitio que hice. Tampoco he trabajado nunca en una organización lo bastante grande como para que la analítica fuera realmente útil o valiosa
En este momento basta con borrar unas cuantas líneas de código para quitar fácilmente la etiqueta. Me da la impresión de que las organizaciones grandes debieron haber invertido desde el principio unas horas o unas semanas más en crear una solución propia de analítica
Al final, esto parece depender de cuánta capacidad de aplicación tenga cada persona. En ese sentido, si un programa enfocado solo en GA ayuda a conseguir el primer trabajo más rápido, quizá no sea necesariamente algo malo
Si aplicas lo aprendido en Google Analytics y aprendes a implementarlo en esos sistemas, podrías vender tus habilidades tanto a clientes que sigan usando Google Analytics como a clientes que busquen alternativas para evitar multas o cumplir de verdad con las leyes locales
Si haces proxy de los eventos, podrías seguir usando Google Analytics. Hasta donde sé, solo la dirección IP se considera dato personal, así que bastaría con enmascarar la IP o aplicar un hash irreversible, quitar cualquier otro dato que pudiera considerarse personal y luego enviar los eventos a Google. Se puede hacer hasta con un script sencillo de unas pocas líneas en PHP
Pero yo ya me desencanté de Google por dos razones
A) hicieron imposible convertir los datos antiguos a la nueva versión de Analytics
B) descartaron la API que permitía crear reportes propios. Durante años escribí mucho código que se comunicaba con esa API y ahora todo quedó inútil
Hace poco me cambié a Matomo autohospedado y al principio no pensaba mucho en eso, pero una vez que me acostumbré, me di cuenta de que es mucho mejor que GA. La interfaz es mucho más bonita, rápida y lógica
También me gusta que sea de código abierto. Incluso si algún día los creadores de Matomo optaran por un fork incompatible, creo que la comunidad haría un conversor para pasar los datos antiguos al nuevo formato
Después de usarlo un tiempo también me di cuenta de que puedes crear herramientas de reportes consultando directamente la base de datos de MariaDB. Usar SQL es muchísimo mejor que pelearse con la API de Google Analytics, que es absurdamente compleja y nada intuitiva
Si de verdad quieres seguir usando Google Analytics, podrías hacer un conversor que empuje todos los eventos de Matomo a Google Analytics. Así usarías las herramientas de Google cumpliendo con el GDPR. Pero yo no pienso hacerlo. Ya terminé con Google Analytics para siempre, y Matomo es para mí la tierra prometida
CDON usó la anonimización de IP de GA recortando la IP, pero se determinó que eso no era suficiente. Después del recorte, la IP en sí ya no es un dato personal, pero no estaba claro si ese recorte ocurría antes de salir al extranjero, y si se combina con otros datos personales, como cookies, se considera dato personal
Coop hizo proxy de todas las llamadas de GA y usó la misma dirección IP genérica para todos los usuarios. No recibió multa, pero sí tuvo que dejar de usar GA
[1] "1.3.15 Effektiviteten hos vidtagna skyddsåtgärder av Google och CDON" https://www.imy.se/globalassets/dokument/beslut/2023/beslut-...
[2] "2.2.2 Integritetsskyddsmyndighetens bedömning" https://www.imy.se/globalassets/dokument/beslut/2023/beslut-...
[3] "1.3.14.2 Coops implementering av server side container" https://www.imy.se/globalassets/dokument/beslut/2023/beslut-...
Esas empresas tenían años de datos en GA, pero exportarlos era imposible sin recurrir a trucos con BigQuery
Cuesta creer que un equipo con tanto financiamiento como el de Analytics no haya encontrado —o no haya querido implementar— una forma de migrar automáticamente
gtag.jsa GA4. Deberían haber hecho la actualización transparente, convirtiendo las solicitudes en segundo plano para que las propiedades de análisis existentes siguieran funcionando, y forzando GA4 solo para el registro de propiedades nuevasLa autoridad de protección de datos consideró que solo las cookies _gads, _ga y _gid ya permitían identificar a una persona. Es difícil seguir esa lógica, pero al menos la conclusión es que, con el método de Coop, usar proxy tampoco basta para cumplir la normativa
Me pregunto si alguien está usando una herramienta de analítica que permita rastrear lo que hacen los usuarios y al mismo tiempo cumplir con el GDPR
Quiero poder ver qué botones presionan, cuántas veces los presionan, qué partes de la app se usan más o menos, crear funnels del flujo normal, etc. No quiero saber quién es el usuario, solo cómo se usa la app desde la perspectiva de la aplicación. Antes lo hacíamos con Google Tag Manager, pero no se puede usar porque no cumple con el GDPR
Este caso trata sobre Google Analytics antiguo, reemplazado en 2020 por Google Analytics 4. Así que la situación es que hay que dejar de usar una versión que Google cerró definitivamente el 1 de julio de este año
Hay quienes sostienen que GA4 tampoco pasaría los mismos requisitos. Dinamarca tiene esa postura, pero aún no se ha puesto a prueba
Su lógica es que si un ciudadano de la UE va a Asia y visita un sitio allí, esa información se envía a servidores de EE. UU. en lugar de a servidores de la UE. Considerándolo desde cómo funciona Internet, me parece objetivamente absurdo, pero es posible que la ley funcione así. No se puede saber hasta que se trate en la práctica, y conviene ser escéptico con cualquiera que diga conocer el resultado
Lo digo como residente de la UE. Lo que menos quiero es que los sitios web empiecen a verificar residencia o ciudadanía para decidir la propiedad de mis datos
La geolocalización por IP no es un sustituto confiable de la ubicación física, y menos aún de la residencia; la ciudadanía ni siquiera entra en la ecuación. Me parece bien que la ley reconozca ese punto
La resolución no menciona explícitamente la versión, y dice que ciertos sitios deben dejar de usar la “versión de la herramienta Google Analytics usada el 14 de agosto de 2020”. No dice si eso es UA o GA4
La denuncia original de NOYB apunta a UA, pero los puntos citados en esta resolución también se aplicarían a GA4
Así que cuando una autoridad de protección de datos dice que “las empresas deben dejar de usar Google Analytics”, no hay razón para interpretar que solo se refiere a una versión que ya estaba descontinuada al momento de publicar ese comunicado
Y eso mientras no logran hacer nada frente a problemas que sí amenazan de verdad a la UE, como la sobredependencia de Rusia
El análisis actual en la práctica se parece a: “nos importa la privacidad del usuario, así que tú no podrás obtener información útil de tu sitio web, pero no te preocupes, nosotros sí vemos todos los datos”
Si insertas Google Analytics, el cliente no eres tú, es Google
Si necesitas analítica, sinceramente es mejor hacerla tú mismo. No se pueden confiar los datos de los usuarios a una empresa de publicidad
Supongamos que eres un gran conferencista o instructor y tienes una audiencia; ahora mismo estás regalándosela a YouTube, Twitter y otros. A cambio, ellos la monetizan y te dan solo una pequeña parte, mientras siguen llevando a tu audiencia hacia competidores y otro contenido distractor. De hecho, YouTube incluso vende la opción de anunciar mi video sobre videos de la competencia
Así que hay que salir de ahí. También conviene operar por cuenta propia el software de comunidad en vez de usar Discord, y manejar directamente videoconferencias, livestreaming, chat, presentaciones y contenido de pago, además de aceptar pagos en criptomonedas aparte de PaymentRequest. Hacer alternativas de código abierto suficientemente buenas es difícil, y Mastodon y Bluesky todavía no lo son
Así que, haciendo una autopromoción descarada, mi equipo y yo dedicamos 12 años y 1 millón de dólares a construir esto: https://github.com/Qbix/Platform
Entre cientos de funciones, una permite tener tu propia analítica en la base de datos de tu propio sitio comunitario. Otras funciones están aquí: https://qbix.com/features.pdf
Claro, eso no significa que debas dejar de alojar contenido en YouTube por completo. Pero conviene subir solo teasers cortos, highlights o testimonios, y hacer que todo enlace a tu propio sitio. Puede que te descubran en sitios grandes, pero si alguien se toma en serio el contenido de formato largo y la comunidad, debería comprar la membresía en tu sitio y construir una relación directa. Entonces la expulsión de plataformas o la coerción pasan a ser una preocupación secundaria
Como controlo el lado del servidor, con registrar visitas a páginas y ciertos CTA puedo ver más o menos qué recorrido siguió la gente y si hizo un pedido
Es mucho más útil que depender de si la gente tiene JavaScript activado o bloqueadores de rastreo
Por ejemplo, si alguien va a la página de pedido, luego vuelve al FAQ y después hace clic en el enlace “qué es x”, eso me indica que debería agregar en la página de pedido una explicación de X
Claro, depende de qué datos necesites realmente, pero la mayoría de los objetivos se pueden lograr sin recolectar un montón de datos innecesarios
Hay tantas buenas opciones, y en especial si quieres ese nivel de control hay muchas alternativas de código abierto y autoalojadas, que no hace falta construir algo desde cero y normalmente tampoco se recomienda
El costo de GA suele explicarse como que “está subvencionado con los datos de los clientes”
Pero alojarlo tú mismo sí lo recomiendo claramente. Como no compartes los datos con terceros, eso resuelve gran parte de los problemas de GDPR. Entonces solo hay que preocuparse por el consentimiento y la retención de datos
Si los datos analíticos en bruto que podrían rastrearse hasta un usuario se procesan como estadísticas generalizadas, la retención de datos tampoco parece un gran problema
Me pregunto cuánto usa realmente la gente toda la información analítica que ofrecen estas herramientas. Conozco Matomo y otras soluciones open source o autoalojadas, pero ¿de verdad cuánta información se usa?
En la mayoría de los casos de uso, supongo que solo quieres saber si el contenido se consume o se lee, cuánto tiempo se quedan y de dónde vienen. Eso se puede hacer incluso con un pequeño script que procese logs
Hice algo parecido analizando logs de Caddy para ver aproximadamente cuántas visitas recibían los enlaces, y en realidad eso era todo lo que necesitaba. Como solo lo ejecuto cuando hace falta una actualización, tampoco consume recursos todo el tiempo. Antes de borrar los logs, guardo la salida para poder saber cosas como que el Artículo 1 tuvo menos de 39 vistas y el Artículo 2 tuvo 5
Estamos exagerando demasiado, y creo que bastaría con pensar unos minutos antes de meternos en la madriguera de analizarlo todo
Cuanto más crece una empresa, más aversos al riesgo se vuelven quienes toman decisiones, y la analítica termina usándose como respaldo conveniente cuando esas decisiones son cuestionadas
Lo que me pregunto es cuál es el retorno de inversión de estas herramientas. En algunos casos claramente funciona, pero ¿siempre? Nosotros ahora mismo tenemos 3 desarrolladores de inteligencia de negocio y 2 desarrolladores que hacen el producto real
Lo más gracioso es que, aunque hay 3 personas en BI, no se puede saber si realmente justifican su sueldo. Sus datos no pueden demostrarlo
Para mí es más que suficiente
También se lo activé a algunos clientes, y dijeron que les encanta lo simple que es. Tener pocos datos se vuelve una característica
Si quieres ver qué funciones se usan, el seguimiento de eventos sí resulta realmente útil
No todo es marketing o publicidad maligna
Pero desde la perspectiva del usuario común, GA4 es terrible
No hace falta GA ni ningún otro framework analítico inflado
Lo hago unas dos veces al año. Todavía me ayuda a priorizar qué mantener o actualizar según lo que sigue siendo leído, encontrado en buscadores o enlazado desde afuera
Usé ChatGPT para generar código HTML para una presentación en remark.js a partir de cierto contenido, y aunque generó el código, también insertó al final un snippet de GA junto con un código de cuenta de GA inventado
No me di cuenta enseguida, y lo descubrí unos días después mientras editaba la presentación. También fue culpa mía por flojo
Es responsabilidad del usuario verificar lo que ChatGPT escribe antes de usarlo, pero es responsabilidad de OpenAI no compartir información personal
No tengo muy claro quién necesita analítica
Cuando trabajé en una empresa que usaba Google Analytics, el 99.9% de las veces se podían obtener los mismos datos desde los logs del servidor con algo como awstats o goaccess
Todavía no entiendo por qué ahora hay que insertar JavaScript para enviar solicitudes adicionales o meter píxeles de seguimiento. Los datos ya se entregaron una vez
Si la aplicación corre totalmente en el navegador del cliente salvo por algunas llamadas a API, se vuelve difícil saber qué páginas se están viendo realmente. A menos que la app cliente lo reporte directamente, o se lo reporte a Google
La conclusión era una cuestión de sensación. Se siente bien tener datos sobre los usuarios, aunque la mayoría ni siquiera los mire realmente. Incluso si contratan a alguien para revisarlos, muchas veces no ejecutan lo que esa persona descubre
La mejor forma de obtener retroalimentación es hablar directamente con los usuarios o hacer encuestas
No me importa si Bob hizo clic en el botón; lo que importa es si hizo clic el 1% o el 50% de los usuarios. O si quienes hacen clic en el botón A tienen más probabilidad de hacer clic en el botón B, para decidir si conviene ponerlos más cerca
La analítica debería ser estadísticas de uso anónimas, no seguimiento individual. Se está metiendo en el mismo saco lo malo con lo útil y en general inofensivo
Lo importante es si los interesados del negocio pueden acceder fácilmente a los datos y usarlos para tomar decisiones
Hace falta una interfaz que visualice los datos y distribuya al máximo el acceso y el análisis
Como Google Analytics es gratis y además casi forma parte del paquete de marketing más grande, Google Ads, es común ver a muchas personas de marketing interesadas que al menos conocen un poco la herramienta
Aun así, como el arranque de Google Analytics 4 fue bastante accidentado, el panorama podría cambiar
