Gestión del consentimiento con Google Consent Mode: por qué debemos adoptarlo… o no

En el mundo digital, estos últimos años hemos podido presenciar una continua evolución en materia de privacidad y protección de datos. 

Entre los avances institucionales para proteger el derecho de los usuarios a conocer y decidir sobre la información que se recopila sobre ellos,  los esfuerzos de los grandes players como Google o Facebook para adaptarse a los mismos, y, en medio, las implicaciones reales que este continuo tira y afloja tiene para marcas y proveedores de servicios, a menudo nos encontramos no solo con nuevos requisitos a cumplir, sino con dudas sobre cuáles son exactamente estos requisitos y la manera correcta de cumplirlos.

En este contexto de evolución e incertidumbre, Google ha ido haciendo sucesivos acercamientos. No mucho después de adherirse al Marco de Transparencia y Consentimiento de la IAB y adoptar la compatibilidad con su versión 2 (TCF 2.0), el gigante tecnológico sorprendió con otro anuncio: su propia propuesta para la recolección de datos compatible con el cumplimiento de la GDPR, a la que han denominado modo de consentimiento o Consent Mode.

Aunque oficialmente sigue en beta, ya lleva un tiempo en funcionamiento y está plenamente integrado con sus principales plataformas de analítica y marketing: Google Analytics (en sus dos versiones, Universal Analytics y Google Analytics 4), Google Ads y Floodlight.

¿Cómo nos afecta este lanzamiento? ¿Deberíamos integrar Consent Mode en nuestros ecosistemas de analítica y publicidad? ¿Qué implicaciones tendría para nuestras marcas hacerlo? 

¿Qué es (y qué no es) Google Consent Mode?

Antes de nada, es importante aclarar que Consent Mode no es, ni pretende ser, una solución completa. No es una plataforma de gestión de consentimiento o CMP (Consent Management Platform). La funcionalidad necesaria para la gestión del consentimiento del usuario propiamente dicha —avisos de cookies, registro de preferencias, bloqueos y restricciones…— tiene que seguir proporcionándose por separado en cualquier caso.

Lo que sí presenta es un estándar común para definir y guardar el estado del consentimiento de los usuarios, con idea de mediar entre las plataformas de analítica y publicidad de Google, como Analytics o Ads —así como otras de terceros que decidan adoptarlo—,  y el CMP o gestor correspondiente.

Más concretamente, lo que hace es definir varias categorías o tipos de consentimiento, análogas a las habituales categorías de cookies con las que trabajan la mayoría de CMPs, y ofrecer un punto de acceso común a través del cual definir o consultar, para cada caso, el estado del consentimiento del usuario (permitido o rechazado):

• Por un lado, por el CMP o solución de gestión de cookies, que proporcionará la infraestructura técnica necesaria para informar, preguntar y recordar las preferencias del usuario
• Por otro, las etiquetas (los píxeles o trozos de código que cada respectiva plataforma necesite insertar en el sitio web), que bloquearán o limitarán su funcionalidad en base a las preferencias marcadas.

Una vez implantado todo esto, se consigue finalmente el objetivo deseado: que Google Analytics, Ads, y cualquier otra plataforma compatible lance sus peticiones incluso aunque el usuario rechace su categoría de cookies asociada, si bien de forma más limitada pero —al menos en teoría y según su propio criterio— compatible con el cumplimiento de RGPD.

Implicaciones: ¿es para mí?

Las ventajas que este modelo tiene por el lado de Google son obvias: aumenta tanto el volumen total de datos recibidos (comparado con modelos que bloqueen totalmente la medición) como —desde su punto de vista— su calidad, ya que toman el control sobre la forma en la que se limita el envío de información (en lugar de dejar esta decisión en manos del CMP u otros actores externos).

Pero, ¿y para nosotros? ¿Nos conviene adoptar Consent Mode?

Me temo que la respuesta es… depende. Tanto en lo que respecta al cumplimiento de la normativa como a la calidad de los datos obtenidos, Consent Mode tiene ventajas e inconvenientes.

En primer lugar, no está 100% claro que la solución de Google vaya a asegurarnos el cumplimiento de la GDPR, al menos no en su interpretación más estricta. En teoría, debería considerarse suficiente y, desde luego, nos marca unos mínimos: no queremos estar por debajo de soluciones suficientemente extendidas como esta. 

Pero si nuestra prioridad es estar seguros y evitar por completo cualquier problema, la única solución segura pasa por una implementación estricta, que no proporcione ningún dato a terceros hasta que el usuario confirme su consentimiento.

En cuanto a la calidad de los datos, la decisión dependerá de la naturaleza de nuestro negocio y de los datos que necesitemos y consumamos más habitualmente. Consent Mode ofrece un modelado automático que trata de rellenar la información que los usuarios no han accedido a facilitarnos, por lo que tendremos que preguntarnos: ¿preferimos una visión más global pero más limitada, o datos completos y fiables, pero de un subconjunto de usuarios más acotado?

La primera opción será para nosotros si en nuestro sitio web las conversiones son directas y puntuales, los trayectos de usuario cortos o las atribuciones sencillas y, por tanto, enriquecer las estadísticas con datos de usuarios restringidos puede ayudarnos. En este caso, instalar Consent Mode puede ser una buena idea. 

Si por el contrario tenemos customer journeys complejos, embudos largos con múltiples pasos intermedios, o seguimientos multidominio, multisesión o multiplataforma, puede que Consent Mode aporte poco o incluso resulte contraproducente, y sea mejor ceñirse a datos reales y concretos.

Manos a la obra 

Si finalmente decidimos implementar Google Consent Mode, lo mejor será ponernos en manos de un proveedor especializado que pueda ofrecernos una solución personalizada adaptada a nuestro caso particular. Con la integración de Aukera, una de las pocas agencias españolas certificadas por Google en seis productos de su Marketing Platform, en Good Rebels te traemos todas las claves para abordar esta implementación:

¿Cómo se gestiona?

Podremos gestionar Google Consent Mode a través de Google Tag Manager o Global Site Tag (gtag.js).

Siguiendo con la estrategia One Google Tag (OGT) de gestión de etiquetas y píxeles de Google, la idea es que en nuestra app o sitio web esté instalado un único script (la etiqueta de sitio global de GTAG o un contenedor de GTM) y desde ahí, a su vez, se integre todo lo demás.

Dicho esto, la situación ideal es una implementación en la que todo el ecosistema de analítica, marketing y optimización esté centralizado en un contenedor de Google Tag Manager, incluido todo lo referente a gestión del consentimiento, desde Consent Mode hasta el propio CMP y los avisos de cookies. 

Este escenario permite la integración total no solo de las etiquetas de Google, sino de cualquier etiqueta de terceros, incluso aunque no incluya compatibilidad explícita con Consent Mode.

¿Cómo funciona?

Los tipos de consentimiento definidos son los siguientes:

• ad_storage: almacenamiento de información para fines publicitarios (ej. identificación del perfil de usuario para publicidad personalizada).
• analytics_storage: almacenamiento de información para fines estadísticos (ej. identificación de visitas para métricas de sesión).
• functionality_storage: almacenamiento de información necesaria para el correcto funcionamiento del sitio web o aplicación (ej. configuración de idioma).
• personalization_storage: almacenamiento de información para personalización de contenido (ej. recomendaciones personalizadas).
• security_storage: almacenamiento de información para seguridad y control de acceso (ej. autenticación).

Cada etiqueta o píxel de una determinada plataforma puede requerir permisos de una o más categorías, dependiendo de su funcionalidad y de la naturaleza de los datos que recopilen.

Por supuesto, normalmente la atención se centrará casi exclusivamente en los dos primeros tipos, analytics_storage y ad_storage, que se corresponden con las clásicas categorías de “cookies de analítica” y “cookies de marketing/publicidad” siendo por tanto los más relevantes de cara a las principales regulaciones de protección de datos (GDPR/RGPD, UK-GDPR y CCPA).

Una vez definida esta estructura, Consent Mode permite, para cada categoría:

• Definir o modificar el estado del consentimiento (permitido o denegado), según la elección del usuario.
• Definir un estado por defecto que se aplicará a los visitantes que aún no hayan expresado sus preferencias, y que podría ser diferente según su configuración regional (y por tanto, la legislación aplicada).
• Comprobar el estado en cualquier momento.

En un primer nivel, esto implica que cualquier etiqueta o pixel de terceros insertado a través de Google Tag Manager o gestor de etiquetas compatible podrá revisar el estado del consentimiento en el momento en que vaya a enviarse y, en caso de no tener los permisos relevantes, cancelar el proceso.

Sin embargo, las posibilidades del modo de consentimiento van mucho más allá. 

Seguimiento parcial: los pings

Sin Consent Mode activado, hay ocasiones en las que, dependiendo del consentimiento que hayan dado los usuarios, no nos llegaría ningún dato, ya que las etiquetas dejarían de funcionar. 

Gracias a Consent Mode, podemos modificar el comportamiento de esas etiquetas para no dejar de recibir datos, sino adaptar los datos que recibimos a las preferencias de los usuarios. Por ejemplo, si un usuario acepta las cookies de analítica, pero no las de publicidad, nos llegará una información diferente a cuando las acepta todas. 

Las posibilidades son muchas, y dependen de las alternativas que se hayan considerado al desarrollar la etiqueta, y cuyo objetivo será siempre cumplir con las directrices de consentimiento sin llegar al bloqueo total.

Si el usuario no acepta las categorías de analítica o publicidad, no se guardarán cookies relevantes a estas categorías, con lo que ello implica: posibilidad de no identificar correctamente al usuario, y con ello menor calidad o disponibilidad de datos en cuanto a seguimiento del recorrido completo del mismo, métricas de sesión, etc.

En el caso más estricto —rechazo de todas las cookies—, en lugar de los datos de seguimiento completos se enviará un ping anónimo que, aunque no permite obtener una visión completa de cada visita, aún se podrá utilizar para recopilar estadísticas generales y medir acciones puntuales. Así, por ejemplo, una conversión contaría para estadísticas generales como tasas de conversión, pero no como una conversión concreta que pueda observarse en los informes con toda la información de navegación previa.

Esto no significa que no vaya a poder consultarse información relevante a las conversiones como acciones previas, atribución o datos demográficos; lo que ocurre es que esta, al menos parcialmente, se basará en estimaciones basadas en modelos estadísticos que se encargarán de rellenar los huecos.

El resultado final, en teoría, será una visión menos precisa, pero con un alcance mayor de lo que supondría descartar por completo a todos los usuarios que no dan su consentimiento.

La documentación oficial de Google ofrece información más concreta sobre los modelos empleados.

Entonces, ¿qué hago?

Tendremos pocos escenarios en los que la decisión sea clara.

Si ya tienes implantada una solución de consentimiento y cookies completa, suficientemente restrictiva y que se haya confirmado como robusta (preferiblemente, mediante auditoría externa) tanto en cumplimiento como en recopilación de datos, entonces probablemente la mejor opción sea mantenerla sin modificar su enfoque, para preservar la consistencia de los datos y la posibilidad de compararlos históricamente.

Por otro lado, si tu integración está incompleta, obsoleta o mal implementada, entonces no hay duda de que cualquier actualización que la mejore será tan recomendable como necesaria y esta puede ser una de las opciones a considerar como parte de una posible solución.

No olvidemos que una implementación parcial de gestión de consentimiento, como las que se dedican a borrar cookies arbitrariamente, sin prestar ninguna atención a las etiquetas que las generan, es peor que no tener nada: no cumple con la normativa y, además, contamina la analítica con datos erróneos o de escasa calidad.En cualquier caso, la mejor opción siempre será ponerse en manos de un proveedor especializado que analice tu caso particular y proponga e implemente la mejor solución posible para tu situación. Si quieres contar con nosotros… ¿hablamos?