¿Es ilegal Google Analytics 4? ¿Cumple con la normativa Europea de privacidad? ¿Respeta Google Analytics 4 la privacidad de los usuarios?

Cuando las barbas de tu vecino veas cortar

Mucho se ha escrito, y con bastante impacto mediático, sobre la prohibición del uso de Google Analytics en algunos países europeos, empezando por Austria, seguido por Francia y recientemente Italia.

El motivo de fondo es la ubicación a la que se realiza el envío de los datos recopilados en los sitios/apps y dónde posteriormente estos se almacenan, que según la normativa Europea, se quiere que sea en la UE y no en USA.

Lo más importante de todo esto es que aunque nos enmascaren de respeto de los derechos de privacidad de los usuarios europeos, lo que realmente se está intentando impedir es que el conocimiento de estos usuarios pase a manos de la inteligencia americana.

Y ¿qué pasará en España? de momento no queda otra que esperar el pronunciamiento de los autoridades competentes para ver qué ocurre realmente.

¿Dónde almacena Google Analytics 4 los datos?

Google Analytics está almacenando los datos en EEUU, sobre todo su versión Universal Analytics y anteriores, ya que la v1 del protocolo de medición envía los datos directamente los datos a su dominio https://www.google-analytics.com/ dónde tiene ubicado el servicio collect?v=1 para recoger la información de cada hit medición enviado a sus servidores.

En cambio para su nuevo producto de medición, Google Analytics 4, tiene dimensionado dinámicamente el servicio para hacer la recogida de datos por regiones. Esta opción, que inicialmente esté pensada para una mejor performance del sitio, al tener una latencia inferior debido a que los servidores a los que se envía el hit de medición están más cerca, puede ser aprovechada como aliado para resolver el tema del envío y almacenamiento de datos en la UE.

Esta opción además incluye el envío a los servidores de Google de la información cifrada, lo cual parece no estar siendo suficiente para nuestros vecinos europeos.

Por las pruebas que he realizado, en este momento el sistema dinámico se activa, pero siempre salta la misma región: EEUU.

region1.analytcs.google.com --> G111 (consentimiento aceptado)
region1.google-analytics.com --> G100 (sin consentimiento)

¿Es ilegal Google Analytics 4?

Como analizábamos en el punto anterior, Google Analytics 4, y el protocolo collect?v=2 sobre el que se basa su medición, están concebidos para soportar el envío de datos a diferentes regiones en función de la ubicación del usuario, pero Google está a la espera de ver cómo se resuelve el acuerdo de transferencia de datos entre EEUU y UE.

Desde el punto de vista técnico, para valorar la legalidad Google Analytics 4, podemos analizar en un instalación de su etiqueta empleando Google Tag Manager, el cual lo inicia como vemos en la siguiente captura:

protocolo v2 medición Google Analytics 4

En cambio, tal y como apuntábamos más arriba, el hit lo envía a un subdominio de segundo nivel llamado region1 que pertenece a analytics.google.com:

https://region1.analytics.google.com/g/collect?v=2&tid=G-XXX&gtm=2oe6t0&_p=600581500&_z=ccd.v9B&_gaz=1&gcs=G111&gdid=dMWZhNz&cid=377512068.1635256811&ul=es-es&sr=1920x1080&_s=1&dl=%2F&dt=Especialistas%20en%20Anal%C3%ADtica%20Digital%20-%20Mide%20y%20Mejora&sid=1656877184&sct=65&seg=0&en=page_view&_ss=1&ep.content_group=Home

Como se puede puede observar en el hit, lleva el parámetro G111, el cual indica que este hit tiene el consentimiento del usuario para enviarse íntegramente.

En cambio, en el caso que no tener consentimiento, parámetro G100, el subdominio region1 cuelga del dominio google-analytics.com, el mismo dominio que se encarga de recolectar los hits del v1 de GUA.

https://region1.google-analytics.com/g/collect?v=2&tid=G-XXX&gtm=2oe6t0&_p=1375773764&_z=ccd.v9B&gcs=G100&gdid=dMWZhNz&cid=432210356.1656877992&ul=es-es&sr=1920x1080&_s=1&dl=%2F&dt=Especialistas%20en%20Anal%C3%ADtica%20Digital%20-%20Mide%20y%20Mejora&sid=1656877992&sct=1&seg=0&en=page_view&_fv=1&_ss=1&ep.content_group=Home

Ambos dominios están ubicados en diferentes regiones de EEUU, pero en EEUU al fin y al cabo.

Por tanto, el sistema está dimensionado con dos variables para albergar la posibilidad de medir correctamente esta circunstancia cuando fuese necesario, pues tiene:

  • Balanceo para enviar los hits con consentimiento y sin consentimiento a lugares distintos.
  • Balanceo para tras determinar la ubicación enviar la información a un host de una región concreta u otra.

Cuando lo hagan, es algo que, como siempre, sólo el tiempo nos dirá.

Además de lo anterior, que es lo proporcionado automáticamente por la herramienta, siempre tenemos la posibilidad de enviar los eventos directamente al servidor, si tenemos implementado el Server Side Tagging.

Conclusiones

En resumen, ¿con qué podemos concluir en cuanto a la legalidad de GA4?

  • Google Analytics 4 está preparado para ser legal si así se requiere.
  • Google Analytics 4 puede enviar los hits completos (con consentimiento) o incompletos (sin consentimiento) a lugares distintos.
  • Google Analytics 4 está dimensionado para enviar la información a diferentes regiones geográficas.

Si has llegado hasta aquí, gracias por la lectura, si te ha resultado útil: califica y comparte el post, y si tienes dudas: comenta o escríbeme directamente.

Rafael Giraldo Barbarroja
Rafael Giraldo Barbarroja
Especialista en
Google Analytics 4

Otras entradas relacionadas