RGPD, Google Analytics y WordPress ¿tengo que hacer algo al respecto?

Actualizado el 19-05-2018

Como ya sabrás, y sino deberías, el 25 de mayo tu web deberá cumplir, además de las leyes actuales, la nueva RGPD (o GDPR), una nueva legislación que protege la privacidad y derecho al olvido de todos los usuarios de la Unión Europea.

Aquí en el blog estoy tratando de cubrir todos los aspectos que nos afectan a los usuarios de WordPress a la hora de implementar el cumplimiento de la RGPD en nuestras webs, sobre todo en la parte técnica, en los cambios que debemos hacer en nuestro WordPress para cumplir con la RGPD.

En este caso vamos a ver qué pasa con Google Analytics, pues aunque no es WordPress ¿alguien en la sala no tiene integrada su web con Google Analytics para medir su tráfico?

Cosas que quizás no sabías de Google Analytics y la RGPD

Según las condiciones del servicio de Google Analytics, a los clientes del servicio se les está prohibido enviar información personal a Google.

Y en lo que se refiere a información personal, Google se refiere a ella en las condiciones de Analytics como información personal identificable, que comprendería, entre otros, los siguientes datos:

  • Nombres
  • Números de la seguridad social
  • DNI
  • Direcciones de correo electrónico
  • etc, etc, etc.

Y debes saber que Google Analytics por defecto no recopila este tipo de información.

En cuanto a las direcciones IP, que también pueden considerarse información personal identificable, y por este motivo las protege la RGPD, tampoco los informes de Google Analytics incluyen esta información, aunque pueden recopilarlas.

Nota: Si quieres anonimizar las direcciones IP desde Google Analytics puedes personalizar el código de seguimiento estableciendo un parámetro, anonymizeIp, a true. También puedes hacerlo añadiendo este script antes del código de Analytics.

Además, debes saber que Google ha actualizado su enmienda para procesamiento de datos a la RGPD. Es más, deberías ir ahora mismo para revisarla.

Para ello sigue estos pasos:

  1. Ve a analytics.google.com
  2. Pulsa el botón (abajo) de Administrar.
  3. Selecciona una cuenta y ve a Configuración de la cuenta.
  4. A la derecha se mostrarán los detalles de la misma y, abajo del todo, tienes la enmienda para procesamiento de datos adaptada a la RGPD, que debes revisar y aceptar en su caso.
  5. Guarda los cambios.

enmienda procesamiento datos google
DPA de Google
enmienda procesamiento datos google aceptada
DPA de Google aceptada

También deberás seguir el enlace para Administrar detalles de la DPA, que te lleva a una página especial de la cuenta en Google en la que debes identificar tu organización y el responsable de los datos, seguridad y las políticas de privacidad.

atd/dpa google
DPA/ATD Google
añadir contacto atd google suite
Añadir contacto DPA/ATD Google

Y así para cada cuenta que tengas en Google Analytics.

Aceptación o no del seguimiento de Google Analytics

Además de lo anterior, deberías saber que Google Analytics dispone de una extensión para el navegador que permite a los usuarios aceptar o inhabilitar el seguimiento mediante este servicio de todas las webs.

Si quieres incluir esta opción en tu política de privacidad, aquí tienes el enlace. Seguro que algunos de tus usuarios la encontrarán útil, yo hace tiempo que lo incluí en la mía.

¿Tengo que hacer algo en mi WordPress?

Si ya integraste tu web WordPress con Google Analytics lo habrás hecho con alguno de estos métodos:

  1. Inserción directa del código de seguimiento en un archivo de tu tema (normalmente header.php o footer.php)
  2. Inserción del código de seguimiento en los ajustes de tu tema (como en las opciones de Divi, Genesis, etc.)
  3. Conexión con tu cuenta de Google Analytics con un plugin.

Si usaste alguno de los primeros 2 métodos no puedes hacer más. Google seguirá recopilando las IPs de tus visitantes, aunque no las muestre en los informes, y deberás informar en este sentido en tu política de privacidad.

Además, recuerda incluir en tu política de privacidad el enlace a la herramienta que vimos arriba para que los usuarios puedan evitar el seguimiento de Google Analytics si así lo desean, o a cualquier otra herramienta, como Ghostery, por ejemplo.

Ahora bien, como sabrás, yo siempre recomiendo usar un plugin para integrar WordPress con Google Analytics por dos motivos principales:

  • Al cambiar de tema no pierdes la integración con Google Analytics.
  • Dispones de ajustes para personalizar el modo en el que Google Analytics recopila datos de tu sitio.

