¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
Google Optimize fue la herramienta gratuita de pruebas A/B y personalizacion de Google, profundamente integrada con Google Analytics. El producto se descontinuo el 30 de septiembre de 2023, pero el script optimize.js sigue activo en muchos sitios, leyendo cookies de Google Analytics y transfiriendo datos de exposicion a variantes a Google LLC en Estados Unidos. Su uso requiere el mismo consentimiento que Google Analytics segun el RGPD y la Directiva ePrivacy.
Google Optimize fue una herramienta gratuita de pruebas A/B, multivariantes y personalizacion lanzada en 2017. Permitia a los equipos de marketing crear experimentos sin trabajo de ingenieria, segmentar visitantes con segmentos de Google Analytics y medir el rendimiento de las variantes contra los objetivos de Analytics. Google anuncio el fin de Optimize y Optimize 360 en enero de 2023 y el producto se descontinuo oficialmente el 30 de septiembre de 2023. Desde esa fecha no se pueden crear nuevos experimentos y los existentes dejaron de servir variantes. Sin embargo, la libreria optimize.js sigue cargada en numerosas implementaciones heredadas, a menudo via etiquetas de Google Tag Manager que nunca se desactivaron, y continua leyendo cookies de Analytics y disparando llamadas de red a los servidores de Google en Estados Unidos.
Incluso despues del fin de servicio, el script optimize.js sigue leyendo las cookies _ga, _gid y _ga_<MEASUREMENT_ID> que coloca Google Analytics, ademas de su propia cookie _gaexp con el ID de experimento, indice de variante y expiracion. El script accede a la URL completa, al document referrer, al tamano del viewport, al user agent y a cualquier variable de data layer que el sitio publique, todo ello utilizable para segmentacion. Los eventos de pagina se envian a Google Analytics por HTTPS a www.google-analytics.com o region1.google-analytics.com, la direccion IP es visible para Google a nivel de red. En los sitios que integraron Optimize con Google Analytics 4, los eventos de exposicion aparecen como eventos GA4 estandar ligados al Client ID.
Como Optimize lee y escribe cookies que no son estrictamente necesarias para prestar el servicio solicitado, el articulo 5(3) de la Directiva ePrivacy exige consentimiento previo e informado antes de ejecutar el script. Bajo el RGPD, el mismo tratamiento requiere una base juridica valida: en el contexto web de consumo solo el consentimiento del articulo 6(1)(a) es admisible. Los datos transferidos a Google LLC en Estados Unidos son datos personales en el sentido del RGPD, ya que el Client ID es un identificador en linea persistente. Los operadores deben documentar el mecanismo de transferencia (EU US Data Privacy Framework o Clausulas Contractuales Tipo), realizar una Evaluacion de Impacto de la Transferencia conforme a Schrems II e informar al usuario en la politica de privacidad. Varias autoridades europeas (CNIL, Garante italiana, DSB austriaca) han sancionado despliegues de Google Analytics sin consentimiento, y Optimize entra en el mismo perimetro.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Los operadores que aun cargan Optimize deben proteger el snippet detras de una Plataforma de Gestion del Consentimiento. Con Google Consent Mode v2 la etiqueta Optimize solo debe dispararse si se concede analytics_storage; ad_storage controla las audiencias de remarketing de Google Ads derivadas de los experimentos. El anti flicker, que oculta el contenido hasta que carga Optimize, tambien debe condicionarse al consentimiento: de lo contrario, los visitantes que rechacen veran una pagina en blanco varios cientos de milisegundos. Las llamadas a dominios de Google antes del consentimiento deben bloquearse mediante integracion con la CMP, etiquetado server side o un trigger de exclusion en el tag manager.
Auditar contenedores de Google Tag Manager y codigo fuente buscando referencias residuales a optimize.js y eliminarlas. Desactivar el snippet anti flicker, que pierde sentido sin experimentos servidos. Actualizar la politica de privacidad y el registro de actividades de tratamiento: retirar Optimize donde se haya eliminado o senalarlo como script heredado pendiente de retirada. Sustituir Optimize: Google recomienda plataformas socias como AB Tasty, Optimizely o VWO; para residencia de datos en la UE, Kameleoon, Convert o GrowthBook auto alojado ofrecen opciones solo UE. Sea cual sea la herramienta elegida, hay que repetir el mismo trabajo de EIPD, consentimiento y transferencias, ya que el marco regulatorio es identico.
Si su politica de cookies todavia menciona Optimize, actualicela para indicar que el servicio fue descontinuado por Google y que el script esta siendo retirado. Mantenga la entrada mientras el script no haya desaparecido por completo de produccion, ya que la cookie _gaexp puede persistir hasta 90 dias en los dispositivos despues de retirarlo. Vuelva a escanear el sitio mensualmente para confirmar que la cookie no reaparece y documente la retirada en su registro de tratamientos.
Websites using Google Optimize must obtain user consent under GDPR regulations.
DPIA considerations
Google Optimize se apoya en el mismo Client ID _ga que Google Analytics y escribe su propia cookie _gaexp (vida util 90 dias) que contiene el ID de experimento, el indice de variante y la fecha de expiracion. Puntos clave de la EIPD: (1) todos los datos se transfieren a Google LLC en Estados Unidos, lo que exige una Evaluacion de Impacto de la Transferencia activa, incluso bajo el EU US Data Privacy Framework; (2) el script optimize.js se ejecuta en el top frame y puede leer la URL completa, el referrer y cualquier valor de data layer empujado para reglas de personalizacion; (3) los eventos de exposicion a variantes se fusionan con perfiles de usuario de Google Analytics, ampliando el horizonte de retencion de datos de comportamiento; (4) el anti flicker oculta el contenido hasta que carga Optimize, con implicaciones de accesibilidad y rendimiento; (5) tras la descatalogacion Google ya no publica actualizaciones ni parches de seguridad, asi que los snippets no retirados siguen filtrando datos sin soporte activo del proveedor. Se recomienda una EIPD mientras Optimize siga cargado y la eliminacion debe priorizarse.
Sample consent text
Este sitio utilizaba Google Optimize, un servicio de pruebas A/B y personalizacion operado por Google LLC. Optimize colocaba la cookie _gaexp en su dispositivo y compartia informacion de exposicion a variantes con Google Analytics. Los datos se transferian a Google LLC en Estados Unidos. El servicio se descontinuo el 30 de septiembre de 2023; si ve este aviso es que aun estamos retirando scripts heredados. Puede rechazar el consentimiento en cualquier momento desde nuestra configuracion de cookies.
Third-party domains contacted
www.googleoptimize.comoptimize.google.comwww.google-analytics.comregion1.google-analytics.comstats.g.doubleclick.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _gaexp | Personalization / Experimentation | 90 days | Set by Google Optimize. Stores the experiment ID, variant index and expiry timestamp so that the visitor sees the same variant across sessions. Read on every page load by optimize.js to determine which variant to serve and to report exposure to Google Analytics. |
| _gaexp_rc | Personalization / Experimentation | Session | Set by Google Optimize during a redirect experiment to prevent infinite redirect loops. Holds the redirect chain identifier for the current variant. |
| _opt_awcid | Personalization / Experimentation | 24 hours | Set by Google Optimize when Google Ads click identifiers are present. Used to attribute experiment results back to specific Google Ads campaigns. |
| _opt_awmid | Personalization / Experimentation | 24 hours | Set by Google Optimize. Stores the Google Ads campaign ID for experiments that target paid traffic, allowing Optimize to report variant performance per campaign. |
| _opt_utmc | Personalization / Experimentation | 24 hours | Set by Google Optimize to store the utm_campaign value for the current session, enabling traffic source level analysis of experiment results. |
Google Optimize recopila datos analíticos de los usuarios — necesitas legalmente un banner de consentimiento. Prueba FlowConsent gratis.
