Retos y oportunidades de Google Analytics 4 en privacidad

  • septiembre 14, 2023
  • Jorge Morell Ramos
  • Blog

El pasado 1 de julio de 2023 Google Analytics 4 (GA4) reemplazó a Universal Analytics (UA) como nueva solución de medición de Google en webs y apps. El cambio se completará el 1 de julio de 2024, cuando incluso las propiedades de Universal Analytics 360 con un pedido vigente ya no podrán procesar ningún dato más.

Pero la realidad es que desde julio de 2023 ya una gran mayoría de webs usuarias de Google Analytics han tenido que dar el salto a su versión 4 si quieren seguir obteniendo datos. 

El cambio no ha sido repentino ya que Google lleva varios años ofreciendo la doble opción para hacer la transición más sencilla. 

1.- ¿Pero qué es Google Analytics 4?

Google lo ha bautizado como la nueva generación de Analytics para recoger datos basados en eventos tanto de apps como webs. En ese sentido, GA4 incluye un nuevo tipo de propiedad que permite comprender mejor el recorrido del cliente, recoger datos según eventos y no sesiones, posibilita medir sin usar cookies, incluye modelos de comportamiento o modelización de conversiones y se integra más con redes sociales para impulsar acciones en webs y apps.  

El nuevo tipo de propiedad propuesto por GA4 es tan distinto que pasar de un Analytics clásico a GA4 puede requerir cierto proceso de migración, ya sea uno cliente final o anunciante. 

Las diferencias entre GA4 y UA (que nació en 2012) son principalmente:

  • GA4 mide con mucha más facilidad apps o webs en conjunto o por separado. UA necesitaba el extra de Firebase para las apps.
  • UA estaba más sujeto a las cookies y su aceptación. GA4 recurre al aprendizaje automático para inferir los datos no compartidos por los usuarios, supuestamente cumpliendo con el RGPD.
  • GA4 no recurre tanto al ID del dispositivo para medir lo que hace el usuario, que muchas veces usa múltiples dispositivos para ver lo mismo y por tanto generaba duplicados con UA.
  • GA4 cambia el sistema de informes respecto a UA con el objetivo de conseguir métricas más personalizadas y generales. 
  • GA4 abandona el sistema de sesiones por uno basado en eventos, y además cuenta con métricas específicas de comercio electrónico.

La realidad es que Google Analytics ha llegado a este cambio bajo una situación legal compleja dadas las numerosas resoluciones de agencias de protección de datos europeas contra sus prácticas en privacidad, especialmente debido a la anulación del Escudo de Privacidad en julio de 2020 y la casi imposibilidad legal de transferir datos personales fuera del Espacio Económico Europeo.

2.- ¿Qué problemas legales ha encontrado Google Analytics desde entonces?

Veamos brevemente algunas de las resoluciones que se han pronunciado sobre ello en los últimos años, especialmente del 2022 en adelante.

El primerísimo en abrir el melón fue la agencia de protección de datos federal de Alemania y la de Berlín en noviembre de 2019. Según las mismas, usar Google Analytics (en aquel momento UA) requería consentimiento según los criterios del caso Planet49 ya que Google usaba la monitorización para sus propias finalidades. Además, eran indiferentes los distintos servicios que pudieran ser activados al usar GA.

Post Schrems II, el 11 de enero de 2022 el primero que se pronunció fue el Comité Europeo de Protección de Datos sancionando al Parlamento Europeo por el uso de Google Analytics (y Stripe) en su web de tests COVID. Los argumentos fueron que la web estaba transfiriendo datos a los EE.UU. sin garantizar un nivel adecuado de protección de los mismos. Además, «El Parlamento no proporcionó ninguna documentación, pruebas u otra información sobre las medidas contractuales, técnicas u organizativas establecidas para garantizar una nivel de protección equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web.»

La primera agencia en disparar con bala fue la agencia de protección de datos de Austria el 13 de enero de 2022 al resolver que el uso de Google Analytics vulneraba Schrems II ya que las medidas técnicas y organizativas adoptadas por Google (protecciones alrededor de los data centers, cifrado de base o análisis de solicitudes) eran completamente inútiles a efectos de la vigilancia realizada por EEUU de acuerdo a FISA 702 y la EO 12333.

La agencia de protección de datos de Francia se pronunció en el mismo sentido en febrero de 2022. Los principales argumentos fueron que Google Analytics generaba riesgos importantes a los usuarios franceses en cuanto al posible acceso de sus datos por parte de los servicios de inteligencia de EEUU. Google había adoptado medidas para evitarlo pero eran insuficientes y por tanto consideraba el uso de GA ilegal.

En julio de 2022 fue el turno de la agencia de protección de datos de Italia, sancionando también el uso de Google Analytics. Los motivos fueron que Google Analytics usaba cookies para recopilar datos personales, como la IP, que transfería a EEUU. En relación a la IP, mencionó que el hecho de anonimizarla (en principio) no bastaba ya que Google podía enriquecer esos datos con otra información que permitían la identificación. 

En septiembre de 2022 sería la agencia de protección de datos de Dinamarca. Los motivos para considerar su uso ilegal eran que las medidas de Google no ofrecían suficiente protección para la transferencia realizada a EEUU. En todo caso, la agencia danesa indicó que una medida de seudoanonimización como un proxy inverso podía ser una medida técnica suplementaria adecuada. 

La opinión de la autoridad danesa era también interesante ya que descartaba que el uso de Google Analytics 3 o 4 cambiara algo respecto al incumplimiento (profundizaremos más adelante). Algo con lo que posteriormente coincidió la agencia noruega.

En diciembre de 2022 la Agencia Española de Protección de Datos (AEPD) se convertía en la nota discordante y rechazaba que el uso de Google Analytics fuera ilegal. Los principales motivos eran que se había constatado que la RAE (en este caso el reclamado), una vez que se había publicado la sentencia de Schrems II dejó de usar Google Analytics. Además, la AEPD consideró que la RAE nunca utilizó información con la finalidad de identificar a los usuarios. Por tanto, archivó el expediente.

En julio de 2023 llegaría la primera sanción económica (de 1 millón de euros) por parte de la agencia de protección de datos de Suecia. Los sancionados fueron Tele2 (operador telefónico) y CDON (una tienda online). Las razones fueron que se recopilaban datos personales, se transferían a EEUU, se aplicaban medidas suplementarias insuficientes (como las Cláusulas Contractuales Estándar) y además se usaba GA desde hacía tiempo a pesar de conocerse sobre su problemática legal desde 2020. 

También en julio de 2023 llegaría la sanción de la agencia de protección de datos de Noruega, declarando su uso ilegal. Los principales motivos eran, en buena parte siguiendo la estela de la agencia danesa, que Google Analytics seguía captando datos personales y los transmitía a EEUU con medidas técnicas y organizativas insuficientes. Por tanto, el uso de GA era ilegal.

En todo caso, las agencias sueca y noruega coincidían en que la aprobación del nuevo marco de privacidad entre EEUU y Europa, el pasado 10 de julio, convertía a Google nuevamente en un proveedor adecuado.

Sea como sea, se sabe que la posibilidad de Schrems III es muy factible ya que el nuevo protcolo también será llevado al Tribunal de Justicia de la UE. Por tanto, veremos por allá 2025 – 2026 si esta historia se repite o no por tercera vez.

Hecho este breve repaso, veamos las particularidades legales de Google Analytics 4, qué ventajas presenta a priori en materia de privacidad y si son o no suficientes frente alguno de los retos de futuro.

3.- Particularidades legales de Google Analytics 4

Por allá marzo de 2022, cuando GA4 fue anunciando, decía Google que el mismo estaba diseñado con la privacidad como elemento básico, tanto para usuarios y clientes.

Ciertamente GA4 tiene nuevas características que ponen el foco en la privacidad. Por ejemplo:

  • Anonimización de la IP: en UA las IPs se recopilaban por defecto a menos que el usuario del servicio cambiara la opción. En GA4 la anonimización de la IP va activada por defecto y en principio no es ajustable por el usuario.
  • Conservación de los datos: al margen de alguna excepción técnica para grandes tratamientos, GA4 solo permite almacenar los datos 2 o 14 meses. Por su lado, UA daba más flexibilidad en ese sentido.
  • Modo consentimiento en etiquetas: por allá 2020 Google introdujo el modo consentimiento para modificar las etiquetas de traqueo o tags en función de los permisos que daban o no los usuarios. En GA4 esa opción está todavía más presente en cualquier tag que se configure, posibilitando que el usuario rechace indicar su navegador o el sistema operativo, entre otros datos.
  • Localización de los datos: GA4 sigue sin permitir elegir el servidor en el que se tratan y localizan los datos, que en su mayoría acaban en EEUU (de ahí la catarata de decisiones de la agencias). Así que aquí el avance es inexistente y se deben seguir aplicando medidas extra, si no interesa o es un problema.
  • Eliminación de datos: con GA4 es más sencillo diferenciar datos por usuario y eliminarlos si hiciera falta o se hubiera ejercicio el derecho de supresión. En UA solo era posible la eliminación en una franja de tiempo concreta.
  • Evitar información obviamente personal: GA4 está más pensado para evitar que se use Google Analytics para recopilar información identificable tipo emails, teléfonos, domicilios y demás en el ID del usuario.
  • Integración con otros servicios: GA4 simplifica limitar que se comparta la información recopilada con otros servicios como Google Ads o desactivar la personalización de anuncios.

Entonces, ¿utiliza Google Analytics 4 cookies? Sí, las que Google denomina propias para distinguir entre usuarios únicos y sesiones únicas por usuario individual. Lo que no requiere ahora la clásica cookie ga_ es establecer cookies para transmitir datos a y desde Google. La librería de JaveScript gtag.js es la que hace innecesario eso.

Ahora bien, ¿es suficiente Google Analytics 4 para salvar los problemas comentados por las agencias de protección de datos? Después de todo, ahora anonimiza la IP por defecto, ¿verdad?

En realidad lo que permite que la transferencia de datos haya dejado de ser un problema (hasta un potencial Schrems III) es el nuevo protocolo entre EEUU y Europa para transferencias internacionales. Como indicó la agencia de Dinamarca en su resolución, si bien UA y GA4 funcionan de forma diferente, tiene una base común, principalmente la creación de un ID único de usuario que se alimenta de otra información recopilada.

Incluso si se usa GA4 es su versión más privada, ese ID único se seguirá asignando y alimentando de información personal como la ubicación aproximada, hora de visita o interacciones en web. Eso incluso aunque GA4 no capta la IP sino que usa la ubicación aproximada del usuario para asignar un centro de datos (luego descarta la IP y envía la versión «anonimizada» a EEUU).

Es decir, todo indicaría que con GA4 no hay conexión directa entre el centro de datos de Google y la IP del usuario.

Pero para ese proceso, dice la agencia danesa, Google ha implementado firewalls en sus centros de datos como medida de seguridad para controlar el tráfico entrante. Y ahí sí puede recoger la IP al completo. Por tanto, incluso si no la hubiera recogido vía Google Analytics, podría haberla captado mediante ese otro tratamiento que cruzado luego con los datos de GA acabara desvelando la IP del usuario de GA4.

Y si hay IP, policía o servicios de inteligencia de EEUU podrían potencialmente descubrir quién hay detrás de la IP.

Es una opción algo rebuscada, pero no deja de ser cierta.

Por tanto, si no tuviéramos nuevo protocolo de privacidad entre EEUU y Europa, GA4 tampoco sería suficiente a nivel de transferencias internacionales.  Lo que es interesante a efectos de un potencial Schrems III en 2-3 años.

En resumen: Google Analytics 4 es el presente y en especial el futuro de Google a nivel de medición estadística en webs y apps. Es bastante más pro-privacidad que su predecesor, hasta el punto de permitir medir sin instalar cookies de terceros tipo DoubleClick. Pero eso no implica que no cargue cookies y además sigue instalando otros trackers, el ID único de usuario, que no deja de ser un identificador sujeto al RGPD.

Google Analytics ha tenido múltiples reveses de las agencias de protección de datos europeas por la ilegalidad de las transferencias internacionales cuando cayó Privacy Shield, hasta que en julio de 2023 llegó la nueva decisión de adecuación entre Europa – EEUU. Pero es ese protocolo el que vuelve a simplificar las transferencias internacionales, no GA4, que incluso en su configuración más privada no sería suficiente sin protocolo.

Ese último detalle será interesante a 2-3 años vista ya que Max Schrems ha dicho que volverá a llevara  tribunales el nuevo protocolo y tiene argumentos interesantes para volver a ganar.

Así que veremos cuánto dura este periodo de paz analítica. :p

Mientras tanto, será cuestión de usar y aplicar GA4 lo que mejor que se pueda gracias a sus avances en materia de privacidad.

¡Hasta el próximo Schrems! 😀