Ya disponible mi libro sobre las leyes en los deportes electrónicos

blog

reflexiones e investigación jurídica

Matomo (Piwik), ¿una vía para evitar los avisos de cookies?

Logotipo de Matomo Analytics.

Fecha del post: 9 de marzo de 2016
NOTA: El día 9 de enero de 2018 Piwik anunciaba su cambio de nombre a “Matomo”. El post fue editado el día 29 de enero de 2018 para modificar este punto y adaptar algunos aspectos que resultaban confusos.

Matomo es un gran desconocido dentro de las plataformas de análisis de datos web. Basado en los principios del open source, Matomo es un analizador con muchas posibilidades de configuración y con una gran capacidad de adaptación a las exigencias de los administradores web. Características a las que además se debe añadir una gran capacidad de análisis y una buena estética. En definitiva, una pequeña joya técnica del mundo web.
 
Pero además de todo ello, Matomo también tiene muchos aspectos atractivos desde el punto de vista legal. Entre otros aspectos, la plataforma tiene la capacidad de recoger métricas web sin necesidad de utilizar cookies. Algo más que interesante si tenemos en cuenta las actuales obligaciones impuestas por el artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
 
En este post voy a tratar de analizar a Matomo desde el punto de vista legal para comprobar si realmente permite evitar la aplicación de las obligaciones derivadas del artículo 22.2 LSSI.
 

El funcionamiento de Matomo

Imagen del dashboard de Matomo.

Matomo funciona, a grandes rasgos, vía los datos recogidos con sus cookies y/o con los logs o registros recabados por el servidor donde está alojada la página web. Pese a que en este post me quiero centrar en las funcionalidades “sin cookies” que Matomo ofrece, es necesario comprender como funciona la aplicación en su totalidad con y sin cookies. Para ello, voy a dividir la exposición en tres fases:
 
Fase 1: Instalación
 
En su procedimiento de instalación, Matomo exige indicar un lugar donde crear y alojar una base de datos propia. Hecho esto, nos otorga unas líneas de código Javascript que se deberán añadir al código fuente de la página web que se quiera analizar.
 
Líneas de código que se debe insertar dentro del código fuente de la página web para hacer funcionar Matomo.

Fase 2: El funcionamiento
 
Gracias al código en Javascript insertado en la página web, Matomo va a generar 4 tipos de cookies propias (_pk_ref, _pk_cvar, _pk_id, _pk_ses), las cuales acabaran generando todo un conjunto de datos (aquí todos los datos que Matomo puede recabar) que posteriormente irán a parar a la base de datos y serán interpretados por el software de la aplicación.
 
Fase 3: La función DisableCookies

Captura de pantalla de la página web de Matomo en la que explican cómo eliminar la instalación automática de cookies.

Finalmente, llega la gran característica que diferencia a Matomo de muchos otros analizadores web. Si nosotros no queremos que Matomo instale cookies de ninguna clase a nuestros usuarios, lo que deberemos hacer es añadir dos líneas más de código al Javascript indicándole precisamente que queremos que se “deshabilite la instalación automática de cookies”. Tan fácil y simple como esto.
 
Ahora bien, si hacemos esto, ¿ya no podremos utilizar Matomo como analizador web? No, y ahí viene lo interesante. Aun sin cookies, Matomo será capaz de analizar y trackear la información que los usuarios dejan durante su navegación en la página web. Obviamente, la información obtenida será “less accurate” con respecto a la que podríamos llegar a obtener con el uso de cookies, pero igualmente obtendremos información interesante de nuestros visitantes.
 
Así, Matomo no podrá distinguir usuarios a los usuarios que ya han estado en nuestra página web (la base de las cookies), pero sí conoceremos otros datos estadísticos útiles e interesantes como el número de IP que nos ha visitado y su lugar de procedencia (aunque en algunos casos, la IP puede ser dinámica y perjudicar el rastreo), el dispositivo y tipo de navegación, de dónde nos llega la visita (si es por una entrada directa, vía Google o vía acortador de enlaces), cuánto tiempo ha estado en nuestra página o qué acciones ha realizado.
 
Obviamente muchos pueden pensar que con esta “bajada de rendimiento”, Matomo se convierte en una aplicación menos atractiva, pero todo lo contrario. Muchos usuarios no necesitan manejar grades datos estadísticas ni conocer al 100% la identidad de sus usuarios, para todos ellos Matomo es una herramienta más que adecuada. Al fin y al cabo tendremos información interesante tanto para el administrador de la web como para el diseñador de la misma sin necesidad de instalar cookies a nuestros usuarios.
 

Dudas legales respecto a Matomo

Imagen extraída de Matomo en el día de la celebración del Data Privacy day.

