Hace tres años, en FONTUR, recibimos una llamada incómoda de la Oficina de Control Interno. Habían revisado nuestro portal de turismo y encontraron que estábamos recolectando datos de usuarios sin consentimiento explícito en GA4. Mi estómago se contrajo. Yo había instalado el código de seguimiento sin pensar en las implicaciones legales —algo que cualquier ingeniero en multimedia hace, ¿no? Bueno, no exactamente. Eso fue el punto de quiebre que me hizo entender que en el Estado las cosas funcionan diferente.
GA4 es una herramienta bacana para medir tráfico y comportamiento de usuarios. Pero cuando trabajas en portales institucionales, no puedes configurarla como si fuera un e-commerce privado. Hay normativa. Hay derechos. Hay responsabilidad pública.
Por qué GA4 y la normativa chocan de frente
Google Analytics 4 está diseñado para capturar el máximo de información posible: identificadores de usuario, eventos detallados, datos demográficos, comportamiento de navegación. Eso es perfecto si tu objetivo es vender. Pero en una entidad estatal —FONTUR, IDT, la Secretaría Jurídica Distrital, el Archivo General— tienes que cumplir con:
La Ley 1581 de 2012 sobre protección de datos personales. La Resolución 3564 de 2023 sobre privacidad en portales públicos. Las directrices de accesibilidad WCAG 2.1. Y aunque parezca obvio, también debes respetar lo que dice tu propia política de privacidad.
Yo cometí el error de instalar GA4 sin anonimizar direcciones IP, sin consentimiento previo en la página, sin documentar qué datos se recolectaban. Fue negligencia pura.
La configuración que debería haber hecho desde el inicio
Primero: activa el anonimato de IP en GA4. Entra a Admin > Configuración de la propiedad > Mostrar todas las opciones de seguimiento. Busca "Anonimizar IP" y actívalo. De una. Esto reduce el riesgo de identificación directa.
Segundo —y esto es lo que más me arrepiento de haber saltado— implementa un banner de consentimiento real. No ese que aparece en la esquina y nadie lee. Uno que bloquee GA4 hasta que el usuario acepte. Herramientas como OneTrust o TrustArc funcionan, pero en el Estado solemos usar soluciones caseras.
Tercero: configura Google Analytics para que NO recolecte datos de menores de edad. Y aunque parezca que nadie entra a un portal de turismo siendo menor, ojo con eso. El Archivo General de la Nación recibe visitas de estudiantes constantemente.
Lo que todavía no entiendo por qué el Estado tarda tanto en normalizar
Llevamos diez años hablando de datos personales. Tenemos leyes claras. Pero cada entidad interpreta GA4 de manera diferente. En RAP-E Región Central, me dijeron que no podíamos usar GA4 en absoluto. En la Secretaría Jurídica, nos permitieron usarlo pero con filtros adicionales. En el AGN, directamente nos pidieron reportes manuales.
Y eso genera fragmentación. Fragmentación genera riesgo legal.
Aunque haya pasado tiempo desde ese llamado de Control Interno, sigo revisando configuraciones de GA4 en otros portales. Veo errores similares. Veo instituciones públicas que siguen recolectando datos sin pensar en las consecuencias.
La pregunta que me queda es: ¿realmente estamos priorizando la privacidad de los ciudadanos, o solo estamos cumpliendo requisitos cuando nos obligan?
La respuesta probablemente está en las auditorías que vendrán.