Además, estos plugins suelen también incluir informes rápidos de Google Analytics desde tu escritorio, un modo estupendo de ser consciente de tu tráfico y llevar a cabo acciones para aumentarlo y mejorarlo.

Google Analytics Dashboard for WP al rescate

Pues bien, una de las ventajas de usar un plugin, la de personalizar los ajustes de integración con Google Analytics nos ayudará también con el cumplimiento de la RGPD, al menos si usas mi plugin recomendado para integrar Google Analytics y WordPress: Google Analytics Dashboard for WP.

Este plugin dispone de varios ajustes para facilitar el cumplimiento de la RGPD si integramos Google Analytics con WordPress.

Por defecto, el plugin GADWP no envía información privada a Google, y eso ya es una ventaja.

IPs anónimas

Aunque Google Analytics no revele las direcciones IP en sus informes esto no significa que por defecto las IPs se traten anónimamente.

El plugin GADWP si que ofrece esta característica, que te recomiendo actives. Para anonimizar la IP de tus visitantes sigue estos pasos:

  1. En la administración de WordPress ve al menú Google Analytics
  2. Haz clic en el submenú llamado Código de seguimiento.
  3. Elige la pestaña superior llamada Ajustes avanzados.
  4. Activa la casilla llamada Anonimizar IPs durante el seguimiento.
  5. Guarda los cambios.

Impedir el seguimiento

Algunos navegadores enviarán una cabecera Do Not Track (o DNT) cuando el usuario navega por tu web.

Si quieres ofrecer al usuario esta opción puedes también activar esta característica con el plugin GADWP.

Si activas esta característica en los ajustes del plugin y el usuario tiene activa la cabecera DNT el plugin dejará de enviar datos del usuario a Google Analytics.

Para activar la compatibilidad con DNT en GADWP sigue estos pasos:

  1. En la administración de WordPress ve al menú Google Analytics
  2. Haz clic en el submenú llamado Código de seguimiento.
  3. Elige la pestaña superior llamada Ajustes avanzados.
  4. Activa la casilla llamada Excluye del seguimiento a los usuarios que envíen la cabecera Do Not Track.
  5. Guarda los cambios.

Eso sí, ten en cuenta que todavía no todos los navegadores son compatibles con la característica DNT. En esta página puedes revisar dónde activar esta característica en los distintos navegadores.

Aceptación expresa del usuario

La última versión del plugin GADWP, además, incluye una característica que te permite activar una funcionalidad para permitir la aceptación (o no) expresa de los visitantes del seguimiento de su actividad mediante Google Analytics.

Con esta funcionalidad damos un paso más en la protección y respeto por la privacidad de los datos de nuestros usuarios.

Para activar la característica sigue estos pasos:

  1. En la administración de WordPress ve al menú Google Analytics
  2. Haz clic en el submenú llamado Código de seguimiento.
  3. Elige la pestaña superior llamada Ajustes avanzados.
  4. Activa la casilla llamada Activa la compatibilidad con la aceptación de usuario.
  5. Guarda los cambios.

Una vez activo el plugin insertará un script especial por encima del código de seguimiento. A continuación, para permitir a los usuarios aceptar el seguimiento, puedes crear un enlace como este:

<a href="javascript:gaOptout()">Haz clic aquí para aceptar el seguimiento de Google Analytics</a>

Además, el plugin GADWP también ofrece un shortcode (gadwp_useroptout) que puedes usar como enlace o botón para la aceptación de los usuarios en cualquier entrada o página de tu sitio.

Un ejemplo sería este:

[gadwp_useroptout html_tag="button"]Desactivar Google Analytics[/gadwp_useroptout]

Si no usas html_tag o usas html_tag="a" se mostrará un enlace en vez de un botón.

Por supuesto, al hacer clic en el enlace o botón los usuarios podrán desactivar el seguimiento mediante Google Analytics.

Si sigues los pasos anteriores deberás tener así los ajustes de seguimiento de GADWP…

También puedes usar el plugin GDPR Proof Google Analytics, que lanza una ventana emergente para que tus visitantes acepten ser rastreados por Google Analytics o no.

Si el usuario no acepta el seguimiento entonces el plugin se ocupa de que no se envíe ningún dato del visitante a Google Analytics.

¿Y en otros plugins?

Pues no he usado todos pero si usas Google Analytics de MonsterInsights, uno de los más populares, aunque últimamente en declive al haber pasado demasiadas características básicas a la versión Pro, puedes solamente anonimizar las IPs. Tienes el ajuste en Insights > Configuraciones > ¿Anonimizar las direcciones IP?.

