Skip to main content

Entendiendo el Cumplimiento de GDPR: Herramientas de análisis de GDPR

01. December 2019

18 meses después de su fecha de aplicación (25 de mayo de 2018), el Reglamento General Europeo de Protección de Datos sigue siendo noticia. Hemos cubierto esto antes, incluso antes de que se aplicara la ley de protección de datos, ofreciendo asesoramiento a los propietarios de sitios web sobre los pasos a seguir para estar preparados para GDPR. Sin embargo, muchos empresarios, propietarios de sitios web y equipos de inicio todavía ignoran GDPR o no saben cómo manejarlo completamente. Descargo de responsabilidad: si no está seguro de si su empresa está implementando GDPR correctamente, consulte también a un abogado especializado en estos asuntos.

En el contexto actual, esto se ha vuelto extremadamente peligroso, ya que estamos empezando a ver fuertes multas para varias empresas, grandes y pequeñas, si no cumplen con los estándares de privacidad de datos. Tenga en cuenta que cualquier empresa y sitio web en línea que sea accesible a los ciudadanos de la UE, independientemente del país desde el que operen, tiene que cumplir las mismas normas. Por lo tanto, las empresas de fuera de Europa también deben estar en alerta.

¿Qué es GDPR y qué significa para los operadores de sitios web?

GDPR consiste en un conjunto de reglamentos que actúan como ley en todas las situaciones en las que los datos personales de los usuarios de ciudadanos de la UE están siendo tratados por empresas u otras organizaciones. De acuerdo con esta norma, toda persona que, voluntaria o inconscientemente, facilite datos personales a una empresa, a través de cualquier tipo de contacto, debe dar su consentimiento informado explícito para la recogida, almacenamiento y tratamiento de dichos datos.

El tipo de datos personales cuyo tratamiento requiere el consentimiento del usuario incluye nombres, información de contacto, ubicación, estado de salud, intereses, datos demográficos, etc. En el consentimiento informado se encuentra la obligación de informar a las personas sobre el tipo de datos que se recopilan, cómo y durante cuánto tiempo se almacenarán y con qué fin.

Además, debe proporcionar acceso a los datos personales de las personas que lo soliciten, así como asegurarse de que dispone de la seguridad de los datos. Los datos deben protegerse contra el robo y el uso indebido. En caso de violación de datos, como empresa, debe contar con procedimientos para notificar a todos los interesados. Esto se aplica a todos los negocios realizados en línea, así como fuera de línea.

Pero para los que trabajan en línea, la situación es mucho más complicada que para las empresas que actúan principalmente fuera de línea. Hay varias partes interesadas e involucradas en el proceso de recolección de datos en línea. No es sólo el propio operador del sitio web el que puede estar recopilando información sobre visitantes y clientes, sino también otros terceros, sobre todo con fines publicitarios.

Las aplicaciones de seguimiento web o herramientas de análisis web entran en esa categoría, empezando por la más famosa de todas, que es Google analítico. Recuerde que el operador del sitio web debe asegurarse de que tiene formas explícitas y distintas de informar al usuario sobre los diferentes tipos de datos que se están recopilando, así como de quién los está recopilando.

Estas normas no deben tomarse a la ligera. Algunos propietarios de sitios web han hecho uso de simples casillas pre-marcadas, para dar algún tipo de consentimiento informado a los usuarios que ingresan a sus sitios web. Otros han creado un solo cuadro de GDPR, agrupando varias disposiciones detrás del mismo botón, sin especificar todas las formas en que se utilizarían los datos. Estos dos casos no cumplen con los estándares y no salvarán a los propietarios de sitios web de ser multados.

En su lugar, cada tercero debe tener una sección "Estoy de acuerdo" separada y clara justo en el primer contacto que el usuario tenga con la página de destino, que los visitantes pueden o no marcar. Las casillas pre-marcadas no cumplen con los requisitos de GDPR.

¿Cuál es la consecuencia de las regulaciones de GDPR para Google Analítico?

Las consecuencias para el gigante digital son potencialmente devastadoras. En las últimas semanas y meses, los operadores de sitios web en Alemania que utilizan Google Analítico han sido objeto de críticas. Según Datenschutzbeauftragter, ya existen aproximadamente 200.000 informes en todo el país contra operadores web que no están revelando adecuadamente el uso de los datos por este tercero en particular.

Esto es un verdadero dolor de cabeza para los operadores de sitios web que están tratando de implementar esta revelación. ¿Cómo tratarán las situaciones en las que los usuarios no marquen la casilla junto al acuerdo de procesamiento de datos de Google Analítico? Podría ser un desafío técnico y legal. No podemos esperar que todos ellos sean expertos legales, ni podemos esperar que todos ellos puedan pagar por el asesoramiento legal. Cumplir con la GDPR puede haber sido una pesadilla para muchos. Si GDPR no era suficiente, ahora está el tema de usar análisis que cumplan con GDPR.

En este contexto, es posible que se esté instalando un clima de miedo. En lugar de correr el riesgo de que se impongan fuertes multas por las actividades de un tercero, ¿podría ser que los operadores de sitios web suspendieran, al menos temporalmente, sus cuentas de Google Analítico? ¿Qué alternativas tienen? Si examinan más de cerca las regulaciones actuales, pueden encontrar algunas. A veces el diablo está en los pequeños detalles. Algunas autoridades han subrayado el hecho de que las situaciones que se investigan son las que se producen en un momento dado:

"los servicios de terceros integrados en los sitios web también utilizan los datos recogidos para sus propios fines". (Ulrich Kelber, funcionario de protección de datos en Alemania)

Esto puede referirse a Google Analítico, que, al menos por el momento, utiliza los datos personales no sólo en interés de sus clientes, sino también para cruzar e intersectar datos de un servicio de Google a otro. Esto, por supuesto, tiene que ver con sus intereses en términos de servicios de pago, como la publicidad. Pero, si tomamos esta interpretación de la ley como cierta, entonces hay otras maneras para que los propietarios de sitios web obtengan análisis de GDPR.

