El momento ha llegado. De aplicación obligatoria a partir del próximo 25 de Mayo de 2018, la nueva normativa de RGPD (Reglamento General de Protección de Datos) o GDPR (General Data Protection Regulation) por sus siglas en inglés, supone uno de los primeros impactos a nivel normativo en el área de la analítica digital y la analítica de datos. Además, se obliga a su aplicación en un momento de máxima sensibilidad por parte de los usuarios acerca del uso que las compañías hacen de sus datos, y en qué medida les puede afectar.
No queremos entrar en los aspectos legales de GDPR, pues una simple búsqueda en Google arroja miles de resultados relevantes. Sin embargo, como expertos y especialistas 100% centrados en Analítica y Data Science, desde El Arte de Medir nos gustaría repasar en qué medida impacta la nueva normativa en nuestra disciplina: la Analítica Digital.
Sin entrar en tecnicismos, la nueva normativa armoniza las normas anteriores de los diferentes países europeos, y es de obligatorio cumplimiento para cualquier empresa que opere en la Unión Europea, ya sea porque tenga aquí su base de operaciones, o por el simple hecho de intercambiar bienes y/o servicios con ciudadanos de la Unión Europea. En la práctica, esto supone que cualquier Web/App con foco en dicho territorio ha de cumplir con la normativa en lo que a tratamiento de datos personales se refiere, incluida su medición.
Se amplia el concepto de dato personal
Existen importantes novedades, como la aparición de nuevas figuras (p.ej. el Data Protection Officer), pero para el ámbito de la analítica lo más relevante pasa porque se amplia el concepto de dato personal. Ahora se considera como tal, cualquier dato que permita identificar a un usuario real de manera directa e indirecta. El impacto de este giro es notable, pues p.ej. ahora técnicamente una cookie anónima de Google Analytics, o de cualquier otra herramienta de analítica, es considerado un dato personal. La razón es que, de manera indirecta, nos podría llegar a permitir identificar a un usuario concreto. ¿Cómo? Sin ir más lejos, bastaría cruzar una transacción (que tiene un ID interno con los datos de compra y envío) con la cookie que la ha generado. De igual manera, se podría llegar a cruzar un registro (email) con la cookie que lo generó.
Es rizar el rizo, pero la normativa está ahí, y es lo que nos marca. El resultado es que, además de las IPs, que ya anteriormente ya eran consideradas como dato personal en diferentes países europeos, la situación que impone la GDPR supone un cambio en la forma de trabajar en analítica: tanto a nivel de implementaciones de las herramientas de analítica, como en la forma en la que extraemos, tratamos y analizamos los datos.
La aplicación de la nueva normativa al completo dentro de las compañías es muy amplia, y su despliegue ha de recaer en el Dpto. Legal. En este escenario la analítica es sólo una pequeña parte de toda esta aplicación, ahora bien, como expertos en analítica nos gustaría incidir en aquellos puntos que afectan especialmente a éste área, y cómo gestionarlos:
- Avisos y aceptación de cookies:
La normativa indica que no se puede colocar ninguna cookie que permita trazar al usuario hasta que éste lo acepte con una acción clara y específica (nada de consentimientos tácitos o “por defecto”). Aún así, esto queda abierto a algunas interpretaciones sobre qué se considera una acción clara : puede ser pulsar un botón de "Acepto", pero también podría serlo permanecer en la página un tiempo determinado de manera intencionada, comenzar a realizar scroll más allá de un punto, o si se consumen ciertos contenidos. Todo ello, siempre que se informe de ello de forma clara e inequívoca.
En este sentido, lo ideal es revisar con el equipo legal que tipo de acción se requerirá al usuario para que acepte ser medido vía Google Analytics, o cualquier otra herramienta de medición, y por tanto se le coloque una cookie de seguimiento.
En todo caso, el mensaje de aviso que se muestre ha de ser sencillo de comprender, debe dejar claro qué se va a realizar con los datos recolectados (analizar los hábitos de navegación, perfilar comportamiento, etc.), y debe explicar de manera clara cómo volver a desactivar el rastreo en caso de que así lo desee el usuario.
De cara a la analítica, el reto de este punto reside en que la calidad (y cantidad) de sus datos está directamente influenciada por la acción que consideremos que ha de hacer el usuario para aceptar que sea medido. Si es un botón, con gran seguridad perderemos una enorme cantidad de datos. Si todo se basa en scroll, o con el hecho de continuar navegando, tendremos sesiones incompletas, medición de campañas complicada, etc.
Por tanto, cada caso requerirá ser revisado de manera específica para evaluar el impacto sobre los datos.
- Política de retención de datos:
Un punto importante de la nueva normativa atañe al hecho de que debemos contar con una política concreta de retención de datos (cuánto tiempo guardaremos los datos, y con qué propósito). En este sentido, herramientas de analítica como Google Analytics ya ha implementado funcionalidades que permiten establecer una política concreta de retención de datos a nivel de la herramienta.
En el caso de GA podemos acceder a ella desde la parte de Administración, en el apartado de Información de Seguimiento ubicado en la configuración de la Propiedad. Lo que nos permite Google es mantener los datos de nuestras Vistas por 14, 26, 38, 50 meses (o sin caducidad), con lo que comenzará a eliminarlos de manera automática una vez superada la cifra indicada. Por defecto, Google ha establecido la ventaja de tiempo en 26 meses.
Aún así, no podemos olvidar que la política de retención de datos aplica también al resto de entornos donde almacenemos datos de los usuarios: desde sistemas de BI, hasta los famosos Datalake que tan de moda se han puesto en los últimos años.
En este sentido, es vital que nuestra política de Gobierno del Dato contemple en todas sus dimensiones la normativa de GDPR para hacer viable su cumplimiento, sobre todo en organizaciones medianas y grandes, donde la dispersión de los datos entre sistemas en tremendamente elevada.
- Tratamiento y análisis de los datos:
A priori no deberíamos tener problemas con GDPR trabajando con métricas agregadas, y sin bajar al nivel de usuario. En este sentido, si manejamos consultas a nuestra herramienta de analítica que impliquen obtener los “grandes números” no tendremos que enfrentarnos a dificultades.
El problema vendrá si, por ejemplo, descargamos un listado de Client ID (cookies) o User ID con las diferentes páginas que han visitado, si han realizado o no ciertas acciones, etc. Esto, que habitualmente utilizamos para realizar clustering, realizar perfilados de usuario, modelos de probabilidad de abandono/conversión, etc. sí estaría afectado por GDPR.
El resultado es que las extracciones y manipulaciones de estos datos están regidos por las mismas normas que exige GDPR en lo que a retención, seguridad y eliminación se refiere.
Si el objetivo del análisis es entender el comportamiento o realizar auditorías de datos, nuestro consejo ante estos casos (incluso trabajando con IDs de transacción) es claro: tras la descarga de los datos lo más simple pasa por anonimizarlos sin posibilidad de reversión. Esto se puede realizar con simples códigos alfanuméricos aleatorios que impiden volver al estado inicial. En este caso, un listado será 100% anónimo y por tanto, fuera de peligro.
En los demás casos, tendremos que contar con las debidas medidas de seguridad a la hora de almacenar, compartir y mostrar los resultados de estos análisis. Por tanto, cuidado con mandar listados por mail o almacenarlos en cualquier unidad (Drive, USB, portátil, etc.) sin más preocupaciones.
- Derechos de los usuarios:
La nueva normativa amplia y define claramente los derechos que tienen los usuarios respecto a sus datos. En este sentido, han de ser informados, tienen derecho a acceder a su información, rectificarla e incluso eliminarla. Las herramientas de analítica están trabajando para cumplir con este requerimiento de eliminación, más complicado de lo que parece a priori. En el caso de Google Analytics, se va a habilitar una API para poder interactuar con la plataforma, y poder eliminar los datos históricos de un determinado Client ID / User ID. El hecho de eliminar información de un usuario no modificará las métricas agregadas (ya que se trata de información ya precalculada), pero sí puede tener impacto en consultas ad-hoc que se hagan a posteriori.
Mención aparte merece el hecho de que los usuarios tienen derecho a restringir el procesamiento de sus datos y lo que podemos realizar con ellos, lo que en analítica podría llegar a ser un importante dolor de cabeza, pues ciertos usuarios podrían solicitar que no se procesen sus datos para hacer determinados tipos de análisis o modelizaciones.
- Protección “by default”:
De cara a los dptos. y proyectos de Analítica, la GDPR no es una simple norma a la que ajustarse para “cumplir”. Es el inicio para plantear las cosas de manera diferente. En El Arte de Medir, p.ej. ya preparamos nuestras implementaciones de las herramientas de analítica pensando en esta normativa, desde detalles tan simples como activar el envío de la IP anonimizada hacia Google Analytics, hasta otros de mayor calado como identificar de manera previa aquellos datos personales directos e indirectos que se van a recoger, y proponer soluciones técnicas que permitan minimizar el impacto en el análisis de los datos de cara a negocio.
Lo mismo ocurre con la preparación de entornos de procesado de datos, o cuadros de mando con datos embebidos, donde desde el minuto uno, los responsables de su desarrollo han de ser conscientes de las maneras de proceder ante el tratamiento de los datos considerados personales, y el impacto que podría tener sobre el negocio en forma de multas o reputación el hecho de cometer alguna negligencia.
Por tanto, este conocimiento y forma de trabajar hacia el respeto a los datos personales han de ser incorporadas a los proyectos desde el mismo arranque, y tenerlo en cuenta en igual que se verifican aspectos como la usabilidad, las pruebas de QA, etc.
Por último, queremos terminar con una reflexión. Más allá de un menor o mayor impacto en nuestra disciplina, en El Arte de Medir tenemos claro un concepto: la llegada de GDPR más que un problema, es una oportunidad para las organizaciones. Se lucha a diario por la marca y la reputación, intentando hacer que calen entre los clientes valores como la cercanía, la responsabilidad social, la flexibilidad, etc. Pero la transparencia en la gestión de los datos personales, y el compromiso de estas empresas hacia sus clientes son valores que, cada vez más, serán tenidos en cuenta muy positivamente por los usuarios.
Por tanto, hacer las cosas bien en este ámbito, ser transparentes y transmitirlo, será una forma más de que los clientes tengan claro nuestro compromiso con la privacidad de sus datos y, en definitiva, una razón más para que en un mercado repleto de competencia se confíe más en unas compañías que en otras.
Sí está todo claro, pero como en vuestro caso y de los demás, el aviso cookie, situado a un lado, arriba , abajo derecha o donde sea, será NO percebido del usuario, que como yo, lo confundo con el fondo blanco y botones rojo y no le doy. (es un experimento mio)…y así no me está trackeando está visita…y tampoco en GA. La pregunta es, Perderemos todos los datos esenciales de la analítica web? Tantos años hemos llegado a esto? EEUU se está riendo de nosotros o de verdad hay algo que cambiar radicalmente (e inclusive la figura del analista web), ya que no tendrá más un 100% de los datos a analizar…No sé pero yo lo veo preocupante. Gracias por leerlo. MarcusRB