Lo que no ofrece es la opción de Do Not Track ni la de la aceptación expresa del seguimiento.

Resumiendo: ¿cómo cumplo la RGPD con Google Analytics en WordPress?

Por resumir, para cumplir la RGPD en lo que se refiere al seguimiento de Google Analytics y WordPress debes hacer lo siguiente:

  1. Revisar y aceptar la enmienda de procesamiento de datos en Google Analytics
  2. Rellenar los datos de Entidad y Responsable en la administración de datos DPA/ATD de Google.
  3. Usar el plugin GADWP para conectar Google Analytics y tu instalación de WordPress y, en sus ajustes, activar:
    1. Anonimizar IPS durante el seguimiento.
    2. Activa la compatibilidad con la aceptación del usuario
    3. Excluye del seguimiento a los usuarios que envíen la cabecera Do Not Track
  4. Ofrecer un enlace o botón para que los usuarios acepten (o no) el seguimiento.
  5. Incluir toda la información posible al respecto de la información que recopilas (o no) mediante Google Analytics, y las opciones para excluir a los usuarios del seguimiento, en tu política de privacidad
VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(28 votos, promedio: 5)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

42 comentarios en “RGPD, Google Analytics y WordPress ¿tengo que hacer algo al respecto?”

  1. Alvaro Canteiro

    Tambien hay otra opción, igual un poco drástica, yo en mi blog he quitado formulario de contacto y google analytics.

      1. Es que en todo esto que se está montando, o por lo menos yo lo entiendo así, no se distingue entre blog personal y blog de empresa. No es lo mismo el uso que le puede dar una web comercial a muchas cosas que el uso que le puede dar una web personal asi como la capacidad de aglutinar información tanto de uno como de otro. Asi que en el caso de una web personal, tal y como se ponen las cosas, pues lo mejor quitar analytics y formularios de contacto, y asunto solucionado.

        Otra cosa, evidentemente, seria una web empresarial, ahí ya cambia, por supuesto, aunque en muchos casos tener formulario de contacto para poco uso o bien tener analytics que luego nadie mira, pues para el caso tambien es perfectamente retirable en ambos casos.

        1. En realidad el foco se pone en el derecho del usuario web a la privacidad de sus dato, da igual si es mediante Analytics, un formulario o un simple comentario.

          Tienes derecho a saber qué datos almaceno de ti, cuando, dónde y el uso que haré de ellos.

          Hay gente que monta campañas con emails de comentarios, y a mi me gustaría poder dar permiso o no, e igualmente ver los datos que tienes de mi e incluso asegurarme que los borras si así lo decido.

          Vamos, que es algo bueno en el fondo, da igual la web.

  2. Muchísimas gracias por el artículo el cual nos ayuda a estar un poco más al día con este tema tan complejo. Pero me surge una duda. ¿En que lugar hay que pegar el enlace para que los usuarios acepten o no el seguimiento?
    Gracias y quedo en espera de tu respuesta.
    Un cybersaludo 🙂

      1. Marc Oliveras

        ¿Hay que crear un botón específico para que los usuarios acepten el seguimiento de Analtyics? ¿O es suficiente con el botón de «Aceptar cookies»?

  3. ¡Gran artículo Fernando! Como el resto de esta serie que estás creando. ¡Muchas gracias!

    Por si a alguien le resulta útil, si tienen el código de seguimiento de GA utilizando el método «gtag» pueden convertir en anónima fácilmente las IP así «gtag(‘config’, ‘GA_TRACKING_ID’, { ‘anonymize_ip’: true });».

    ¡Saludos!

  4. Mauricio Macas

    Hola, Fernando, excelente tutorial como siempre :), una consulta, ya tengo todo listo como vos indicas, pero como aplico el link para el consentimiento de Analitycs al visitante? (Ofrecer un enlace o botón para que los usuarios acepten (o no) el seguimiento) Navego por tu blog pero no tienes el Link »
    Haz clic aquí para aceptar el seguimiento de Google Analytics» , solo el consentimiento de las Cookis, lo debo poner el alguna parte del plugin o en el html del theme? o lo debo agregar al pop up del consentimiento de Cookies? Gracias por tu gran ayuda.

    1. Pues no, pero algunos se echan al monte. Además, cualquier sistema de estadísticas te guardará información, pero Google Analytics es el mejor.

      Ahora bien ¿no lo usas para nada? ¿no lo revisas? ¿solo lo tienes porque todos lo tienen? Entonces ahórratelo, claro.

      Lo de la enmienda para el procesamiento de datos es parte de la política de Google y si no la aceptas te pueden cerrar el servicio.