Una forma es buscar otras herramientas de análisis, que simplemente no están conectadas a los servicios de publicidad y no comparten los datos con ningún otro tercero. Si el único propósito de la herramienta de análisis es generar datos agregados y anónimos para sus clientes, entonces no se debe requerir un consentimiento informado adicional. Y no hay escasez de herramientas analíticas, pero ¿cómo podemos diferenciar entre los que son 100% compatibles con GDPR y los que no lo son?

Aspectos a tener en cuenta al elegir una alternativa a Google Analítico que cumpla con los requisitos de GDPR

Si, como operador de un sitio web, usted decide que Google Analítico es una responsabilidad o una molestia demasiado grande para encajar en sus disposiciones de GDPR, podría empezar a buscar una alternativa. Si lo hace o cuando lo haga, tenga en cuenta lo siguiente (advertencia: tenga en cuenta que esto no es asesoramiento jurídico oficial. En caso de duda, consulte a un abogado):

  • Haga alguna investigación para responder a la pregunta si esta herramienta tiene su propio sistema de seguimiento o está basada en el código de Google Analítico. Muchas herramientas simplemente añaden sus propios gráficos y experiencia de usuario a los datos que les proporciona Google Analítico. Si bien pueden parecer diferentes, las cuestiones relativas a la privacidad de los datos, el procesamiento de datos y los requisitos de GDPR son los mismos
  • Asegúrese de que la nueva herramienta tiene un Acuerdo de Procesamiento de Datos y tómese su tiempo para leerlo.
  • En el Acuerdo de Procesamiento de Datos, busque la disposición de que la herramienta de análisis procesa los datos personales sólo en la medida y de la manera que sea razonablemente necesaria para los propósitos del contrato que usted tiene con ellos. Esto garantiza que no puedan utilizar los datos para sus propios fines, lo que los hace totalmente compatibles con GDPR, sin necesidad de que usted tenga que pedir a sus usuarios un consentimiento por separado. Vea un ejemplo a continuación, del Acuerdo de Procesamiento de Datos de Visitor Analytics
  • Póngase en contacto con los proveedores de la herramienta y firme con ellos el DPA (Acuerdo de Procesamiento de Datos). Esto debería hacerse para todas las aplicaciones de terceros que estés utilizando, no sólo para las analíticas.
  • Asegúrese de que los datos utilizados sean seudónimos y que haya opciones para optar por no realizar el seguimiento.
  • Compruebe para ver las disposiciones de acceso a la base de datos. Necesita esto para poder proporcionar el derecho de acceso a sus usuarios en caso de que lo soliciten. Tenga en cuenta que si alguien de sus listas/bases de datos desea obtener de usted la confirmación de si se están procesando o no los datos personales que le conciernen, dónde y con qué fin, deberá responder y proporcionar una copia de los datos personales, sin cargo alguno, en formato electrónico. Por cierto, también puedes hacerlo para todos los servicios de Google, visitando Mi cuenta de Google. Hay una opción para descargar los datos que Google ha almacenado en su perfil. Incluye grandes cantidades de información de varias herramientas.
  • Compruebe si existe una opción para eliminar datos, ya que algunos de sus usuarios pueden solicitarlo. Para ser justos, Google Analítico también ha tomado medidas para cumplir con esta medida y ahora puede eliminar las vistas y los visitantes. Visitor Analytics también ofrece esta opción.
  • Compruebe también los ajustes de retención de datos. ¿Durante cuánto tiempo conservará el proveedor de la herramienta de análisis (procesador de datos) los datos de los usuarios individuales? Google Analítico ofrece ahora la opción de controlar la retención.
  • ¿La herramienta de análisis de su elección está certificada ISO 27001? Esta es una certificación del hecho de que la organización mantiene los activos de información seguros.
  • Por último, pero no por ello menos importante, compruebe las disposiciones sobre la propiedad de los datos. Trate de encontrar una herramienta de análisis que le dé la propiedad de los datos. Consulte la sección "control sobre los datos" en la descripción general de cumplimiento de Visitor Analytics GDPR para ver un ejemplo de buenas prácticas.

¿Por qué necesitamos la GDPR en primer lugar?

Antes de que este reglamento entrara en vigor, las normas que regulan la recogida y el uso de datos personales eran mucho más flexibles. En consecuencia, hubo casos en que los datos personales, como el nombre, la dirección, el número de teléfono u otra información sensible, se manipularon incorrectamente, se desviaron fácilmente o incluso se vendieron de una empresa a otra, sin el conocimiento y el consentimiento de la persona. Esto podría tener un impacto muy grave en la vida privada de cualquier persona. Una cosa que sucedería a menudo es que usted podría ser más fácilmente blanco de los vendedores, incluyendo el uso de la publicidad intrusiva. Otras consecuencias, más graves, serían las relativas a las identidades robadas. Los proveedores de servicios de salud eran (y a veces siguen siéndolo) un objetivo predilecto para aquellos que desean hacer un uso indebido de los datos personales. Por ejemplo, un criminal puede presentar una declaración de impuestos fraudulenta o solicitar una tarjeta de crédito utilizando las fechas filtradas por una violación de datos de un hospital. En este contexto, se consideró que la privacidad y la protección de los datos deberían tomarse más en serio.

Si desea obtener más información sobre cómo nosotros, en Visitor Analytics, cumplimos con GDPR, aquí tiene algunas buenas lecturas para considerar sobre este tema: