1) Responsable

Responsable a efectos del RGPD:

  • Empresa/Nombre: Bernhard Prange, Webmasterei Prange
  • Dirección: Weg in der Aue 3, 34128 Kassel, Alemania
  • Correo electrónico: info@webmasterei-prange.de

2) Breve descripción de la aplicación

GA4 Auditor es una aplicación web para el análisis de configuraciones de Google Analytics 4 (GA4) y la calidad de los datos.

La aplicación:

  • autentica a los usuarios a través de Google OAuth (OpenID Connect),
  • lee los datos de configuración a través de la API de administración de GA4,
  • lee datos agregados de informes y en tiempo real a través de la API de datos de GA4,
  • realiza –opcionalmente– consultas en un export de GA4 BigQuery existente (Dataset analytics_<PROPERTY_ID>).

La aplicación no escribe datos en GA4 o BigQuery y no realiza cambios en las configuraciones de GA4.

3) ¿Qué datos procesamos?

3.1 Datos de cuenta y perfil (inicio de sesión de Google)

Al iniciar sesión a través de Google OAuth, procesamos en particular:

  • Dirección de correo electrónico
  • Nombre para mostrar
  • URL de la foto de perfil (opcional)

3.2 Datos de organización, espacio de trabajo y propiedad (mantenidos en la aplicación)

Para proporcionar las funciones de la aplicación, almacenamos y procesamos datos de configuración, en particular:

  • Datos de la organización: Nombre de la organización; opcionalmente datos de la dirección (calle, código postal, ciudad, país)
  • Datos del espacio de trabajo: p. ej., ID del proyecto GCP, región, configuraciones técnicas (p. ej., configuración de backend/Dataform) como JSON
  • Datos de la propiedad: p. ej., ID de propiedad de GA4, proyecto/ubicación del conjunto de datos de BigQuery, zona horaria, eventos esperados
  • Ajustes específicos de la propiedad: p. ej., eventos esperados, listas de exclusión

Medida de protección: Ciertos identificadores (p. ej., ID de propiedad de GA4) no se guardan en texto sin formato, sino como hashes HMAC vinculados a la organización.

3.3 Datos de las API de Google (GA4 / BigQuery)

Dependiendo de las funciones activadas, la aplicación procesa datos de los siguientes servicios de Google:

  • API de administración de GA4: p. ej., cuentas, propiedades, vinculaciones de BigQuery, flujos, audiencias, eventos clave, ajustes de privacidad
  • API de datos de GA4: p. ej., datos agregados de informes y en tiempo real
  • Google BigQuery (opcional): Ejecución de consultas en tablas de exportación de GA4 (events_*, events_intraday_*) para realizar comprobaciones de calidad y plausibilidad

Principio: Estos datos se procesan principalmente en tiempo de ejecución y se muestran en la interfaz de usuario. No se realiza un almacenamiento permanente de datos sin procesar de GA4.

3.4 Datos de soporte y comentarios

Cuando los usuarios utilizan el formulario de comentarios o soporte, procesamos:

  • Asunto
  • Texto del mensaje
  • Datos del remitente (nombre y correo electrónico del inicio de sesión; opcionalmente una dirección de respuesta especificada manualmente)

La transmisión se realiza por correo electrónico (SMTP) a una dirección de soporte configurada.

3.5 Datos técnicos y registros del servidor

Durante el funcionamiento de la aplicación, se generan técnicamente, entre otros, los siguientes datos:

  • Dirección IP
  • Fecha y hora del acceso
  • Metadatos de la solicitud (p. ej., User-Agent)

Estos datos se procesan para la seguridad operativa, el análisis de errores y la prevención del uso indebido.

3.6 Análisis web (Matomo, autoalojado) – solo con consentimiento

Si utilizamos análisis web, utilizamos Matomo (autoalojado) para el análisis estadístico y la mejora de la aplicación.

  • Matomo se activa solo después de su consentimiento.
  • En este proceso, se pueden procesar datos de uso (p. ej., páginas visitadas, interacciones), metadatos técnicos (p. ej., IP acortada/anonimizada) y un ID de usuario seudónimo.

En este proceso, no se transmiten direcciones de correo electrónico en texto sin formato, tokens de OAuth o secretos similares a Matomo.

3.7 Comunicación por correo electrónico y gestión de contactos – según la configuración

Dependiendo de la configuración, podemos utilizar un servicio para la comunicación por correo electrónico/gestión de contactos, p. ej. para:

  • Envío de correos electrónicos del sistema (invitaciones, notificaciones)
  • opcional: información relacionada con productos y servicios

Dependiendo de la función, se pueden procesar en particular la dirección de correo electrónico, el nombre y los atributos relacionados con el uso (p. ej., número de inicios de sesión, último inicio de sesión, número de propiedades).

Los tokens/secretos de OAuth no se transmiten a los servicios de correo electrónico/marketing.

4) Fines del procesamiento

Procesamos datos personales en particular para los siguientes fines:

  • Provisión de funciones de inicio de sesión y cuenta
  • Gestión de organizaciones, espacios de trabajo y propiedades
  • Realización y visualización de análisis de GA4 y (opcionalmente) BigQuery
  • Envío de correos electrónicos del sistema (p. ej., invitaciones, avisos relevantes para la seguridad)
  • Envío de información relacionada con productos y servicios a clientes existentes (Soft Opt-in), en la medida en que esté permitido y se pueda cancelar en cualquier momento
  • Tramitación de solicitudes de soporte y comentarios
  • Garantizar la seguridad, la estabilidad y la prevención del uso indebido
  • opcional: análisis web estadístico (solo con consentimiento)

5) Bases jurídicas

Dependiendo del proceso de procesamiento, se consideran en particular las siguientes bases jurídicas:

  • Art. 6, apdo. 1, letra b del RGPD (contrato o medidas precontractuales; p. ej., funcionamiento de la cuenta, correos electrónicos del sistema)
  • Art. 6, apdo. 1, letra f del RGPD (interés legítimo; p. ej., seguridad informática, análisis de errores, prevención del uso indebido)
  • Art. 6, apdo. 1, letra a del RGPD (consentimiento; p. ej., análisis web, si está activado)

En la medida en que, en el marco de funciones opcionales, se almacene o lea información en el terminal (p. ej., cookies/ID para el análisis web), esto se realiza –en la medida en que sea necesario– sobre la base de un consentimiento según el artículo 25 de la Ley alemana de protección de datos en telecomunicaciones y telemedia (TDDDG).

En la medida en que enviemos información relacionada con productos y servicios a clientes existentes, nos basamos –siempre que sea aplicable– en la excepción para clientes existentes (p. ej., § 7, apdo. 3 de la Ley alemana contra la competencia desleal (UWG)) y/o en el art. 6, apdo. 1, letra f del RGPD. Puede oponerse a este uso en cualquier momento; en cada correo electrónico hay una opción para darse de baja.

6) Destinatarios y encargados del tratamiento

Dependiendo del uso y la configuración, los datos pueden transmitirse a los siguientes destinatarios o categorías de proveedores de servicios:

  • Google (OAuth, API de administración de GA4, API de datos de GA4; opcionalmente BigQuery) – para la provisión de las funciones de Google solicitadas por los usuarios.
  • Alojamiento/Funcionamiento de la plataforma (p. ej., Google Cloud Platform) – Funcionamiento de la infraestructura de la aplicación.
  • Proveedor de servicios de correo electrónico/SMTP – Envío de invitaciones, correos electrónicos del sistema y mensajes de soporte.
  • Análisis web/Gestión de etiquetas (opcional): Matomo (autoalojado) – solo con consentimiento.
  • Gestión de contactos/Servicio de correo electrónico (opcional): p. ej., Brevo – dependiendo de la configuración y la base jurídica.

Con los proveedores de servicios se celebran –en la medida en que sea necesario– contratos de procesamiento de datos (AVV).

7) Transferencia de datos a terceros países

Al utilizar proveedores de servicios externos (en particular Google y, en su caso, otros proveedores), no se puede descartar un procesamiento o una transmisión de datos personales a terceros países (p. ej., EE. UU.).

En la medida en que sea necesario, basamos las transferencias a terceros países en garantías adecuadas, en particular:

  • Decisiones de adecuación (p. ej., Marco de Privacidad de Datos UE-EE. UU., si es aplicable) y/o
  • Cláusulas contractuales estándar de la UE (CCS) así como medidas adicionales.

8) Cookies, sesiones y gestión del consentimiento

La aplicación utiliza cookies técnicamente necesarias:

  • Cookie de sesión para el inicio de sesión y la gestión de la sesión
  • Cookie de corta duración para la transferencia de inicio de sesión de OAuth (solo contiene un ID de transferencia aleatorio, ningún token de OAuth)

Las cookies/tecnologías opcionales (análisis web) se activan –si se utilizan– solo después de su consentimiento.

Las cookies se establecen –en la medida en que sea técnicamente posible– con HttpOnly, SameSite=Lax y Secure (con HTTPS).

9) Duración del almacenamiento y eliminación

Almacenamos datos personales solo durante el tiempo que sea necesario para los fines respectivos. En la medida en que no existan obligaciones legales de conservación que se opongan, se aplican en particular los siguientes plazos:

  • Datos de cuenta y organización: hasta la eliminación de la cuenta; posteriormente, por lo general, eliminación/anonimización en un plazo de 30 días (en su caso, conservación más prolongada si es legalmente necesario).
  • Configuraciones del espacio de trabajo/propiedad: hasta la eliminación por parte de la organización o hasta la eliminación de la cuenta; posteriormente, por lo general, eliminación en un plazo de 30 días.
  • Invitaciones: hasta la aceptación o el vencimiento; posteriormente, eliminación por lo general en un plazo de 90 días.
  • Tokens de acceso de OAuth: solo brevemente en la sesión activa (normalmente minutos/horas).
  • Tokens de actualización de OAuth (si existen): hasta la revocación por parte del usuario, el vencimiento o la eliminación de la cuenta; posteriormente, eliminación por lo general en un plazo de 30 días.
  • Transferencias de inicio de sesión de OAuth (de corta duración): pocos segundos/minutos; limpieza automática a más tardar después de 24 horas.
  • Registros del servidor/Registros de seguridad: por lo general, 14 días, a menos que sea necesario durante más tiempo para la aclaración de un incidente de seguridad.
  • Comunicación de soporte/comentarios: por lo general, hasta 24 meses (o menos, si el propósito deja de existir antes), en su caso, más tiempo en caso de obligaciones legales de prueba.
  • Copias de seguridad: Las copias de seguridad pueden contener datos hasta 35 días; estos se sobrescriben/eliminan periódicamente.

9.1 Eliminación de la cuenta / Solicitudes de eliminación

Puede solicitar la eliminación de su cuenta y/o de sus datos:

Tramitamos las solicitudes de eliminación por lo general en un plazo de 30 días, siempre que no existan obligaciones legales que se opongan.

10) Seguridad de los datos

Aplicamos medidas técnicas y organizativas adecuadas, entre ellas:

  • Cifrado de datos sensibles y tokens «en reposo»
  • Cifrado de transporte HTTPS
  • Concepto de autorización y acceso basado en roles
  • Refuerzo de la configuración de la sesión y las cookies

11) Derechos de los interesados

Las personas afectadas tienen en particular derecho a:

  • Información
  • Rectificación
  • Supresión
  • Limitación del tratamiento
  • Portabilidad de los datos
  • Oposición al tratamiento
  • Revocación de los consentimientos otorgados
  • Reclamación ante una autoridad de control de la protección de datos

Las consultas pueden dirigirse a info@webmasterei-prange.de.

12) Google OAuth / Uso de la API de Google

12.1 Revocación de los accesos de Google

Los usuarios pueden revocar en cualquier momento el acceso de la aplicación a su cuenta de Google en la configuración de su cuenta de Google (accesos de terceros).

12.2 No hay usos indebidos (aclaración)

Utilizamos los datos de usuario de Google exclusivamente para proporcionar y mejorar las funciones solicitadas por los usuarios (análisis de GA4, comprobaciones de calidad).

En particular, se aplica lo siguiente:

  • No vendemos datos de usuario de Google.
  • No utilizamos datos de las API de Google (en particular, datos de consulta de GA4/BigQuery, así como tokens de OAuth) para publicidad/marketing, elaboración de perfiles, fines de intermediación de datos o calificación crediticia.
  • No utilizamos datos de usuario de Google para entrenar modelos de IA/ML.

En la medida en que sea necesario, enviamos correos electrónicos relacionados con el sistema y el servicio (p. ej., invitaciones, avisos relevantes para la seguridad) a la dirección de contacto que ha utilizado para el uso de la aplicación.

En la medida en que le enviemos información sobre productos o servicios similares propios como cliente existente, esto solo se hará dentro del marco legalmente permitido (p. ej., § 7, apdo. 3 de la Ley alemana contra la competencia desleal (UWG)) y con la posibilidad de oposición/baja en cualquier momento. Para ello, solo utilizamos la dirección de correo electrónico como dirección de contacto; los contenidos/resultados de las consultas de GA4/BigQuery o los tokens de OAuth no se utilizan para ello ni se transmiten a los servicios de correo electrónico/marketing.

12.3 Política de datos de usuario de los servicios de la API de Google – Uso limitado

Nuestro uso y divulgación de la información que recibimos de las API de Google se realiza de acuerdo con la Política de datos de usuario de los servicios de la API de Google, incluidos los requisitos de Uso limitado.

13) Modificaciones de esta política de privacidad

Nos reservamos el derecho de adaptar esta política de privacidad para reflejar cambios legales, técnicos u organizativos.