Sólo dos semanas después de la decisión de la Autoridad de Protección de Datos austriaca de que el uso continuado de Google Analytics viola el RGPD, la Autoridad de Protección de Datos francesa (CNIL) ordena a un sitio web francés que cumpla con el RGPD.
En julio de 2020, el TJUE emitió la sentencia «Schrems II», en la que sostenía que una transferencia a proveedores estadounidenses que se rigen por la FISA 702 y la OE 12.333 viola las normas sobre transferencias internacionales de datos del RGPD. En consecuencia, el TJUE anuló el acuerdo de transferencia «Privacy Shield» (puedes encontrar más información en este artículo).
Aunque este hecho provocó una onda expansiva en la industria tecnológica, los proveedores estadounidenses y los exportadores de datos de la UE han ignorado en gran medida el caso. Al igual que Microsoft, Facebook o Amazon, Google se ha apoyado en las llamadas «cláusulas contractuales tipo» para continuar con las transferencias de datos y calmar a sus socios comerciales europeos.
Las diferentes autoridades europeas de protección de datos llegan a la misma conclusión: el uso de Google Analytics es ilegal. Hay un grupo de trabajo europeo y cabe pensar que esta acción está coordinada y que otras autoridades decidirán de forma similar.
Google Analytics es una funcionalidad que pueden integrar los administradores de sitios web como los sitios de venta en línea para medir el número de visitas de los usuarios de Internet. En este contexto, se asigna un identificador único a cada visitante. Este identificador (que constituye datos personales) y los datos asociados a él son transferidos por Google a los Estados Unidos.
La CNIL concluye que las transferencias a los Estados Unidos no están suficientemente supervisadas en la actualidad. En ausencia de una decisión de adecuación (que establecería que este país ofrece un nivel suficiente de protección de datos con respecto al RGPD) con respecto a las transferencias a los Estados Unidos, la transferencia de datos solo puede tener lugar si se brindan las garantías adecuadas para este flujo en particular.
En definitiva, la CNIL declara que las medidas adicionales para regular las transferencias de datos en el marco de la funcionalidad de Google Analytics no son suficientes para excluir la posibilidad de que los servicios de inteligencia estadounidenses accedan a estos datos. Por lo tanto, existe un riesgo para los usuarios que utilizan esta herramienta y cuyos datos se exportan. Todo ello, basándose en la resolución Austriaca que concluyó que la protección de la comunicación entre los Servicios de Google, la protección de los datos en tránsito entre los data centers, la protección de comunicación entre los usuarios y los sitios web y la «onsite security» no acreditaban impedir o restringir el acceso por parte de los servicios de inteligencia estadounidenses.
Google Analytics es el programa de estadísticas más utilizado por excelencia. Aunque hay muchas alternativas que se alojan en Europa o pueden autoalojarse, muchos sitios web confían en Google y, por tanto, remiten los datos de sus usuarios a Estados Unidos. El hecho de que las autoridades de protección de datos puedan ahora declarar gradualmente ilegales los servicios estadounidenses, ejerce una presión adicional sobre las empresas de la UE y los proveedores estadounidenses para que opten por opciones seguras y legales que permitan implementar correctamente las medidas de seguridad.
Parece que hay dos opciones a largo plazo. O Estados Unidos adapta las protecciones básicas para los extranjeros para apoyar a su industria tecnológica, o los proveedores estadounidenses deberán ser descartados cuando las perceptivas evaluaciones de la transferencia internacional no sean favorables.
Sobre nosotros
Metricson es una firma de servicios legales integrales y somos expertos en el cumplimiento de la normativa vigente en materia de protección de datos y representación frente a autoridades y organismos públicos. Si tienes dudas sobre este tema puedes ponerte en contacto con nosotros a contacto@metricson.com y estaremos encantados de ayudarte.
Artículo escrito por:
Cristina Pulido
Abogada especialista en protección de datos y privacidad
Photo by Ben Sweet on Unsplash