¿El fin de Google Analytics?: Análisis de su adecuación a la normativa.

A través de los dos últimos artículos que hemos publicado, hemos llevado a cabo un análisis sobre las cookies que utiliza Google Analytics y cómo afectan a nuestros servicios en lo que se refiere a privacidad.

Como hemos mencionado ya, Google Analytics es una herramienta que permite a los responsables de las páginas web recabar datos de los usuarios mediante el uso de las cookies con la finalidad de ver como estos interactúan en la web. Para entender la problemática surgida entorno a este programa, es preciso saber antes qué son las cookies y cuáles son sus funciones y porqué las transferencias de datos internacionales de la Unión Europea (en adelante UE) a Estados Unidos (en adelante EEUU) se ha convertido en un problema.

Como vimos, tras la anulación del acuerdo con EEUU en materia de transferencias internacionales (Privacy Shield), usar Google Analytics ya no era seguro y algunas autoridades de control europeas como la de Francia y Austria, se pronunciaron en contra del uso de esta herramienta, ya que incumplía con las garantías exigidas por el RGPD.

¿Cumple Google Analytics con la normativa en materia de protección de datos?

Para responder a esta pregunta en primer lugar debemos de tener claro que los responsables de los datos personales de los usuarios que navegan por las páginas web son los prestadores del servicio de estas páginas web. El encargado del tratamiento de los datos recogidos por Google Analytics es Google, que trata los datos en nombre de los prestadores del servicio y conforme a sus instrucciones para proporcionar a estos su servicio de medición. El uso de los datos se determina en los contratos entre Google y Google Analytics así como en los ajustes que los prestadores del servicio habilitan en la interfaz de usuario que tienen, tal y como se establece en el apartado “Google Analytics y su cumplimiento del Reglamento General de Protección de Datos (RGPD)»

¿Qué datos recoge Google Analytics?​

Cuando accedes a una página web que incluye la herramienta de análisis de Google Analytics los datos que se reciben son:

      • URL de la página a la que se ha accedido.
      • Dirección IP. Tu proveedor de servicios de Internet asigna una dirección IP a tu dispositivo. Las direcciones IP se emplean para establecer la conexión entre el dispositivo y los sitios web y servicios que utilizas. En cierta manera, las direcciones IP se basan en la ubicación geográfica. Esto significa que los sitios web que utilices pueden obtener información sobre la zona general en la que te encuentras. El prestador del servicio ha de asegurarse que la información de la ubicación no sea detallada. Google considera como detallada a cualquier zona a menos de 2,5 km, ya que en algunos casos como el Reino Unido el Código Postal puede corresponder a una única residencia.
      • Cookies, principalmente propias.
      • Datos relacionados con los dispositivos de los que se accede y navegadores, como por ejemplo el tipo de navegador y su configuración, información sobre la red móvil, el tipo de dispositivo y su configuración…

En los contratos de Google Analytics se prohíbe que los prestadores de servicio envíen información personal identificable a esta herramienta, por lo tanto, son los directos responsables de que está información no se envíe. Google Analytics asegura en su pagina web que, si se sube información que permita a Google identificar al usuario, se podrá cancelar la cuenta y perder los datos de la herramienta. Además, impone una serie de exigencias que encontramos a continuación:

      • Obtener un consentimiento con validez legal de los usuarios finales para utilizar las cookies.
      • Guardar prueba del consentimiento, así como ofrecer instrucciones claras sobre cómo revocarlo.
      • Identificar claramente los terceros que puedan recoger, recibir o utilizar los datos personales de los usuarios, en este caso Google Analytics.

A priori parece ser que no se recogen directamente datos personales identificables de los usuarios. Sin embargo, esto no es del todo así. Google en su política de privacidad manifiesta que si el usuario ha iniciado sesión con su cuenta de Google se almacena información personal como nombre, número de teléfono o cuenta de correo electrónico. Igualmente, sin la necesidad de iniciar sesión de una cuenta de Google, se puede almacenar información personal. Por lo tanto, suponiendo que el prestador del servicio toma la diligencia debida y no envía información personal de sus usuarios a Google Analytics, es la misma empresa la que puede recabarla.

Algunas medidas que encontramos en la página de Google Analytics para que los prestadores de servicios eviten la recogida de datos identificables son inhabilitar la medición de Analytics, enmascarar las direcciones IP que se pueden recoger y configurar el uso de cookies para que usen un identificador de cliente seudónimo, entre otras. En relación con esto último, cabe explicar que el tratamiento de seudonimizar datos genera dos nuevos conjuntos de datos: la información seudonimizada y la información adicional que permite revertir la anonimización. Como esta la posibilidad de revertir la anonimización, entonces los datos están bajo el ámbito de aplicación del RGPD. En cambio, si se tratase de anonimización y no se seudonimización, se generaría un único nuevo conjunto de datos que no permite la asociación de estos con una persona física. Dicho esto, vemos que esta última medida sería más eficaz si se anonimiza el identificador del cliente.

Para los usuarios también existen alternativas como por ejemplo navegar con el modo incógnito de Chrome o bloquear las cookies de terceros.

No obstante, implementar Google Analytics de tal forma que respete el RGPD no es una tarea nada fácil, así lo vimos en la resolución de la Autoridad de Protección de Datos de Austria (22/12/2021) que determinó que se utilizó Analytics sin el consentimiento del usuario, el control de anonimización IP no se había implementado correctamente, las transferencias de datos se salvaguardaban por antiguas cláusulas contractuales.

¿Dónde se almacenan los datos recogidos?

Para almacenar la información recibida Google utiliza las cookies, almacenamiento local (como el web del navegador), bases de datos y registros del servidor. El problema radica en que como Google tiene servidores por todo el mundo como en Chile, Taiwán y Singapur, entre otros, la información puede ser tratada fuera del país de residencia del usuario, lo que implica realizar transferencias internacionales de datos. Como vimos en nuestro segundo artículo, aunque Google se atiene a las Cláusulas Contractuales Tipo, estas no resultan medio suficiente para garantizar los derechos de los usuarios en las transferencias.

¿Qué alternativas tienen los prestadores de servicio?

Para evitar brechas de seguridad y posibles incumplimientos, lo más idóneo es que los prestadores de servicio cesen el uso de Google Analytics y utilicen otras herramientas que almacenen los datos dentro de la UE o de un país con un nivel de adecuación a la normativa europea en materia de privacidad y que proporcionen garantías suficientes de seguridad en el tratamiento de los datos personales.


  • A través de las cookies, Google Analytics realiza transferencias internacionales de datos, ya que almacena la información en servidores fuera de la UE.

  • Actualmente, la herramienta de medición Analytics no cumple con la normativa en materia de transferencias internacionales de datos.

  • Los prestadores de servicio que usan Analytics se arriesgan a perder el control sobre los datos de sus usuarios porque esta herramienta no ofrece garantías suficientes de seguridad.

  • Utilizar Google Analytics supone riesgos para los prestadores de servicios, por lo que lo más recomendable es cesar su uso.
Contacta con Caberseg y te informamos de todo