El Reglamento General de Protección de Datos (GDPR) ha hecho necesario proteger la privacidad del usuario. Según el GDPR, debe eliminar cualquier información de identificación personal antes de transferir los datos del usuario a cualquier herramienta de propiedad estadounidense. Este paso se hizo necesario debido a la invalidación del Escudo de Privacidad.
En este artículo, describiré cómo eliminar automáticamente los datos de los usuarios mediante el power-up del stape Anonimyzer y redactar manualmente los datos de los usuarios a través de la web y el servidor GTM. Se trata de una extensión del artículo publicado en nuestro blog, que cubre por qué es necesario utilizar un servidor proxy para utilizar Google Analytics de una manera compatible con el GDPR.
Hubo algunos incidentes en países de la UE (Italia, Francia, Austria y Dinamarca) cuando la gente se puso en contacto con las autoridades locales de protección de datos para verificar si el uso de Google Analytics en el sitio web entra en el ámbito del GDPR. La respuesta en todos los casos fue que el uso de Google Analytics no cumple con el GDPR.
La razón principal es que las empresas estadounidenses (incluida Google) no ofrecen suficientes medidas de seguridad para proteger los datos personales de los usuarios de la UE. Por eso, compartir información personal con empresas estadounidenses va en contra del GDPR. Puede encontrar más información al respecto en nuestra anterior entrada del blog.
La buena noticia es que existe una solución para utilizar Google Analytics y seguir cumpliendo con el GDPR. La CNIL (autoridad francesa de protección de datos) dijo que para utilizar GA de forma compatible con el GDPR, debe implementar dos cosas principales: El servidor proxy de la UE y la seudonimización de los datos del usuario antes de la exportación.
El servidor proxy garantiza que no haya contacto directo entre el sitio web y la herramienta de análisis de Estados Unidos. La forma más sencilla de implementar un servidor proxy de este tipo es utilizando el contenedor del servidor Google Tag Manager. Los servidores proxy deben cumplir una serie de criterios. El principal: la empresa que le proporcione un servidor proxy debe estar registrada en la UE; los servidores utilizados para alojar su contenedor sGTM deben estar ubicados físicamente en la UE. Por estas dos razones, no puede utilizar Google Cloud (GCP) para sGTM. Básicamente, es la misma razón que Google Analytics: Google, una empresa estadounidense, es la propietaria.
Otra buena noticia es que Stape le tiene cubierto. Tenemos un producto específico, Stape Europe, que cumple todos los requisitos del servidor proxy de la UE. Stape Europe está registrado en la UE (Estonia) y utiliza el servidor en la nube de la UE proporcionado por Scaleway para ejecutar su contenedor sGTM.
En este artículo, quiero centrarme más en la segunda parte de la ley, que es la seudonimización de los datos del usuario. En Stape, estamos implementando una lista de funciones que le ayudarán a eliminar los datos de los usuarios de forma automática. Por eso dividiré el artículo en dos partes:
La lista de datos de usuarios que deben ser seudonimizados es bastante vaga.
Comentarios