Últimas noticias!!
GoogleGoogle Analytics

Nuevo informe sobre violación de leyes europeas de privacidad con el uso de Google Tag Manager

Fernando Lens Rey
Fernando Lens Rey  - Web analyst and SEO specialist | SEOCOM.agency
Nuevo informe sobre violación de leyes europeas de privacidad con el uso de Google Tag Manager

Si estás interesado en analítica digital y sigues los últimos acontecimientos, habrás visto que el 2024 va a ser un año clave en términos de privacidad en el uso de Internet , especialmente dentro de la Unión Europea.

Contenidos
Un informe muy necesario. ¿Quiénes son los autores?El objeto de estudio. Las dos versiones de Google Tag ManagerCliente Side (Lado del Cliente)Server Side (Lado del Servidor)Los resultados. Google tag manager tiene fugas de datos y errores en privacidad por todos lados!

En un estudio reciente, una herramienta vital para la analítica web como lo es Google Tag Manager ha salido bastante mal parada en este ámbito.  En este artículo resumimos los principales highlights pero os recomiendo leerlo entero (está en inglés) para profundizar.

 

 

La importancia de los que se expone en este estudio es brutal. En relación con la Ley de Protección de Datos de la UE es que destaca el posible incumplimiento de ciertos actores en el ecosistema de Google Tag Manager (GTM) con respecto al GDPR y la Directiva de ePrivacidad. El estudio analiza los roles legales de diferentes actores involucrados en el procesamiento de datos personales y el uso de tecnologías de seguimiento. Enfatiza la importancia de obtener un consentimiento explícito e informado para el almacenamiento y uso de rastreadores, particularmente para fines publicitarios. El estudio también plantea preocupaciones sobre la transparencia y el control proporcionados a los usuarios en el ecosistema de GTM.

Un informe muy necesario. ¿Quiénes son los autores?

Los autores de este informe, que examina Google Tag Manager (GTM) y se centra en identificar fugas de datos ocultas, inyecciones de scripts no autorizadas y violaciones de consentimiento, son:

Gilles Mertens del Centre Inria de l’Université Grenoble-Alpes, Grenoble, Francia
Nataliia Bielova del Centre Inria d’Université Côte d’Azur, Sophia Antipolis, Francia
Vincent Roca del Centre Inria de l’Université Grenoble-Alpes, Grenoble, Francia
Cristiana Santos de la Universidad de Utrecht, Utrecht, Países Bajos
Michael Toth del Centre Inria de l’Université Grenoble-Alpes, Grenoble, Francia

El objeto de estudio. Las dos versiones de Google Tag Manager

El estudio se centra en las dos versiones típicas de Google Tag Manager, client-side y server-side. En total se analizaron 56 implementaciones de Client-side y un número no especificado de Server-side.

Por si te interesa estas son las diferencias entre uno y otro.

Cliente Side (Lado del Cliente)

  1. Procesamiento en el Navegador del Usuario: Los tags y los scripts se ejecutan en el navegador del usuario.
  2. Facilidad de Uso: Generalmente es más fácil de configurar y usar, ideal para marcas, empresas pequeñas o individuos sin acceso a recursos de desarrollo avanzados.
  3. Dependencia de Cookies de Terceros: Más dependiente de cookies de terceros, lo cual puede ser un problema con la creciente preocupación por la privacidad y las nuevas regulaciones.
  4. Carga en el Cliente: Puede afectar el rendimiento de la página web, ya que la carga de los tags se realiza en el lado del cliente.
  5. Visibilidad de Datos: Los datos y tags son visibles en el código fuente de la página, lo que puede ser una preocupación de seguridad.

Server Side (Lado del Servidor)

  1. Procesamiento en el Servidor: Los tags y los scripts se ejecutan en el servidor, no en el navegador del usuario.
  2. Mejor Rendimiento: Al reducir la cantidad de JavaScript que se ejecuta en el navegador, puede mejorar la velocidad de carga de la página y la experiencia del usuario.
  3. Control de Privacidad: Ofrece un mejor control sobre los datos, ya que se puede filtrar y modificar la información antes de enviarla a terceros.
  4. Seguridad Mejorada: Al no exponer tags y scripts en el código fuente del cliente, se mejora la seguridad.
  5. Dependencia de Recursos Técnicos: Requiere más conocimientos técnicos y recursos para su implementación y mantenimiento.

Se nos ha vendido siempre desde Google que el server-side era mucho más respetuoso que el client-side en términos de privacidad del usuario, pero ambas versiones han salido bastante mal paradas en el experimento.

En rojo se marca la data que se guarda pero no es visible por parte del usuario.

Como podemos ver, en el caso de las dos versiones se recopila información y se envía a terceros no siendo esto visible por parte del publisher ni el usuario.

Los resultados. Google tag manager tiene fugas de datos y errores en privacidad por todos lados!

A continuación vamos a enumerar los principales descubrimientos que aporta este estudio. En cuanto al client-side se descubrieron los siguientes potenciales incumplimientos de la legislación.

  • La información mostrada en los CMP la mayoría de las veces no tiene en cuenta la intención de la recopilación de información o no se especifica. 
  • Muy poca información explícita del uso de GTM.
  • Carga de variables como aceptadas que violan legislación actual.
  • Envío de información independientemente de las decisiones de consentimiento.
  • GTM permite a los proveedores de etiquetas inyectar scripts exponiendo a los usuarios finales a riesgos de seguridad. Ejemplo de Hotjar, lo vemos más adelante.
 
En cuanto al server-side se hace hincapié en dos puntos principales:
  • El server-side GTM es invisible a nivel de monitorización al ocurrir este proceso en un servidor remoto. Es tremendamente complicado saber qué ocurre «por detrás» en el caso del server-side GTM con el envío de información.
  • La configuración del consentimiento es difícil de establecer al no tener las CMP conexión con GTM en la versión server-side.
 
Lo que subyace en todo el documento es la idea de que la mayoría de configuraciones de Google Tag Manager no marcan por defecto todas las variables como denegadas.
 
Aunque la obligación de informar al usuario se cumple, técnicamente hablando, el entramado de software que hay por detrás en realidad sigue haciendo lo que le da la gana al propietario del sitio web.
 
En el caso de Hotjar, por ejemplo, se inyecta un script ajeno, sin consenimiento.
ejemplo inyeccion fraudulenta de hotjar
fuente: https://www.searchenginejournal.com/

También te puede gustar

Made by Google 2024: el próximo evento de Google

Qué es Google Trends y cómo se usa

Google va a permitir las cookies de terceros

Google flights y las flechas flexibles. ¿Conoces este hack?

La IA consume hasta 10 veces más electricidad para Google

Artículo anterior Móviles plegables: ¿son lo siguiente? Móviles plegables: ¿son lo siguiente?
Artículo siguiente Ibai volverá a dar las campanadas, este año junto a The Grefg Ibai volverá a dar las campanadas, este año junto a The Grefg
¿Ha perdido tu contraseña?