Protección de Datos – Google Analytics incumple la GDPR, según la agencia de protección de datos austriaca

El año apenas comienza y también los primeros problemas para Google: la Autoridad de Protección de Datos de Austria («Datenschutzbehörde» o «DSB») falló que el uso continuado de Google Analytics incumple la GDPR.

Este es el primer fallo acerca de las 101 quejas que la ONG austriaca de protección de datos «Noyb» ha presentado en relación con la llamada «decisión Schrems II«, un caso en 2020 en el que el Tribunal de Justicia (TJUE) decidió que el uso de proveedores de Estados Unidos, como Google, incumple la GDPR debido a que las empresas estadounidenses están obligadas por ley a compartir sus contenidos con las autoridades de ese país, lo que permite el acceso a datos de los usuarios europeos.

Por ahora no hay sanción específica para Google

Por supuesto que esta decisión ha levantado alertas sobre el uso rutinario de las herramientas que requieren transferencia de datos personales de Europa hacia los Estados Unidos para su procesamiento. El organismo de control ha encontrado que la dirección IP así como los identificadores en los datos de las cookies incluyen datos de los visitantes del sitio web, lo que significa que estas transferencias están bajo el ámbito de la aplicación de la ley de protección de datos de la UE.

Hablando del caso específico de Google Analytics, se destacó que una función de «anonimización» de la dirección IP no se había implementado de forma correcta en el sitio web, pero de forma independiente a este problema técnico, el regulador encontró que los datos de la dirección IP que se compartían a EE.UU incluían datos personales de los usuarios, por lo que era posible identificar a un visitante.

«Los servicios de inteligencia de Estados Unidos usan ciertos identificadores online (como la dirección IP o números de identificación únicos) como punto de partida para la vigilancia de las personas», aseguró el regulador en su fallo.

Si bien el fallo está dado, aún no hay una decisión sobre una posible sanción. Sin embargo el GDPR prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global en casos similares.

Max Schrems, presidente honorario de Noyb.eu aseguró que «en lugar de adaptar sus servicios para que cumplan con la GDPR, las empresas estadounidenses simplemente han intentado agregar más texto a sus políticas de privacidad e ignoran al Tribunal de Justicia. Muchas empresas han seguido el ejemplo en lugar de cambiar a opciones legales».

En este mismo sentido, Schrems agrega que «esta es una decisión muy detallada y sólida. La conclusión es que las empresas ya no pueden usar los servicios en la nube de Estados Unidos en Europa. Han pasado 1,5 años desde que el Tribunal de Justicia lo confirmó por segunda vez, por lo que es más que el tiempo justo para que se haga cumplir la ley».

La respuesta de Google

Google ha respondido con un comunicado oficial en el que se centra en seis aspectos que considera fundamentales para defender su actividad frente a esta resolución:

• Google Analytics es un servicio que utilizan las organizaciones para comprender cómo se utilizan sus sitios y aplicaciones, de modo que puedan hacer que funcionen mejor. No rastrea a las personas ni perfila a las personas a través de Internet.
• Las organizaciones controlan los datos que recopilan mediante Google Analytics.
• Google Analytics ayuda a los clientes con el cumplimiento al proporcionarles una variedad de controles y recursos.
• Google Analytics ayuda a los usuarios a controlar sus datos.
• Google Analytics no se puede utilizar para mostrar anuncios a personas en función de información confidencial como salud, etnia, orientación sexual, etc.
• Los datos de Google Analytics de una organización solo se pueden transferir cuando se cumplen condiciones de privacidad específicas y rigurosas. Google Analytics opera centros de datos en todo el mundo, incluso en los Estados Unidos, para maximizar la velocidad y la confiabilidad del servicio. Antes de que los datos se transfieran a cualquier servidor en los Estados Unidos, se recopilan en servidores locales, donde las direcciones IP de los usuarios se anonimizan (cuando los clientes habilitan la función). El RGPD y el Tribunal de Justicia de la UE dicen que los datos pueden transferirse fuera de la Unión Europea solo por este tipo de motivos, siempre que se cumplan las condiciones.

Una decisión muy relevante para las webs europeas

Claro que esta es una decisión muy relevante para casi todos los sitios web en la UE: Google Analytics es la herramienta de analítica más utilizada: si bien hay muchas opciones alternativas, la inmensa mayoría de las webs confían en Google, y por lo tanto envían sus datos de usuario a la multinacional estadounidense.

El hecho de que las autoridades de protección de datos ahora pueda declarar ilegales los servicios que envían datos a los Estados Unidos ejercerá una presión adicional sobre las empresas de la UE y por supuesto, a los proveedores de EE.UU. para buscar opciones más seguras y legales.

«Hemos presentado 101 quejas en básicamente todos los estados miembros de la UE]», explicó Schrems a la revista Fortune. «Formaron un grupo de trabajo, por lo que esperamos que las otras autoridades de protección de datos ahora emitan decisiones similares.  Pueden ser fichas de dominó cayendo país por país».

A la larga parece haber dos posibles soluciones: o bien Estados Unidos adapta su base de protección de datos para extranjeros, o los proveedores estadounidenses tendrán que hospedar sus datos fuera de Estados Unidos, una opción que por el momento parece más viable ya que la ley de la UE dice que los niveles de protección europeos deben viajar con los datos: si bien la ley de EE.UU da un aviso a los usuarios sobre que sus datos serán utilizados, los usuarios no pueden hacer nada al respecto.

Fuente: https://marketing4ecommerce.net/google-analytics-incumple-la-gdpr-segun-la-agencia-de-proteccion-de-datos-austriaca/