A raíz de este importante acontecimiento, hemos actualizado nuestra cobertura para reflejar la información más reciente. Para mantenerte al día sobre el nuevo acuerdo sobre el Marco de Privacidad de Datos UE-EE.UU. y sus implicaciones, te invitamos a leer nuestro último artículo sobre el tema.
🔍 Lee las últimas noticias: Aprobadas las transferencias de datos personales de la Unión Europea a Estados Unidos
Gracias por tu apoyo y confianza en nuestra cobertura de temas globales relevantes.
Puede que hayas oído hablar de que Google Analytics es ilegal en Europa o que viola el RGPD. Como la mayoría de las cuestiones relacionadas con la privacidad, no siempre se trata de algo sencillo. Hemos escrito este post para explicar mejor de qué trata todo esto, qué podría implicar hasta ahora y cómo podría afectarte si utilizas Google Analytics en Europa.
¿Te encuentras en el Reino Unido? De ser así, este post también puede interesarte, ya que las normas del RGPD siguen siendo aplicables en el Reino Unido bajo el “RGPD UK.”
👉 Qué ha pasado: Varias autoridades europeas de protección de datos han constatado que el tratamiento de datos de usuarios europeos por parte de Google Analytics podría suponer una transferencia ilegal de datos fuera de Europa. Las autoridades consideraron que las medidas de cumplimiento de Google Analytics eran insuficientes como resultado de una investigación realizada en relación con el uso de Google Analytics 3. Estas son las razones →
👉 La respuesta de Google: Debido en parte a esta discusión en torno al uso de Google Analytics, Google ha lanzado Google Analytics 4 para intentar abordar algunas de estas preocupaciones.
👉 ¿Tienes que dejar de usar Google Analytics por completo? Todavía no hay una respuesta definitiva, ya que la investigación aún está en curso. Algunas autoridades, como el Garante italiano, han declarado que si se decide seguir utilizando Google Analytics, se deben tomar medidas de seguridad adicionales. Google Analytics 4 intenta abordar los principales problemas, pero dado que la investigación de la APD se basó en Google Analytics 3, de momento no hay forma de saber si el uso de GA4 será considerado suficiente. Encuentra más información sobre lo que puedes hacer aquí →
Para entender las decisiones más recientes que han afectado a Google Analytics 3, tenemos que remontarnos a la sentencia Schrems II publicada por el Tribunal de Justicia de la Unión Europea en julio de 2020.
Schrems II declaró que el “Privacy Shield” no era válido. El marco del Escudo de Privacidad permitía y validaba las transferencias de datos entre Estados Unidos y la UE. Desde que el marco fue declarado nulo, cualquier transferencia de datos entre la UE y EE. UU. está prohibida, a menos que los participantes, como los responsables o los encargados del tratamiento de datos, tomen medidas adicionales para cumplir con las normas europeas de adecuación (para la protección de los datos).
Quizás te estés preguntando por qué se prohíben las transferencias de datos entre la UE y EE. UU. a menos que se tomen estas precauciones adicionales. La razón radica en la LEY CLOUD, que obliga a las empresas con sede en EE. UU., como Google Analytics, a transmitir los datos que estén en su posesión, custodia o control a las agencias gubernamentales de EE. UU., independientemente de que los datos estén almacenados dentro o fuera de EE. UU.
Las autoridades de protección de datos (APD) de Francia, Austria, Dinamarca e Italia, descubrieron que el tratamiento de datos de usuarios europeos por parte de Google Analytics podría suponer una transferencia ilegal de datos fuera de Europa. Las mencionadas APD europeas llevaron a cabo estas investigaciones tras una serie de denuncias.
Por consiguiente, las autoridades consideraron que las medidas de cumplimiento de Google Analytics 3 eran insuficientes.
Sigue el progreso de este caso y mantente actualizado sobre las últimas decisiones:
Seguiremos actualizando este post a medida que evolucione la situación. Última actualización: 27 de junio de 2022
El 23 de junio de 2022, la APD italiana (el Garante) se alineó con las APD de Francia, Austria y Dinamarca emitiendo una decisión que ordena a la organización implicada en el procedimiento a que verifique que su uso de cookies y otras herramientas de seguimiento cumplen con la normativa de protección de datos, con especial atención a Google Analytics 3 y otros servicios similares.
Los sitios web que utilizan Google Analytics 3, *sin las garantías que proporciona el Reglamento de la UE*, infringen la legislación de protección de datos porque transfieren datos a Estados Unidos, un país sin un nivel de protección adecuado.
👉 El Garante tomó esta decisión al concluir una investigación exhaustiva.
👉 La investigación reveló que las organizaciones que utilizan Google Analytics 3 recopilan datos, a través de las cookies, sobre cómo los usuarios interactúan con los sitios web, incluidas las páginas específicas visitadas y los servicios utilizados.
👉 La dirección IP del dispositivo del usuario, los detalles sobre el navegador, el sistema operativo, la resolución de pantalla, el idioma seleccionado y la fecha y hora de la visita al sitio web son algunos de los datos recopilados. En la decisión del Garante se enfatizó que la dirección IP es un dato personal y que, incluso si se anonimiza, Google podría rastrearla de todas formas, gracias a los datos y las capacidades de las que dispone. Por este motivo, el tratamiento fue declarado ilegal.
Más detalles sobre la decisión del Garante sobre Google Analytics aquí.
La APD francesa (CNIL) emitió una decisión el 10 de febrero de 2022, ordenando al administrador de un sitio web francés que cumpliera con el Reglamento General de Protección de Datos (RGPD) y que dejara de utilizar Google Analytics 3.
La CNIL ha publicado recientemente las preguntas frecuentes sobre el tema. Ha publicado este documento en su página web para aclarar cualquier duda que pueda surgir sobre la decisión tomada el 10 de febrero. Sin embargo, no han aportado nada nuevo a lo ya anunciado en la decisión de la autoridad.
En cuanto a las preguntas frecuentes, no hay ningún cambio en particular con respecto a lo que la autoridad ya había declarado en su decisión del 10/02/22. Solo que se ha informado de los argumentos de una forma más esquemática:
👉 las medidas adicionales implementadas por Google Analytics 3 no son suficientes para evitar el acceso a los datos por parte de las agencias gubernamentales de EE. UU. de acuerdo con la Ley CLOUD;
👉 el administrador del sitio web tiene un mes para dejar de usar el servicio y encontrar una alternativa que cumpla con los requisitos;
👉 se puede considerar el uso de servidores proxy que permiten, cuando están configurados correctamente, enviar solo datos seudonimizados a servidores ubicados fuera de la UE.
La APD de Austria (DSB) publicó una decisión el 22 de abril de 2022, en la que estableció que un administrador de un sitio web europeo estaba violando el artículo 44 del RGPD.
👉 La DSB explicó que, utilizando Google Analytics 3, el administrador del sitio web ofrecía a Google LLC acceso a información sobre el navegador, las direcciones IP y los números de identificación únicos de los usuarios.
👉 Aunque el administrador del sitio web ha demostrado la existencia de cláusulas contractuales estándar (CCS) con Google LLC, la DSB estableció que estas CCS no garantizaban un nivel de protección adecuado, como lo exige el artículo 44 del RGPD.
👉 La DSB dictaminó que el Capítulo V del RGPD no podía cumplirse con Google Analytics 3. El administrador del sitio web dejó de usar el servicio antes de que concluyera el procedimiento de reclamación, por lo que la autoridad no requirió ninguna otra acción.
En un comunicado de prensa de la APD danesa (Datatilsynet), la autoridad ha declarado:
si utilizas Google Analytics, debes poner en marcha un plan para que tu uso (de Google Analytics) sea conforme a ley mediante la aplicación de medidas complementarias.
Mencionan el uso de la pseudonimización como una posible medida técnica que puede ser relevante cuando se utiliza Google Analytics. Datatilsynet también señala la guía creada por la autoridad francesa de protección de datos para las organizaciones que deseen establecer una pseudonimización efectiva mediante el llamado proxy inverso.
👉 La autoridad danesa de protección de datos preparará un texto de resumen basado en la sentencia austriaca y otras decisiones futuras con respecto al uso de Google Analytics.
👉 La Datatilsynet destacó la necesidad de que todas las autoridades europeas tengan una visión común sobre la decisión, ya que se trata de un conjunto de reglas compartidas.
En parte, debido a esta discusión sobre el uso de Google Analytics, Google lanzó Google Analytics 4 para tratar de abordar algunos de estos problemas.
Para obtener más información sobre Google Analytics 4 consulta esta guía.
Como todavía es difícil calibrar el impacto de la decisión, cada empresa debe decidir de forma independiente cómo comportarse.
Dado que el principal problema es la transferencia de datos europeos a los Estados Unidos y los posibles riesgos que ello conlleva, podría ser una buena idea:
*Sin embargo, ten en cuenta que, dado que las investigaciones de las APD se basaron en Google Analytics 3, aún no podemos saber con certeza si las autoridades considerarán suficiente el uso de GA4.
Si decides seguir utilizando Google Analytics, estas son algunas cosas que puedes hacer para acercarte lo máximo posible al cumplimiento legal:
Las autoridades de protección de datos descubrieron que las transferencias de datos a Estados Unidos no tienen el mismo nivel de protección que la UE.
Esta situación se deriva de una serie de leyes estadounidenses que permiten a las organizaciones gubernamentales solicitar acceso a los datos personales de los consumidores de servicios con sede en EE. UU., independientemente de dónde se encuentren los centros de datos o los servidores.
A la luz de esto, NOYB presentó 101 quejas a las APD europeas, para demostrar la ilegalidad de la transferencia de datos de usuarios europeos a los Estados Unidos. Las decisiones, que comprobaron la ilegalidad de las transferencias, se centran en el análisis de medidas técnicas, contractuales y organizativas adicionales.
El uso de una clave de cifrado por parte de la empresa involucrada se consideró insuficiente, porque la clave era propiedad de Google LLC. De ello se deduce que mientras la clave de cifrado siga siendo accesible para el importador (en este caso, Google Analytics), las medidas adoptadas no pueden considerarse adecuadas.
Además, no se han evaluado las medidas contractuales y organizativas, ya que estas últimas siempre se consideran insuficientes si faltan las medidas técnicas.
En base a las decisiones emitidas hasta el momento, podemos deducir que las posibles consecuencias jurídicas son las siguientes:
Nota: hasta la fecha no se han emitido sanciones económicas por el uso de Google Analytics.
*Como siempre, estamos siguiendo la evolución de este caso y mantendremos este post actualizado con las últimas novedades. Agrega este post a favoritos para no perderte ninguna actualización.