Visto todo lo anterior, queda claro que Matomo parece una herramienta muy útil para todos aquellos que quieran eliminar de una vez por todas los avisos de cookies de sus páginas web. Ahora bien, ¿realmente la función ‘DisableCookies’ permite quedarse fuera del texto de la LSSI?
 
Para responder a la pregunta es necesario que nos fijemos en dos aspectos:
 
Primero: ¿realmente Matomo no instala cookies?
 
No, la función de ‘DisableCookies’ cumple perfectamente su cometido e impide la instalación normal de cookies. Obviamente, ello no impide que la propia página web (o Matomo si es adecuadamente configurad) instale cookies propias. Pero la mayoría de veces estas serán cookies técnicas (por ejemplo de CSS o de inicio de sesión) las cuales están exentas de las obligaciones del artículo 22.2 LSSI.
 
Segundo: sino utiliza cookies, ¿cómo obtiene las métricas?
 
Sin duda, esta es la pregunta del millón. Según nos dicen en las FAQs de Matomo, con la función ‘DisableCookies’ activada el software es capaz de determinar los usuarios en base a la dirección IP y a
 
Con respecto a la IP, no hay mucho que decir. Sin este dato el protocolo HTTP no funcionaría y no se podría mostrar la página al usuario. Por lo tanto, Matomo no puede evitar recibir el dato. De hecho, propiamente, no es información almacenada en el terminal del usuario, sino que es información que da el terminal del usuario. Lo que conllevaría no entrar dentro de lo previsto en el artículo 22.2 LSSI. Aún así, y para los más puristas, decir que Matomo permite la anonimización de las visitas por medio de la enmascaración de las IP. Esto, a la práctica, permitiría saber que alguien ha entrado sin saber quien lo ha hecho. Vaya, sería un nivel 10 de 10 en cuanto a anonimato.
 
Cuadro de activación de la función Anonymise Visitors’ IP en Matomo.

Por otra parte, el tema de los “other footprints” es más complejo. Tal y como dice la Agencia Española de Protección de datos, no importa el nombre que se le de al dispositivo de seguimiento, lo que importa es su funcionalidad. Por ejemplo, en el Informe Jurídico 0083/2014 la AEPD afirmaba lo siguiente en cuanto a la utilización de cookies.

En segundo lugar, debemos precisar que el presente informe se refiere a los dispositivos que permiten el almacenamiento y recuperación de datos en equipos terminales de los usuarios, aunque por razones de estilo se acuda al término “cookies” con carácter general; pero entendiendo incluido en dicho término todo dispositivo de tales características , al igual que sucede en la Guía de cookies antes indicada.

Por lo tanto, conocer el tipo de footprints que utiliza Matomo “sin cookies” es vital para entender si es conforme o no con la legislación. Así, observando el código fuente de Matomo (recordar que es un open source), observé que de hecho no tiene ninguna footprint como tal. Toda la información que recoge (tipo de navegador, dirección IP, tiempo de estancia, lugar de acceso de la visita, etc.) la extrae de las funciones request (descritas en PHP) necesarias para el que el HTML (o la conexión navegador <-> servidor) funcione correctamente. Es decir, el footprint de Matomo no es otra cosa que la información base del protocolo HTTP que permite a una página mostrar su contenido de forma adecuada.
 

En resumen: Matomo cumple con el artículo 22.2 LSSI.

 
Por todo lo expuesto, creo que parece más que claro que Matomo quedaría fuera del ámbito de aplicación del artículo 22.2 LSSI al no instalar ningún tipo de dispositivo de almacenamiento de información ni cookie alguna en su procedimiento de análisis de datos. Así pues, no se deberían cumplir con las obligaciones que te indicaba en el post Las obligaciones legales de las cookies: el Artículo 22.2 LSSI pudiendo afirmar que Matomo, con la función ‘DisableCookies’ permite evitar las obligaciones que la LSSI impone para las cookies: el deber de mostrar un aviso de cookies, el deber de obtención del consentimiento, etc.
 
Y por si aún no me crees, también puedes valorar la opinión de la Commission Nationale de l’Informatique et des Libertés francesa quién, a petición de la propia empresa y de algunos usuarios, identificó a Matomo como “the only tool that respects all privacy requirements set by the European Telecom law”. ¿Más claro imposible no?
 
 
Y eso es todo. Si os ha gustado el post y toda la investigación jurídica que hay detrás, no dudéis en compartir el post por vuestras redes sociales. Y recordad que podéis enviarme un mail a mi correo electrónico para darme feedback. Ah, y si no queréis perderos ninguno de mis posts futuros, recordad que también podéis suscribiros a mi Newsletter.