También se podían obtener estadísticas sobre los términos de búsqueda que llevaban a páginas individuales
Hace unos años salió el tema de GA en un proyecto de un cliente. La gente de nuestro lado quería evitar Google si era posible, y yo propuse alternativas como Matomo y Fathom. Varios del equipo incluso tenían experiencia con esas alternativas, pero el cliente insistía con GA
Era algo como: “Este es el estándar de la industria. Mira a las empresas de miles de millones de dólares que usan GA. Nosotros también tenemos que usarlo”. Yo señalé que las empresas con las que se estaban comparando tenían decenas de ingenieros por proyecto, y nosotros éramos 3 personas de medio tiempo
La lógica siempre volvía a “GA es el estándar y la gente conoce GA”. Es cierto, pero es un razonamiento algo circular
Otra propuesta fue probar varias opciones. Por ejemplo, correr GA y Matomo juntos por un rato, o usar GA solo para el sitio público de marketing y usar otra cosa para la aplicación interna
Pero lo rechazaron. Querían rastrear absolutamente todo, desde cada gasto en publicidad hasta el uso de los usuarios registrados dentro de la aplicación interna. La lógica era que algún día podrían necesitar un análisis del tipo: los 70 dólares gastados en la zona de Tacoma llevaron a 3 usuarios registrados, y esos 3 usan la herramienta de presupuesto con más frecuencia que los 8 que se registraron después de gastar 90 dólares en Toronto, así que había que tenerlo sí o sí
Ya no era “instalemos ambos durante unas semanas y probemos”, sino “investiguemos varias opciones y escribamos un informe de ventajas y desventajas”, y era una locura
Mi preocupación mayor era que, para fines de pruebas y desarrollo, no se puede “reiniciar” fácilmente una base de datos de analítica que no controlamos. Es difícil hacer cosas como resetearla o crear sandboxes nuevos ilimitados para cada ejecución de prueba. No encontré una buena forma de manejar pruebas ni en GA ni, en realidad, en casi ninguna solución alojada. Pero quizá a los usuarios corporativos de analítica eso no les importe mucho
Cada vez que un cliente me pide implementar Google Analytics o el píxel de Facebook, siento que me muero un poquito por dentro
De hecho, sí tengo clientes que usan Google Ads, pero Analytics no les aporta ningún beneficio. Lo sé porque quien ajusta las campañas soy yo
Simplemente es algo que todos hacen, y si no lo haces eres un tonto. Esta mentalidad de lemming siempre da tristeza, porque de ahí vienen muchas de las cosas malas de la sociedad
Y cada vez que alguien dice que hacer algo uno mismo es una pérdida de tiempo, yo construyo mis propios CMS e incluso frameworks de aplicaciones de una sola página. A largo plazo, cualquier otra forma es una pérdida de tiempo gigantesca. La única vez que enrollar algo uno mismo para perder tiempo tiene sentido es cuando hay tabaco de por medio
Si visito el sitio de una empresa y está usando Google Analytics, lo tomo como una señal de que esa empresa es perezosa, ignorante o hostil hacia sus clientes potenciales
Esas tres posibilidades cubren todos los casos, y ninguna de ellas es una señal positiva
Cualquier empresa o entidad con presencia en línea tiene derecho a saber qué hace la gente en su propia plataforma y a usar herramientas adecuadas para ese propósito. Pero no tiene derecho a compartir eso con nadie sin una advertencia explícita y el consentimiento del usuario
La web como comedero digital de depredadores, donde gente inmoral despluma a personas desinformadas, tiene que parar
La vida comercial no es precisamente una exhibición de ética, pero la versión digital que ha evolucionado hasta ahora está especialmente fuera de sintonía con las normas comunes
Una persona común en una empresa normalmente un día pensará: “¿Cómo se enteran de nosotros?”. Busca en Google cómo responder esa pregunta dentro de una empresa y encuentra Google Analytics
Eso claramente no es hostil. Puede ser un poco ignorante, pero ¿realmente podemos culparlos?
Estoy de acuerdo en que los usuarios deberían tener un control fuerte sobre sus datos y con quién se comparten, pero si te opones a todas las empresas externas de publicidad y analítica, entonces te estás oponiendo a la adquisición digital de usuarios del 99% de los sitios web