Google Optimize coloca su propia cookie _gaexp (vida util 90 dias) que almacena el ID de experimento, indice de variante y fecha de expiracion. Tambien lee cookies de Google Analytics existentes: _ga (2 anos), _gid (24 horas) y _ga_<MEASUREMENT_ID> (2 anos), para identificar al visitante y vincular la exposicion a variantes con perfiles de Analytics. Tras el fin de servicio de septiembre de 2023 el script sigue escribiendo _gaexp en cada carga de pagina, asi que las auditorias deben tratar Optimize como proveedor activo hasta que se retire el snippet.
Si. Las cookies _gaexp y la familia _ga no son estrictamente necesarias para entregar el sitio, asi que el articulo 5(3) de la Directiva ePrivacy exige consentimiento previo e informado antes de que optimize.js pueda ejecutarse. Incluso tras la descatalogacion, cargar el script sin consentimiento vulnera tanto ePrivacy como el RGPD. El consentimiento debe ser granular, libre, tan facil de retirar como de otorgar y con un boton rechazar todo tan visible como aceptar todo.
En el contexto web de consumo, solo la base del consentimiento (RGPD art. 6(1)(a)) es valida. El interes legitimo (art. 6(1)(f)) no suele estar disponible para cookies de rastreo, primero porque no puede neutralizar la exigencia de consentimiento ePrivacy, y segundo porque el CEPD ha reiterado que las expectativas razonables de los usuarios no incluyen el seguimiento de comportamiento entre sitios. En pruebas internas de empleados en intranet podria aplicar la necesidad contractual, pero es un caso estrecho.
Si. Todas las solicitudes de Optimize se envian a servidores de Google LLC en Estados Unidos. Google se autocertifica bajo el EU US Data Privacy Framework, que ofrece una decision de adecuacion para transferencias del EEE a importadores estadounidenses certificados. El DPF sigue impugnado y podria ser anulado como su predecesor Privacy Shield. Se sigue recomendando una Evaluacion de Impacto de la Transferencia y la politica de privacidad debe informar de la transferencia con detalle suficiente para cumplir los articulos 13 y 14 del RGPD.
Se recomienda una EIPD siempre que Optimize este cargado, sobre todo por la combinacion de identificadores en linea persistentes, perfilado de comportamiento y transferencia a EE.UU. El articulo 35 del RGPD la hace obligatoria cuando el tratamiento pueda generar un alto riesgo, lo que las directrices del CEPD y la AEPD aplican al rastreo en linea a gran escala. Documente el riesgo, las medidas (consentimiento, anonimizacion donde sea posible, limites de retencion) y revise al menos anualmente.
Envuelva la etiqueta optimize.js en un trigger CMP que solo dispare cuando analytics_storage este concedido via Google Consent Mode v2. Desactive el snippet anti flicker, que pierde su proposito. Bloquee las llamadas a www.google-analytics.com y www.googleoptimize.com antes del consentimiento mediante integracion con la CMP o tagging server side. Documente el script residual en su registro de actividades con una fecha objetivo de retirada y un responsable.
Google recomienda plataformas de experimentacion socias: AB Tasty, Optimizely Web, VWO y Dynamic Yield. Para sitios que priorizan residencia de datos en la UE, Kameleoon (FR), Convert (NL), AB Tasty (FR) y GrowthBook auto alojado ofrecen tratamiento solo UE. Sea cual sea la herramienta, repita el mismo trabajo de EIPD, consentimiento y Evaluacion de Impacto de la Transferencia, ya que el marco es identico al de Optimize: cookies, identificadores persistentes y, segun configuracion, transferencias a EE.UU.
Liste Optimize entre las cookies analiticas o de personalizacion, nombre la cookie _gaexp, indique su duracion de 90 dias y explique que almacena informacion de exposicion a variantes compartida con Google Analytics. Anada una nota indicando que el servicio fue descontinuado por Google el 30 de septiembre de 2023 y que el script se esta retirando. Vuelva a escanear el sitio mensualmente; cuando _gaexp ya no aparezca en ninguna sesion, retire la entrada de la politica y actualice su registro de tratamientos.