      1. Marc Oliveras

        Hola de nuevo. Acabo de decir a un cliente que elimine su cuenta de Analytics. Tiene su web muy parada y no creo que revise Analytics. ¿Crees que ha sido buena idea decirle que la borre? Gracias.

  5. Yo he añadido al código de analytics la linea (entre lo del create y el send) : ga(‘set’, ‘anonymizeIp’, true);

    Con esto ya está, no?

    Si hago esto y tengo por ejemplo los comentarios con disquis… Ya está, no?

    1. No, solo con anonimizar las IPs no vale.

      Y lo de disqus tenemos que esperar a ver si incorporan algo, sino habrá que hacer una ñapa o cambiar de sistema, ahora mismo no cumple la RGPD

  6. Fernando, que debería incluir el formulario de contacto para estar de acuerdo a las nuevas politicas del 25 de mayo ?

    Y en el caso en que el formulario, sea un cotizador, que en un segundo paso pide datos tal cual un formulario de contacto, imagino que también entraría dentro de la misma bolsa, y sería repetitiva entonces mi pregunta; que debo agregar para cumplir con la reglamentación en ambos ? ejemplo http://www.cortinastucuman.com.ar

    Saludos !

  7. Muchas gracias, es muy útil el articulo.
    en el caso de que el codigo se inserto manualmente el el archivo del tema, como se podría anonimizar IPS?
    activar la compatibilidad con la aceptación del usuario y excluir del seguimiento a los usuarios que envíen la cabecera Do Not Track?

    Gracias!

  8. Gracias por la detallada información. Aún sigo algo perdido, ya que recién hoy me enteré de todo esto.En Latinoamérica también tenemos que seguir estos mismos pasos o hay alguna diferencia?

      1. Bueno, eso no es disqus, sino discusss, y el hecho de tener el Privacy Shield no implica que no haya que seguir pidiendo el consentimiento expreso al usuario antes de guardar datos suyos de lo que sea

  9. Tengo una web en México donde vendemos productos para construcción, (Solo vendemos y envíamos nuestros productos dentro del territorio mexicano).

    Revisando analytics me he enterado que aunque no envíamos a otros paises si tenemos visitantes de Europa.

    Mi pregunta es la siguiente:

    Si no vendo productos, ni presto servicios fuera de mi país, pero esporadicamente me visitan usuarios de Europa debo cumplir con los requisitos de la RGPD?

    en caso de ser afirmativa la respuesta, no sería una buena idea bloquear el trafico de usuarios europeos ya que no reportan un beneficio para nuestro negocio?

    ojalá puedas resolver mis dudas, gracias de antemano por las respuestas.

    1. Buena pregunta.

      Solo por las visitas no, salvo que les pidas información por algún motivo (comentarios, formularios, etc).

      Y sí, siempre puedes bloquear tráfico de otros países, es totalmente lícito

  10. Hola Fernando, una duda enorme con este tema de las cookies. Antes de entrar a leer este post he borrado la cookies de ayudawp en mi ordenador. Pues bien, no he dado en el botón «Estoy de acuerdo» y revisando veo que tu web me ha instalado las siguientes 4 cookies:
    _ga
    _gid
    _gat
    mailerlite:webform:shown:874436
    Que sucede entonces? Tu web no cumple ahora mismo el RGPD en cuanto a Cookies.

  11. Perla Rodriguez Dieguez

    Lo que aún me queda en el aire y voy paso a paso, borro, vuelvo, escribo y reescribo es cómo estar en ley si tengo un blog en WordPress.com, (NO WordPress.org) porque los usos de cookies y datos de usuario son más limitados, se supone que debe ser más simple, pero… puff…

  12. Victor Barajas

    Hola. Yo tengo un pequeño blog con wordpress premium con 1 solo post, espero ir creciendo poco a poco. En este blog tengo un formulario de contacto y tengo también la opción de si se quieren suscribir a mi blog para que reciban un correo cuando publique algun nuevo post. La suscripción premium no me permite instalar plugins, como puedo cumplir con la norma GDPR? Gracias!

  13. Gabriela Marisa Iglesias

    Hola Fernando gracias por compartir tus conocimientos. No se si podrás ayudarme con mi problema, pero he intentado hacer esto de integrar google analitycs en numerosas ocasiones. Finalmente veo las estadísticas pero ahora mi tráfico disminuyó drásticamente, sabes a que puede deberse? o como puedo recuperar mi números de visitantes? Gracias de antemano

    1. Uf, cada caso es un mundo. Puede ser que lo tuvieses duplicado, puede ser que te haya afectado una actualización del algoritmo, habría que ver tu caso concreto

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido