¿Es ilegal Google Workspace en Dinamarca?

Image of Iron Brands

Publicado el 14 jul 2022 y editado el 15 ago 2023 por Iron Brands

Mientras que Italia (Garante), Francia (CNIL) y Austria (DSB) se centraron en Google Analytics, la DPA danesa prohíbe el uso de Google Workspace, es decir, todos los productos de Google. Por ahora, la prohibición se centra únicamente en los municipios, después de que se retirara la prohibición de tratamiento en el municipio de Helsingør.

Lea la declaración completa aquí (traducción automática al inglés)

<blockquote><h2>La autoridad de protección de datos retira la prohibición de procesamiento en el caso Chromebook</h2>

Publicado el 14 de julio de 2022 por Allan Frank. Traducido por deepl.com.

En un caso relacionado con el uso de Chromebooks en el municipio de Helsingør, la Autoridad Danesa de Protección de Datos (DPA) critica duramente y prohíbe la transferencia a terceros países y el uso de Google Workspace.

Número de expediente: 2020-431-0061

<h2>Resumen</h2>

Durante algún tiempo, la Autoridad de Protección de Datos se ha centrado en el uso de Chromebooks y Google Workspace (anteriormente G Suite for Education) en los municipios. El uso está extendido por todo el país, pero en concreto, la Autoridad de Protección de Datos ha tenido un caso pendiente en el municipio de Helsingør.

En septiembre de 2021, la Autoridad de Protección de Datos danesa emitió una decisión en la que ordenaba al municipio de Helsingør que llevara a cabo una evaluación de riesgos del tratamiento de datos personales por parte del municipio en las escuelas primarias que utilizan Chromebooks y Workspace. Sobre la base de la documentación y la evaluación del riesgo para los interesados preparada por el municipio de Helsingør, la Autoridad de Protección de Datos ha determinado ahora que el procesamiento no cumple con los requisitos del GDPR en varios puntos.

"El municipio de Helsingør ha hecho un gran y hábil trabajo de mapeo de cómo se utilizan los datos personales en las escuelas primarias, pero también pone de relieve los problemas de protección de datos que pueden surgir con las formas en que las grandes empresas tecnológicas llevan a cabo la tarea", dice Allan Frank, especialista en seguridad de TI y funcionario legal de la Autoridad de Protección de Datos de Dinamarca.

La Agencia de Protección de Datos considera que el ayuntamiento no ha evaluado ningún riesgo concreto en relación con el diseño del procesador de datos. Además, el acuerdo del procesador de datos establece que los datos pueden transferirse a terceros países en situaciones de apoyo sin el nivel de seguridad requerido.

A la luz de la decisión de septiembre de 2021, la Autoridad de Protección de Datos ha emitido ahora una decisión. Entre otras cosas, contiene:

<ul><li>La suspensión de que el Ayuntamiento de Helsingør lleve a cabo operaciones de tratamiento en las que se transfieran datos a terceros países sin el nivel de protección exigido.</li><li>Prohibición general del tratamiento con Google Workspace hasta que se haya realizado una documentación y una evaluación de impacto adecuadas y hasta que las operaciones de tratamiento se ajusten al Reglamento</li><li>Graves críticas al tratamiento de datos personales por parte del ayuntamiento</li></ul>

El SEPD llama la atención sobre el hecho de que es probable que muchas de las conclusiones de esta decisión se apliquen a otros municipios que utilicen el mismo diseño de tratamiento. Por consiguiente, el SEPD espera que estos municipios adopten ellos mismos las medidas adecuadas a la luz de la decisión, aun cuando el SEPD esté finalizando actualmente una serie de casos relativos a otros municipios.

<h2>Decisión</h2>

La Autoridad Danesa de Protección de Datos vuelve a ocuparse del caso en el que el municipio de Helsingør notificó una violación de datos personales a la Autoridad Danesa de Protección de Datos el 29 de enero de 2020. La notificación tiene el siguiente número de referencia

<em>ce0e5422ddfb3fefaa9f621cfa0f129127058500</em>

El 10 de septiembre de 2021, el supervisor de protección de datos emitió una decisión sobre la violación de los datos personales. En particular, el Supervisor de Protección de Datos consideró seriamente criticable que el tratamiento de datos personales por el Ayuntamiento de Helsingør mediante Google Chromebooks no se hubiera realizado de conformidad con el artículo 5, apartado 2, del Reglamento de Protección de Datos, véase el artículo 5, apartado 1, letras c) y f), y el artículo 5, apartado 1, letra a), véase el artículo 6, apartado 1, así como el artículo 32, apartado 1, el artículo 33, apartado 1, y el artículo 35, apartado 1.

Por otra parte, el SEPD consideró que había motivos para emitir un requerimiento a Helsingør Kommune para que ajustara al RGPD el tratamiento de datos personales que realizaba con los Chromebooks de Google. Para ello, el Ayuntamiento de Helsingør debe llevar a cabo una evaluación de riesgos de la actividad de tratamiento, que refleje los flujos de datos personales que implica el tratamiento. La evaluación de riesgos debe abordar en parte las opciones necesarias para configurar el producto y abordar las cuestiones sobre el alcance de los hogares en la Ley de Escuelas Públicas para el uso de Chromebooks que el municipio exige a los alumnos. Si el riesgo para los derechos y libertades de los interesados se evaluaba como alto, el municipio también debía llevar a cabo una evaluación de impacto como parte del requerimiento judicial.

El requerimiento se dictó de conformidad con el artículo 58, apartado 2, letra d), del Reglamento de Protección de Datos.

Además, el SEPD consideró que había motivos para advertir al municipio de Helsingør de que el uso de las aplicaciones complementarias de Google G-Suite sin llevar a cabo una evaluación de impacto sobre la protección de datos, como exige el artículo 35, apartado 1, del Reglamento, podía infringir el RGPD.

Por último, el SEPD consideró que había motivos para imponer una restricción temporal a las actividades de tratamiento del municipio de Helsingør si las evaluaciones de riesgo que el municipio debía llevar a cabo mostraban un alto riesgo para los derechos y libertades de los interesados y el municipio no había reducido estos riesgos a un nivel inferior al alto antes de la expiración del plazo del requerimiento. La restricción implica que el tratamiento de datos personales que presenten un alto riesgo para los derechos y libertades de los interesados no podrá tener lugar mientras los riesgos no se hayan reducido a un nivel inferior a alto.

Tras la decisión de la Autoridad de Protección de Datos de 10 de septiembre de 2021, el Ayuntamiento de Helsingør presentó su evaluación de riesgos en relación con el uso de Google Chromebooks y G-Suite for Education mediante carta de 10 de noviembre de 2021, así como documentación adicional para demostrar la legalidad de la actividad de tratamiento. Además, el 9 de diciembre de 2021, el municipio presentó más información sobre el caso en respuesta a la solicitud del SEPD de 2 de diciembre de 2021.

Ir al resto de la declaración (larga)

<blockquote><h2>Decisión</h2>

Tras revisar la evaluación de riesgos del municipio de Helsingør y la documentación del municipio en general, la Agencia de Protección de Datos considera que existen motivos para dictar una orden de prohibición al municipio de Helsingør por el tratamiento de datos personales mediante Google Chromebooks y Workspace for Education. La prohibición se aplicará hasta que el Ayuntamiento de Helsingør haya puesto la actividad de tratamiento en conformidad con el RGPD, tal como se establece en la presente Decisión, y haya presentado la documentación adecuada a tal efecto.

Además, cualquier transferencia de datos personales a los Estados Unidos que el Ayuntamiento de Helsingør haya encargado a Google Cloud EMEA Limited que lleve a cabo como encargado del tratamiento de datos para el Ayuntamiento queda suspendida hasta que el Ayuntamiento de Helsingør pueda demostrar el cumplimiento del capítulo V del RGPD.

La prohibición y la suspensión surtirán efecto inmediatamente, pero se concederá al Ayuntamiento de Helsingør un plazo hasta el 3 de agosto de 2022 para retirar y desactivar usuarios y derechos, así como para eliminar los datos ya transferidos.

Las prohibiciones se dictan de conformidad con el artículo 58, apartado 2, letras f) y j), del Reglamento de protección de datos.

La infracción de una prohibición dictada por el Supervisor de Protección de Datos se castigará, de conformidad con el artículo 41, apartado 2, punto 4, de la Ley de Protección de Datos, con una multa o una pena de prisión no superior a seis meses, véase el artículo 41, apartado 1.

Por último, el Supervisor de Protección de Datos encuentra motivos para criticar seriamente el hecho de que el tratamiento de datos personales por parte del Ayuntamiento de Helsingør no se haya llevado a cabo de conformidad con el artículo 5, apartado 2, del Reglamento de Protección de Datos, cf. artículo 5, apartado 1, letra a), artículo 24, cf. artículo 28, apartado 1, artículo 35, apartado 1, y artículo 44, cf. artículo 46, apartado 1.

<h2>Resumen</h2>

El 11 de diciembre de 2019, un ciudadano presentó una reclamación ante la Autoridad de Protección de Datos sobre el tratamiento de datos personales por parte del Ayuntamiento de Helsingør.

Mediante carta de 6 de enero de 2020, el Ayuntamiento de Helsingør confirmó que un padre se había quejado al Ayuntamiento en 2019 de que a su hijo -sin su conocimiento- se le había dado una cuenta de YouTube, lo que permitió que el nombre del niño se publicara en YouTube.

El Ayuntamiento de Helsingør declaró además que consideraba improbable que el incidente hubiera dado lugar a un riesgo para los derechos y libertades de los interesados y, por lo tanto, no había dado lugar a una notificación de violación de datos personales a la APD, de conformidad con el artículo 33, apartado 1, del RGPD.

El 29 de enero de 2020, el Ayuntamiento de Helsingør notificó el incidente a la APD como violación de datos personales. Al mismo tiempo, varios otros municipios realizaron notificaciones similares, por lo que la Autoridad de Protección de Datos trató los casos conjuntamente y, mediante carta de 11 de marzo de 2020, la Autoridad solicitó a los municipios afectados su opinión.

El 10 de septiembre de 2021, la Autoridad de Protección de Datos adoptó una decisión sobre la violación de datos personales en cuestión notificada a la Autoridad de Protección de Datos por el municipio de Helsingør. La decisión de la autoridad de protección de datos de 10 de septiembre de 2021 se reproduce más arriba en la sección 1 y se adjunta en su totalidad.

En respuesta a la decisión de 10 de septiembre de 2021, el municipio de Helsingør presentó su evaluación de riesgos en relación con el uso de Google Chromebooks y G-Suite for Education mediante carta de 10 de noviembre de 2021, así como documentación adicional para demostrar la legalidad de la actividad de tratamiento. Además, el 9 de diciembre de 2021, el municipio presentó más información sobre el caso en respuesta a la solicitud del SEPD de 2 de diciembre de 2021.

<h2>Dictamen del municipio de Helsingør</h2><h3>Realización de la evaluación de riesgos, incluida la evaluación de impacto sobre la protección de datos cuando proceda</h3>

El 10 de noviembre de 2021, el municipio de Helsingør presentó la evaluación de riesgos del municipio para el uso de Google Chromebooks y G-Suite for Education (Google Workspace for Education).

Al mismo tiempo, el Municipio de Helsingør ha informado a la Autoridad de Protección de Datos que el Municipio no utiliza los servicios adicionales de Google Workspace y, por lo tanto, ha evaluado que el Municipio no está obligado a preparar una evaluación de impacto de protección de datos.

<h3>Tratamiento de datos personales para otros fines</h3>

Entre los riesgos identificados por el Ayuntamiento de Helsingør al utilizar Google Chromebooks, aparece en la evaluación de riesgos el riesgo de "uso de datos para fines no previstos". El riesgo se describe de la siguiente manera

<blockquote>

"Existe el riesgo de que Google u otros terceros utilicen los datos personales de profesores y alumnos para fines de marketing u otros fines para los que el Ayuntamiento de Helsingør, como responsable del tratamiento de datos, no desea que se traten los datos personales. En particular, la información de contacto, la dirección IP y las huellas digitales (información general) son relevantes en este contexto. Cabe señalar que los datos personales relacionados con los alumnos están sujetos a una protección especial en virtud de las normas de protección de datos y, por lo tanto, el acceso a los datos personales relacionados con los alumnos y su tratamiento constituyen un elemento adicional en relación con la evaluación de riesgos."

</blockquote>

Sobre la probabilidad de que este riesgo se materialice, se afirma lo siguiente:

<blockquote>

"El municipio utiliza el producto Google Workspace for Education Standard, en el que el acuerdo de procesamiento de datos garantiza al municipio que los datos no se utilizarán para otros fines, incluido el marketing, siempre que el municipio solo utilice Core Services".

Se hace referencia al acuerdo de procesamiento de datos y a la correspondencia del municipio de Helsingør con Google, donde Google ha declarado que "la información como parte del uso de Chromebooks y Google Workspace for Education Standard no puede ser utilizada por Google con fines de marketing hacia un estudiante o estudiantes en una clase". "No se muestran anuncios en los servicios principales de Google Workspace for Education. Asimismo, ninguno de los datos personales recopilados en los servicios básicos se utiliza con fines publicitarios (ii) El nombre de usuario de los estudiantes, también en relación con la cuenta de Google Workspace for Education creada, solo es accesible para Google como procesador de datos, y el uso de Chromebooks y Google Workspace for Education -por ejemplo, la visualización de vídeos de YouTube- no conlleva la publicación del nombre de usuario". "El administrador de la escuela puede permitir a los estudiantes acceder a los servicios de Google, como YouTube, que tienen características que permiten a los usuarios compartir información con otros o públicamente. Por ejemplo, si dejas una reseña en Google Play, tu nombre y tu foto aparecen junto a tu actividad. Y si comparte una foto con un amigo que luego hace una copia de ella o la comparte de nuevo, esa foto puede seguir apareciendo en la cuenta de Google de su amigo incluso después de que usted la elimine de su cuenta de Google. Recuerde que cuando comparte información públicamente, su contenido puede ser accesible a través de motores de búsqueda, incluida la Búsqueda de Google. Para obtener más información sobre cómo se comparten los datos del Espacio de Trabajo para la Educación, consulta el Aviso de privacidad del Espacio de Trabajo para la Educación."

Servicios básicos (14 servicios: Aula, Drive/Docs, G-mail, Chat, Chrome Sync, Grupos, Meet, Vault, Playlist, Jamboard, Calendar, Keep (stickynotes), Tareas, Sites)

Los servicios adicionales prestados por Google, están sujetos a términos diferentes en el acuerdo del procesador de datos, lo que significa que el municipio no puede dar instrucciones a Google sobre cómo se pueden utilizar los datos personales. Por lo tanto, el Ayuntamiento ha inhabilitado el uso de los servicios auxiliares.

Conclusión

Sobre la base de las medidas aplicadas anteriormente, el Ayuntamiento de Elsinore considera que la probabilidad de que el riesgo se haga realidad es baja. No obstante, no puede excluirse por completo que Google incumpla las obligaciones contractuales y, a pesar de ello, utilice los datos personales para fines de marketing u otros fines no previstos para los que el Ayuntamiento de Helsingør no haya dado instrucciones de conformidad con el acuerdo de procesamiento de datos."

</blockquote><h3>Transferencia de datos personales a terceros países</h3>

Un riesgo adicional identificado por el Ayuntamiento de Helsingør en el uso de Google Chromebooks y Workspace for Education en la evaluación de riesgos es el riesgo de transferencias a terceros países.

El riesgo se describe de la siguiente manera

<blockquote>

"Existe el riesgo de que se transfieran datos personales de alumnos y profesores (en principio, datos personales generales, pero no puede excluirse que también se incluyan datos personales sensibles) a terceros países inseguros sin una base adecuada para la transferencia y sin garantizar que el tercer país en cuestión garantice derechos de protección de datos equivalentes a los de otros países de la UE."

</blockquote>

Sobre la probabilidad de que este riesgo se materialice, se afirma lo siguiente:

<blockquote>

"El Ayuntamiento de Helsingør, como responsable del tratamiento de los datos personales de los alumnos, ha aplicado las siguientes medidas paliativas pertinentes para reducir la probabilidad de que el riesgo descrito se haga realidad":

Se han concluido los términos y condiciones estándar de la Comisión de la UE (base de transferencia), ya que existe un riesgo de acceso desde los EE. UU. a través del soporte. Se ha preparado una Evaluación del Impacto de la Transferencia (EIT) separada como base adicional (medidas complementarias), de conformidad con los requisitos de la Autoridad de Protección de Datos y el EDPB. Se hace referencia a la EIT preparada.

También hay que señalar que el Ayuntamiento de Helsingør ha optado por una solución en la que, como punto de partida claro, los datos se encuentran exclusivamente dentro de la UE en los centros de datos correspondientes. Por lo tanto, sólo el riesgo de acceso de apoyo desde un tercer país inseguro puede dar lugar a un acceso desde un tercer país inseguro:

"La configuración de las regiones de datos en Google Workspace for Education Standard garantiza que el centro de datos se encuentra dentro de la UE y, además: ¿habrá acceso en línea desde países fuera de la UE, por ejemplo, en relación con la asistencia?".

Conclusión

Basándose en las medidas aplicadas anteriormente, el Ayuntamiento de Elsinore considera que la probabilidad de que el riesgo se haga realidad es baja."

</blockquote>

Además, el municipio de Helsingør ha presentado sus pruebas de cumplimiento del capítulo V del Reglamento de protección de datos al utilizar Google Workspace for Education en forma de "Evaluación del impacto de la transferencia" (en adelante, "EIT") del municipio.

Esto demuestra que el Ayuntamiento de Helsingør utiliza Google Cloud EMEA Limited como procesador de datos con respecto a su uso de Google Chromebooks y Workspace for Education. En particular, el municipio ha garantizado, mediante la configuración de Google Workspace for Education, que los datos personales se almacenen únicamente en centros de datos situados en la UE o el EEE.

Sin embargo, parece que, a pesar de la configuración anterior, los datos personales pueden transferirse a Google LLC en los Estados Unidos como parte del acceso remoto con fines de asistencia. La transferencia se realiza sobre la base del contrato tipo de la Comisión de la UE.

Por último, el punto 1.8 sobre el contexto y la finalidad de la transferencia de datos personales establece lo siguiente:

<blockquote>

"Como parte de la solución en la nube de Google, Helsingør Kommune utiliza:

Google Chromebooks y G Suite for Education (ahora llamado Workspace), que es utilizado por Helsingør Kommune con el propósito de educar a los estudiantes como parte de la obligación de derecho público de Helsingør Kommune como autoridad local y pública para proporcionar educación. Helsingør Kommune considera que esta obligación se gestiona mejor con Google como proveedor de los servicios mencionados y Datatilsynet ha aceptado esta premisa de conformidad con la legislación vigente en el Folkeskoleloven.

Para que Helsingør Kommune pueda utilizar los mencionados servicios y productos ofrecidos por Google, es necesario que Helsingør Kommune transfiera a la nube de Google los datos personales relacionados con los interesados indicados en las secciones 1.9-1.10 siguientes. El propósito de la transferencia es, por tanto, almacenar los datos personales en los centros de datos (nube), garantizar una alta seguridad de los datos personales, así como la gestión/soporte por parte de Google".

En la EIT, el municipio de Helsingør ha evaluado -según entiende el SEPD- si la base de la transferencia a los EE.UU. en forma de contrato tipo es efectiva a la luz de las circunstancias de la transferencia, incluida la evaluación de si existen leyes y/o prácticas en los EE.UU. que afecten a la efectividad del contrato tipo celebrado.

</blockquote>

En consecuencia, el apartado 2.4 del AIT establece:

<blockquote>

"Sobre la base de las estadísticas y otros argumentos del importador/receptor de datos, ¿cuántos años, además del período de evaluación, pasarán antes de que la probabilidad de acceso por parte de una autoridad pública (que sea legal en el tercer país) siga siendo sólo del 50:50?

Basándose en las siguientes estadísticas y argumentos, Helsingør Kommunes considera que incluso si se añadieran 50 años adicionales al periodo de evaluación de 5 años, la probabilidad de que una autoridad pública de EE.UU. (que sea legal en EE.UU.) acceda a los datos infringiendo la legislación de la UE, tal y como se establece en la sentencia Schrems II, sigue siendo sólo del 50% en este periodo de 55 años y, por lo tanto, el riesgo de que se produzca un acceso legal en el periodo de evaluación de 5 años es de naturaleza más teórica que práctica:

<ul><li>A) Google revisará cuidadosamente cada solicitud para asegurarse de que cumple la legislación aplicable. Si una solicitud pide demasiada información, Google intentará reducirla y, en algunos casos, Google se opondrá a facilitar ningún tipo de información. Google compartirá el número y los tipos de solicitudes recibidas en el Informe de Transparencia.</li><li>B) Cuando Google reciba una solicitud de un organismo gubernamental, enviará un correo electrónico a la cuenta del usuario antes de revelar la información. Si la cuenta está gestionada por una organización, Google avisará al administrador de la cuenta. Si la ley prohíbe a Google enviar una notificación, no lo hará. En tal caso, Google lo notificará una vez que se levante la prohibición legal, por ejemplo, cuando haya expirado un período de amordazamiento legal u ordenado por un tribunal.</li><li>C) Cuando una entidad de Google dentro de la UE, como ocurre en este caso, reciba solicitudes de divulgación de datos por parte de las autoridades gubernamentales estadounidenses, Google sólo proporcionará datos personales si hacerlo es compatible con todo lo siguiente (i) La legislación nacional del Estado miembro de establecimiento, incluida cualquier legislación de la UE aplicable, como el GDPR. Por lo tanto, Google exigirá a la autoridad estadounidense que siga el mismo proceso y los mismos requisitos legales que se aplicarían si la solicitud se realizara a un proveedor local de un servicio similar. (ii) Normas internacionales, lo que significa que Google solo proporcionará datos personales en respuesta a solicitudes que satisfagan los Principios sobre Libertad de Expresión y Privacidad de la Iniciativa de la Red Global y sus directrices de implementación asociadas en las políticas de Google. Esto incluye las condiciones del servicio y las políticas de privacidad aplicables, así como las políticas relacionadas con la protección de la libertad de expresión.</li><li>D) En lo que respecta a las solicitudes de información en casos de emergencia, como por ejemplo si Google considera razonablemente que la divulgación puede evitar que alguien muera o sufra daños físicos graves, Google podrá facilitar información a un organismo gubernamental. Esto incluye amenazas de bomba, tiroteos en escuelas, secuestros, prevención de suicidios y casos de personas desaparecidas. Google seguirá considerando dichas solicitudes a la luz de las leyes aplicables y de nuestras políticas.</li><li>F) Estadísticas</li></ul>

Solicitudes de acceso a Google GCP/G-Suite / divulgadas Dinamarca 2019-2020: 0 / 0

Solicitudes de acceso a Google Workspace / divulgadas Dinamarca 2019-2020: 1 / 0

Solicitudes de Google Global Diplomatic Legal: 1

Google Global Solicitudes de datos de usuario / porcentaje divulgado Dinamarca 2019-2020:

30 de junio de 2019 Emergencia 2 / 50%. Otros legales 29 / 52%. Preservación 8 / 45%. 31 de diciembre de 2019 Emergencia 3 / 0%. Otros legales 48 / 38%. Conservación 12 / 41%.

30 de junio de 2020 Emergencia 5 / 100%.

Otros legales 80 / 58%. Conservación 34 / 63%. 31 de diciembre de 2020 Emergencia 1 / 100%. Otros legales 87 / 75%. Preservación 32 / 41%.

Google Solicitudes de cartas de seguridad nacional (NSL) y liberadas 2019/2020 número total todos los países: 21

Conclusión

Basado en este enfoque legal y estas estadísticas, está claro que:

<ul><li>Es estadísticamente improbable que Helsingør Kommune sea objeto de una solicitud relativa al uso de GCP y G-Suite (ahora denominado Workspace).</li><li>Para otros servicios, el riesgo es mínimo dado el número de solicitudes/revelaciones y el número total de usuarios que utilizan los servicios proporcionados por Google en Dinamarca.</li><li>El número de solicitudes de NSL es tan bajo que estadísticamente carece de importancia.</li><li>Si los datos personales son objeto de una solicitud, Google llevará a cabo una evaluación honesta de la legalidad basada en la legislación de la UE. Esto está respaldado por las estadísticas de divulgaciones reales".</li></ul></blockquote>

La EIT afirma además en el párrafo 3.4 que los datos personales transferidos a Google LLC en EE.UU. estarán a disposición de Google LLC en texto claro:

<blockquote>

"¿Son los datos personales en cuestión accesibles en la jurisdicción de destino en texto claro por el importador/receptor de los datos o por un tercero (es decir, los datos no están debidamente cifrados o es posible acceder a las claves para descifrarlos)?

Los datos personales de Helsingør Kommune siempre están cifrados cuando están en reposo, ya que Google utiliza varias capas de cifrado para proteger los datos de los clientes en reposo en los productos de Google Cloud, utilizando uno o varios mecanismos de cifrado. Los datos que se almacenan se dividen en fragmentos y cada fragmento se cifra con una clave de cifrado de datos única. Estas claves de cifrado de datos se almacenan con los datos, cifrados con ("envueltos" por) claves de cifrado de claves que se almacenan y utilizan exclusivamente dentro del Servicio de Gestión de Claves central de Google. El Servicio de Gestión de Claves de Google es redundante y está distribuido globalmente.

Todos los datos almacenados en Google Cloud se cifran a nivel de almacenamiento mediante AES256. En este sentido, Google utiliza una biblioteca criptográfica común, Tink, que incorpora el módulo validado por FIPS 140-2, BoringCrypto, para implementar el cifrado de forma coherente en casi todos los productos de Google Cloud. El uso coherente de una biblioteca común significa que solo un pequeño equipo de criptógrafos necesita implementar y mantener este código estrictamente controlado y revisado.

Sin embargo, este cifrado no impide que el personal de Google acceda a los datos personales de Helsingør Kommune, ya que Google tiene la clave para descifrar los datos. Por el contrario, Google LLC en EE.UU. no está en posesión de la clave de descifrado. Esto implica que Google en EE.UU. u otras entidades de Google fuera de la UE/EEE o terceros no pueden acceder a los datos personales de Helsingør Kommune sin la aprobación de la entidad de Google aplicable establecida en la UE (Google Ireland).

Aunque el cifrado -y la seudonimización, que también utiliza Google- no garantiza que Helsingør Kommune tenga un control total del acceso a los datos personales en el centro de datos de la UE, sirve como factor atenuante para cumplir las obligaciones reglamentarias o de cumplimiento, es decir, de conformidad con las directrices de la EDPB".

</blockquote>

Además, la ETI establece en el párrafo. 3.5 relativo a la base de transferencia establecida

<blockquote>

"Tal y como se ha indicado en el apartado 1.7 anterior, de la Enmienda de Procesamiento de Datos de Google a Google Workspace y/o del Acuerdo de Productos Complementarios modificados el 24 de septiembre de 2021 se desprende que el CCE de 2021 será la base jurídica para las transferencias (incluido el acceso en línea como parte de la asistencia en línea) a países fuera de la UE/EEE sin una decisión de adecuación. A este respecto, Google está obligado contractualmente, en calidad de encargado del tratamiento, a cumplir las obligaciones que le incumben en virtud de la Ley Europea de Protección de Datos con respecto al tratamiento de los datos personales de Helsingør Kommune.

Helsingør Kommune no tiene motivos para creer que ninguna entidad de Google vaya a incumplir el CCE.

Además, Helsingør Kommune evaluará, y supervisará de forma continua, que Google cumple con el CCE de 2021 revisando, por ejemplo, los informes de auditoría y las certificaciones estándar que se pongan a su disposición. Helsingør Kommune también tiene derecho a llevar a cabo una auditoría especial de terceros si se considera necesario, cf. la DPA".

</blockquote>

Por último, la EIT afirma en el apartado 4.1.1 por lo que se refiere a la legislación y/o práctica en Estados Unidos que afecta a la eficacia del contrato tipo celebrado:

<blockquote>

"El importador/receptor de datos no está sujeto a un interés superior por parte de una autoridad pública extranjera para solicitar el acceso a los datos personales (es decir, el importador de datos o el posible receptor no está sujeto a una legislación nacional que facilite la vigilancia masiva)

Sección 702 de la FISA

La entidad estadounidense Google LLC puede considerarse en la práctica la empresa matriz de las entidades de la UE que prestan los servicios a Helsingør Kommune. Google LLC. puede considerarse un proveedor de servicios de comunicaciones electrónicas en virtud de la Sección 702 de la FISA para sus clientes estadounidenses, ya que el término se entiende en sentido amplio: "cualquier otro proveedor de servicios de comunicaciones que tenga acceso a comunicaciones alámbricas o electrónicas, ya sea en el momento en que dichas comunicaciones se transmiten o en el momento en que se almacenan".

Sin embargo, es muy probable que los datos a los que tiene acceso Google LLC, estén per se excluidos del acceso en virtud de la Sección 702 de la FISA porque se trata de datos que no son transmitidos por ella sino a ella con el fin de prestar un servicio de asistencia. Por tanto, se trata de una comunicación dirigida a una "persona estadounidense" para la que están prohibidas las búsquedas de inteligencia (véase Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21 de diciembre de 2020, disponible en https://bit.ly/3qHNMy7 y un artículo completo del mismo autor en https://bit.ly/2V9veez con el post de seguimiento "Transferring EU Data To US After New Contractual Safeguards" de 17 de mayo de 2021, disponible en https://bit.ly/3l12oHZ). Además, los datos personales de Helsingør Kommune no incluyen datos personales sobre "personas estadounidenses", por lo que las autoridades estadounidenses tampoco pueden acceder a los datos en virtud de la Sección 702 de la FISA por este motivo.

Por lo tanto, es probable que los datos personales de Helsingør Kommune en los centros de datos de la UE no estén sujetos a la Sección 702 de la FISA.

Entendemos que este argumento puede no ser compartido por todo el mundo y que, no obstante, pueden producirse solicitudes en relación con Google, por lo que calificamos la probabilidad de que este argumento sea válido de forma muy conservadora para ir sobre seguro.

OE 12.333

La Orden Ejecutiva 12.333 (EO 12.333) autoriza a las agencias de inteligencia de EE.UU. a recopilar información extranjera de "inteligencia de señales", que es la información recogida de las comunicaciones y otros datos transmitidos o accesibles por radio, cable y otros medios electromagnéticos (es decir, todos los datos de la infraestructura de telecomunicaciones y TI). Así pues, la OE 12.333 permite la "vigilancia en tránsito", como el acceso a datos que no estén debidamente cifrados mientras pasan por cables transatlánticos. Como se describe en la sección 3.3. anterior, todos los datos personales se transmitirán con el cifrado exigido y potente en tránsito. Por lo tanto, nuestra evaluación es que la medida técnica requerida a través del cifrado significa que la OE 12.333 no supondrá un mayor riesgo para las autoridades estadounidenses de vigilancia masiva."

</blockquote>

A continuación se indica que el Ayuntamiento de Helsingør ha evaluado la probabilidad de que la evaluación anterior sea correcta en un 40%.

Sobre la base de la carta del Ayuntamiento de Helsingør de 10 de noviembre de 2021 con anexos, la Autoridad de Protección de Datos solicitó más información al Ayuntamiento el 2 de diciembre de 2021. La Autoridad de Protección de Datos declaró que cualquier transferencia de datos personales a los Estados Unidos como parte del apoyo era -en opinión de la Autoridad de Protección de Datos- intencionada, aunque el municipio lo ha evaluado como un riesgo de apoyo procedente de los Estados Unidos.

La Autoridad de Protección de Datos solicitó, entre otras cosas, una copia de la base de transferencia del municipio, cualquier cambio en la instrucción y el acuerdo de procesamiento de datos con Google, y una revisión de cualquier medida adicional que el municipio pudiera haber considerado necesaria.

Mediante carta de 9 de diciembre de 2021, el municipio de Helsingør manifestó -a modo de aclaración del riesgo mencionado- lo siguiente:

<blockquote>

"La posible transferencia a Google -y el riesgo asociado- está relacionada con la configuración de Google. Es decir, aunque el municipio haya elegido una nube de la UE, Google se ha asegurado en el acuerdo de tratamiento de datos el derecho a obtener potencialmente soporte de terceros países. Esta es también la razón por la que Google ha establecido una base de transferencia en virtud del nuevo SCC (a partir de junio de 2021), que el municipio utiliza en su evaluación de riesgos.

En general, en lo que respecta al riesgo de apoyo en particular, pueden tenerse en cuenta los siguientes hechos: en situaciones de apoyo muy específicas de un tercer país inseguro, habrá una ventana muy limitada en la que el partidario puede potencialmente acceder a los datos personales en texto claro. Es muy improbable que en esa ventana limitada el partidario se vea obligado por el gobierno [del tercer país inseguro] a proporcionar los datos personales.

El Ayuntamiento señala además que en la EIT preparada se afirma que el Ayuntamiento ha evaluado que el uso de Google Workspace for Education es necesario para el desempeño de las funciones del Ayuntamiento en virtud de la Ley de Educación, que la opción del soporte de terceros países no puede excluirse cuando Google es el procesador de datos y que, por lo tanto, el Ayuntamiento ha evaluado el riesgo de utilizar Google.

La base de transferencia es, como se ha dicho, el nuevo SCC (a partir de junio de 2021)."

</blockquote>

En cuanto a las fuentes de datos utilizadas, el Ayuntamiento de Helsingør ha facilitado la siguiente información:

<blockquote>

"Hay diferentes "fuentes de datos" en relación con la evaluación de riesgos y la EIT. La evaluación de riesgos se basa en el hecho de que el acuerdo sobre el procesador de datos describe con más detalle la relación entre las partes, es decir, que Google es el procesador de datos del municipio y que Google se reserva el derecho a prestar asistencia desde terceros países, y que el municipio se ha asegurado de que el servicio se presta desde una nube de la UE.

El EIT se basa en los documentos y enlaces proporcionados en la subpestaña del EIT".

</blockquote>

Además, el Ayuntamiento de Helsingør ha facilitado la siguiente información en relación con sus evaluaciones recogidas en la EIT:

"Las evaluaciones en la EIT de la probabilidad de que se mantenga cada argumento jurídico son estimaciones. A este respecto, el Ayuntamiento considera que las probabilidades establecidas son conservadoras, es decir, que el Ayuntamiento ha permitido dudas en interés de los derechos y libertades de los interesados. Si el SEPD tiene una evaluación diferente y razonada de la probabilidad que sostienen los argumentos individuales, el municipio estará encantado de conocerla. También se señala, en aras del buen orden, que el riesgo global calculado -basado, entre otras cosas, en estos argumentos, las circunstancias de la posible transferencia, las estadísticas publicadas de Google, las prácticas y las medidas paliativas- es bastante bajo. Asimismo, el ayuntamiento se compromete a supervisar y evaluar la probabilidad de validez de estos argumentos de forma continua.

Por lo tanto, la legalidad del uso de Google Workspace for Education en estas circunstancias no depende de la evaluación de la probabilidad de la validez de un único argumento que no se mueva por argumentos razonados."

Por último, el Ayuntamiento de Elsinore ha presentado una gran cantidad de documentación relativa al acuerdo de procesamiento de datos con Google Cloud EMEA Limited, incluido el acuerdo de procesamiento de datos "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" de fecha 24 de septiembre de 2021.

<h2>Justificación de la decisión del Supervisor de Protección de Datos</h2>

En general, el SEPD opina que un responsable del tratamiento que recurra a un encargado del tratamiento -para todas las operaciones de tratamiento- debe cumplir y poder demostrar que cumple el RGPD y la Ley de Protección de Datos, con independencia de en qué punto de la cadena de tratamiento de datos tenga lugar el tratamiento.

Esto se desprende del artículo 5, apartado 2, del RGPD, que establece que el responsable del tratamiento es responsable del cumplimiento del apartado 1 y debe poder demostrarlo. Esto significa, entre otras cosas, que el responsable del tratamiento es responsable y debe poder demostrar que los datos personales se tratan de forma lícita, leal y transparente, de conformidad con el artículo 5, apartado 1, letra a).

Además, el artículo 24, apartado 1, del Reglamento exige que el responsable del tratamiento aplique las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se ajusta al presente Reglamento. Esto debe hacerse teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento de que se trate, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, y las medidas deben revisarse y actualizarse cuando sea necesario.

Con esta decisión, la Autoridad de Protección de Datos sólo se ha pronunciado sobre si -y en qué medida- el Ayuntamiento de Helsingør, como responsable del tratamiento, trata los datos personales de conformidad con las normas de protección de datos. La competencia de la Autoridad de Protección de Datos se desprende del artículo 27 de la Ley de Protección de Datos y de los capítulos VI y VII del Reglamento de Protección de Datos, incluido su artículo 55, apartado 2.

<h3>Uso de Google Chromebooks y Google Workspace for Education</h3>

Del artículo 2.1 de la Ley de Educación se desprende que la autoridad local es responsable de la educación de los niños.

En el caso de las escuelas primarias, del artículo 18, apartado 1, y del artículo 19 de la Ley se desprende que la organización de la enseñanza, incluida la elección de los métodos de enseñanza y de trabajo, el material didáctico y la selección de las asignaturas, así como su remuneración, en todas las asignaturas debe ajustarse a los fines, objetivos y asignaturas de la escuela primaria y variar de modo que corresponda a las necesidades y requisitos previos de cada alumno.

El SEPD opina que tanto la elección de la utilización de las TI en la enseñanza como la marca y los programas informáticos que deben utilizarse entran dentro de este margen.

El SEPD observa a este respecto que las normas de protección de datos son neutrales con respecto a la tecnología y que el SEPD sólo puede evaluar las circunstancias en que se tratan los datos personales, de conformidad con el artículo 2, apartado 1, del RGPD.

Si bien la Ley de Escuelas Públicas -en opinión del SEPD- confiere competencia al consejo municipal para decidir si -y en caso afirmativo- qué equipos informáticos deben utilizarse en la enseñanza, este uso debe seguir haciéndose en el marco del RGPD y de la Ley de Protección de Datos.

Los derechos de los niños y los jóvenes gozan de una protección especial en virtud de las normas de protección de datos. El SEPD opina que esta consideración se incluye en la evaluación de qué operaciones de tratamiento pueden llevarse a cabo sobre la base jurídica que la Ley de Escuelas Públicas proporciona a cada municipio.

Como también se indica en la decisión de 10 de septiembre de 2021 de la Inspección de Protección de Datos, ésta opina que el municipio de Helsingør puede determinar qué herramientas se utilizan en las escuelas primarias del municipio, de conformidad con el artículo 6, apartado 1, letra e), del Reglamento de Protección de Datos.

Sin embargo, sigue siendo una condición esencial que el Reglamento y la Ley de Protección de Datos se cumplan de otro modo en el tratamiento de datos personales que tenga lugar.

<h3>Riesgo y consecuencias</h3>

En general, el SEPD considera que la evaluación de riesgos del municipio de Helsingør en relación con el uso de Google Chromebooks y Workspace for Education aborda las principales hipótesis y amenazas.

Sin embargo, el SEPD opina que el uso de tecnología nueva y compleja, incluidos los programas informáticos -especialmente en el ámbito de la educación, en el que los interesados son niños y jóvenes- suele entrañar un alto riesgo para los derechos y libertades de estos alumnos.

En el caso concreto, en el que es de dominio público que las tecnologías utilizadas para la prestación y el soporte del sistema del servicio elegido -Google Chromebooks y Workspace for Education- también se utilizan para ofrecer otras partes de los productos de Google, y éstas se utilizan para la recopilación de información, el marketing selectivo y la venta de esta información. Por lo tanto, estas cuestiones deben tenerse en cuenta al evaluar los riesgos para los derechos y libertades de los interesados al utilizar Google Workspace for Education.

El SEPD considera que la evaluación de riesgos del municipio de Helsingør no documenta plenamente las hipótesis de riesgo que pueden surgir como consecuencia del diseño del tratamiento de datos y de las opciones de sistema elegidas. Esto se aplica en particular a i) la manera en que los dispositivos y las aplicaciones utilizados tratan realmente los datos personales recogidos, así como a ii) la manera en que el municipio de Helsingør controla el acceso de Google a los datos personales, incluido en particular el uso ordinario del sistema operativo de los Chromebooks de Google y la interacción de Google Workspace con el backend de Google en relación con las posibilidades de separación de los datos personales que deben tener lugar en virtud de la ley sobre el tratamiento de datos.

El SEPD opina que la realización de una evaluación concreta de los riesgos y de las repercusiones -antes de proporcionar equipos informáticos a los alumnos y de tratar los datos de los alumnos- es un requisito previo para establecer y mantener un nivel adecuado de seguridad. Esto se debe a que un nivel adecuado de seguridad debe considerarse a la luz de los riesgos, incluidas las consecuencias, que el tratamiento de los datos personales de los alumnos puede tener para ellos. El SEPD observa que varios de los incumplimientos de las normas de protección de datos antes mencionados podrían haberse evitado si el municipio de Helsingør hubiera evaluado los riesgos del tratamiento y tomado las medidas adecuadas a la luz de dichos riesgos.

En este contexto, el SEPD considera que el municipio de Helsingør: i) al no incluir en su evaluación de riesgos las hipótesis de riesgo que pueden derivarse del diseño del tratamiento de datos y de las opciones de sistema elegidas, ii) al no haber comprobado suficientemente el alcance y el funcionamiento del equipo y los programas informáticos utilizados, y iii) al no haber podido documentar el modo en que el municipio controla el acceso de Google a los datos personales, incluido, en particular, el uso ordinario del sistema operativo Google Chromebooks y la interacción de Google Workspace con el backend de Google en relación con las posibilidades de separación de los datos personales que pueden darse en virtud de la Directiva sobre el tratamiento de los datos, - no ha demostrado que el tratamiento de los datos personales se realice de forma lícita, leal y transparente en relación con el interesado de conformidad con la Directiva sobre el tratamiento de los datos. Artículo 5(2) de la Ley de Protección de Datos.

<h3>Utilización de datos para otros fines</h3>

En opinión de la Autoridad de Protección de Datos, el tratamiento de datos personales por parte del municipio de Helsingør en virtud de la Ley de Educación Primaria, véase el artículo 6, apartado 1, letra e), del Reglamento, no incluye situaciones en las que los datos personales se traten para fines distintos de los previstos en la Ley de Educación Primaria. Por lo tanto, los datos tampoco pueden comunicarse legalmente a otros responsables del tratamiento para sus fines, cuando éstos no estén previstos en la Ley de Educación. Esto incluye también el tratamiento de datos personales que pueda producirse mediante el uso del equipo y los programas informáticos por parte de los alumnos, incluidos los datos de metadatos utilizados con fines de mercadotecnia y elaboración de perfiles, tanto si los datos se utilizan con fines de mercadotecnia directa para el alumno individual como indirectamente como parte de un grupo (clase, curso, escuela, etc.).

El SEPD considera que el municipio de Helsingør no utiliza los productos adicionales de Google Workspace for Education.

De la evaluación de riesgos del municipio de Helsingør se desprende que los datos personales recogidos en los servicios básicos -según el acuerdo con el procesador de datos- no se utilizan con fines de mercadotecnia.

La Autoridad de Protección de Datos considera que el Ayuntamiento de Helsingør, como responsable del tratamiento de datos, ha evaluado que "no puede excluirse por completo que Google incumpla las obligaciones contractuales y, no obstante, utilice los datos personales para fines de mercadotecnia u otros fines no previstos para los que el Ayuntamiento de Helsingør no haya dado instrucciones de conformidad con el acuerdo de tratamiento de datos".

El SEPD considera asimismo que el Ayuntamiento de Helsingør también trata categorías especiales de datos personales, según lo dispuesto en el artículo 9 del Reglamento, cuando utiliza Google Workspace for Education.

En este contexto, el SEPD desea señalar en términos generales que, de conformidad con el artículo 28, apartado 1, del Reglamento, un responsable del tratamiento sólo puede recurrir a encargados del tratamiento que puedan ofrecer las garantías necesarias de que cumplirán las normas de protección de datos cuando traten los datos por cuenta del responsable del tratamiento.

Esto implica que una expectativa por parte del responsable del tratamiento de que el encargado del tratamiento elegido actuará incumpliendo el acuerdo de tratamiento celebrado -en sí mismo- implica que el responsable del tratamiento no puede recurrir a dicho encargado, de conformidad con el artículo 28, apartado 1, del Reglamento.

Sin embargo, el SEPD se ha basado en que, al evaluar este riesgo, el municipio de Helsingør sólo considera hipotético el riesgo de que el encargado del tratamiento incumpla el acuerdo de tratamiento de datos, en lugar de considerarlo directamente previsible.

El SEPD considera que el municipio de Helsingør -en su evaluación de este riesgo- no ha demostrado que en esta situación el municipio de Helsingør recurra a un encargado del tratamiento de datos que pueda ofrecer las garantías necesarias de que cumplirá los requisitos del RGPD, según lo establecido en el artículo 24 del Reglamento, véase el artículo 28, apartado 1.

El SEPD ha prestado especial atención al hecho de que se produciría una pérdida intrusiva de derechos para los interesados si se materializara el riesgo en cuestión y de que el municipio no ha indicado en su evaluación de riesgos ninguna medida técnica u organizativa correctiva real para mitigar este riesgo. En particular, el SEPD opina que la referencia hecha por el municipio de Helsingør al hecho de que el municipio confía en el cumplimiento general del contrato por parte del proveedor no constituye una atenuación suficiente de este riesgo.

Además, el SEPD observa que es probable que cualquier riesgo que suponga un alto impacto en los derechos y libertades de los interesados -incluso con probabilidades relativamente bajas de que el riesgo se materialice- suponga un alto riesgo para los derechos de los interesados, que desencadene la obligación de llevar a cabo una evaluación de impacto relativa a la protección de datos con arreglo al artículo 35, apartado 1, del Reglamento.

En vista de ello -y de la propia evaluación del municipio de Helsingør de que no puede excluirse que el encargado del tratamiento actúe incumpliendo el acuerdo de tratamiento de datos- el SEPD opina que la relación desencadena la obligación de llevar a cabo una evaluación de impacto relativa a la protección de datos, artículo 35, apartado 1, del Reglamento.

En este contexto, y dado que el Ayuntamiento de Helsingør ha declarado que no ha llevado a cabo una evaluación de impacto relativa a la protección de datos, el SEPD considera que el tratamiento de datos personales por parte del Ayuntamiento de Helsingør no se ha realizado de conformidad con el artículo 35, apartado 1, del Reglamento.

<h3>Transferencias de datos personales a terceros países</h3><h3>Transferencia de datos personales por la infraestructura en nube</h3>

En primer lugar, el SEPD ha observado que, en opinión del municipio de Elsinore, éste ha configurado su uso de Google Workspace for Education de tal modo que "los datos, como punto de partida claro, sólo se encuentran dentro de la UE en los centros de datos correspondientes". Por lo tanto, sólo el riesgo de acceso de apoyo desde un tercer país inseguro puede conducir al acceso desde un tercer país inseguro".

El marco contractual del Ayuntamiento de Helsingør con Google, que regula la actividad de tratamiento, incluye la "Enmienda de tratamiento de datos al Acuerdo de Google Workspace y/o productos complementarios" (Adenda del Acuerdo), con fecha de 24 de septiembre de 2021.

El Addendum establece, entre otras cosas

<blockquote>

"10.1 Instalaciones de almacenamiento y procesamiento de datos. Con sujeción a los compromisos de ubicación de datos de Google en virtud de las Condiciones específicas del servicio y al resto de la presente Sección 10 (Transferencias de datos), los Datos del cliente podrán procesarse en cualquier país en el que Google o sus Subprocesadores dispongan de instalaciones. [...]

<ol start="11"><li>Subprocesadores</li></ol>

11.1 Consentimiento para la contratación de Subprocesadores. El Cliente autoriza específicamente la contratación como Subencargados del Tratamiento de las entidades enumeradas a partir de la Fecha de entrada en vigor de la enmienda en la URL especificada en la Sección 11.2 (Información sobre los Subencargados del Tratamiento). Además, sin perjuicio de lo dispuesto en la Sección 11.4 (Oportunidad de oponerse a los cambios en los Subprocesadores), el Cliente autoriza de forma general la contratación como Subprocesadores de cualesquiera otros terceros ("Nuevos Subprocesadores").

11.2 Información sobre los Subprocesadores. La información sobre los Subencargados del tratamiento, incluidas sus funciones y ubicaciones, está disponible en: https://workspace.google.com/intl/en/terms/subprocessors.html (que Google podrá actualizar periódicamente de conformidad con la presente Modificación del tratamiento de datos)".

</blockquote>

La sección 11.2 del Acuerdo hace referencia a una lista de Subencargados del tratamiento utilizados con el fin de proporcionar Google Workspace for Education. La lista incluye una amplia gama de subencargados del tratamiento utilizados para proporcionar asistencia técnica, ubicados tanto en la UE como en terceros países, incluidos terceros países en los que la Comisión de la UE no ha tomado una decisión sobre el nivel de protección de los países de conformidad con el artículo 45.

La lista también incluye un gran número de filiales de Google utilizadas para actividades limitadas, como Google Workspace, que también están ubicadas tanto dentro como fuera de la UE/EEE.

En esta decisión, la APD no se ha pronunciado sobre la medida en que el Ayuntamiento de Helsingør, al utilizar Google Workspace for Education -además de los Estados Unidos, véase más adelante en la sección 4.6- transfiere datos personales a otros terceros países, aunque los datos se "almacenen" dentro de la UE/EEE.

Sin embargo, el SEPD recomienda que el municipio de Elsinore garantice -entre otras cosas, mediante la revisión de las "Condiciones específicas del servicio" de Google Workspace mencionadas en el apartado 10.1 del apéndice del acuerdo- que los datos, como parte de un tratamiento distinto del "almacenamiento", por ejemplo, como parte del servicio general y la asistencia de la infraestructura en nube subyacente, etc., no se transfieran a terceros países, a menos que el municipio de Elsinore dé instrucciones al responsable del tratamiento para que lo haga y proporcione una base válida para la transferencia.

La Autoridad de Protección de Datos considera que el responsable del tratamiento debe proporcionar una base válida para la transferencia a todos los terceros países a los que se puedan transferir datos personales como parte de la prestación de un servicio con arreglo a la base contractual, incluido el servicio y la asistencia.

<h3>Transferencia de datos personales a los Estados Unidos</h3>

Inicialmente, el SEPD observa que -en opinión del SEPD- existe una transferencia intencionada e instruida a los Estados Unidos para el municipio de Helsingør como resultado de la posibilidad acordada de prestar apoyo -en o desde los Estados Unidos- con acceso a datos personales.

Las normas sobre transferencias a terceros países, incluidos los posibles motivos de transferencia, se establecen en el capítulo V del Reglamento de protección de datos.

La norma principal para las transferencias de datos personales a terceros países se establece en el principio general del artículo 44 del RGPD. Este establece que:

<blockquote>

"Toda transferencia de datos personales en curso de tratamiento o destinados a tratamiento a raíz de una transferencia a un tercer país o a una organización internacional sólo podrá tener lugar si el responsable y el encargado del tratamiento cumplen las condiciones establecidas en [el capítulo V], sin perjuicio de las demás disposiciones del presente Reglamento, incluida la transferencia ulterior de datos personales desde dicho tercer país u organización internacional a otro tercer país u organización internacional. Se aplicarán todas las disposiciones del presente capítulo para garantizar que no se menoscabe el nivel de protección garantizado a las personas por el presente Reglamento".

</blockquote>

Así pues, cualquier transferencia de datos personales sólo puede tener lugar si se cumplen las condiciones del capítulo V del Reglamento.

El SEPD entiende el artículo 44 del Reglamento como una obligación tanto para el responsable como para el encargado del tratamiento. Por lo tanto, ambas partes están obligadas a garantizar que se proporciona una base efectiva para la transferencia a la luz de todas las circunstancias de la misma. Esto también se aplica en los casos en que, en la práctica, es el encargado del tratamiento quien ha celebrado un contrato tipo con arreglo al artículo 46, apartado 2, letra c), del Reglamento con cualquier subencargado del tratamiento en terceros países. En este caso, la obligación del responsable del tratamiento es en la práctica garantizar -y poder demostrar al SEPD- que el encargado del tratamiento ha establecido la base de transferencia necesaria y que esta base de transferencia es efectiva a la luz de todas las circunstancias de la transferencia, incluida la aplicación de medidas adicionales cuando sea necesario.

Además, el SEPD opina que, sin perjuicio de las excepciones previstas en el artículo 49 del Reglamento, la redacción del artículo 44, según la cual toda transferencia de datos personales sólo podrá tener lugar si se cumplen las condiciones establecidas en el capítulo V, junto con el principio de que no debe menoscabarse el nivel de protección garantizado por el Reglamento, debe entenderse en el sentido de que toda transferencia debe estar sujeta a las garantías adecuadas. Así pues, no basta con que casi todas las transferencias o un porcentaje de ellas gocen de la protección prevista por el Reglamento, a menos que así se prevea en éste.

Una de las formas de proporcionar una base válida para las transferencias con arreglo al capítulo V es mediante la celebración de un contrato tipo adoptado por la Comisión Europea con la organización del tercer país al que se transfieren los datos, tal como establece el artículo 46, apartado 1, letra c), del Reglamento.

En concreto, el asunto muestra que el Ayuntamiento de Helsingør ha dado instrucciones a su encargado del tratamiento -Google Cloud EMEA Limited en Irlanda- para que transfiera datos personales a un subencargado del tratamiento -Google LLC- en Estados Unidos. La transferencia se realiza sobre la base de un contrato tipo de la Comisión Europea entre Google Cloud EMEA Limited y Google LLC en Estados Unidos. Este contrato tipo se ha utilizado como base para las transferencias a los Estados Unidos desde finales de septiembre de 2021.

En el asunto C-311/18, Schrems II, el Tribunal de Justicia de la Unión Europea ha aclarado que el uso de los contratos tipo de la Comisión de la UE presupone que puede garantizarse un nivel de protección de los datos personales en el tercer país de que se trate que sea esencialmente equivalente al nivel de protección dentro de la UE/EEE[1].

El TJUE señaló además que puede haber situaciones en las que el contrato tipo de la Comisión de la UE no constituya "un medio adecuado para garantizar en la práctica la protección efectiva de los datos personales transferidos al tercer país de que se trate". Tal es el caso, en particular, cuando la legislación de ese tercer país permite a sus autoridades públicas interferir en los derechos de los interesados en relación con esos datos"[2].

En tales casos, cuando el contrato tipo, por su propia naturaleza, no puede ofrecer garantías que vayan más allá de la obligación contractual de garantizar el nivel de protección necesario, pueden ser necesarias medidas adicionales, en función de las circunstancias del tercer país, para garantizar el nivel de protección necesario[3] Dichas medidas adicionales pueden ser técnicas, organizativas o contractuales[4].

Por lo tanto, es necesario examinar, caso por caso, si la legislación del tercer país garantiza el nivel adecuado de protección de los datos personales transferidos sobre la base del contrato tipo y, en caso necesario, adoptar medidas adicionales al contrato tipo[5].

El TJUE también ha evaluado si una legislación estadounidense seleccionada -la Foreign Intelligence Surveillance Act (FISA) sección 702 y la Executive Order 12 333 (E.O. 12 333)- permite a las autoridades públicas estadounidenses interferir en los derechos de los interesados en una medida que no cumple los requisitos mínimos de la legislación de la UE.

La Sección 702 de la FISA (FISA 702) autoriza al gobierno de Estados Unidos a obtener información sobre personas que no son ciudadanos estadounidenses, etc. ("personas no estadounidenses"), y de las que cabe razonablemente esperar que se encuentren fuera de Estados Unidos, con el fin de recabar información de inteligencia extranjera ("información de inteligencia extranjera"). Para ello, se imparten directrices a los "proveedores de servicios de comunicaciones electrónicas" para que faciliten o hagan que se facilite información personal enviada a un "selector" o recibida de él, y una parte de estas comunicaciones se revela también a las autoridades policiales[6].

Con respecto a la O.E. 12333, esta base legal permite a las fuerzas y cuerpos de seguridad acceder a información "en tránsito" hacia Estados Unidos mediante el acceso a cables submarinos, y recopilar y retener dicha información antes de que llegue a Estados Unidos y allí quede sujeta a las disposiciones de la FISA[7].

A continuación, el TJUE sostuvo que ni el artículo 702 de la FISA ni la O.E. 12 333, leídas conjuntamente con la Directiva Política Presidencial-28 (PPD-28), satisfacen el requisito de proporcionalidad del Derecho de la UE, por lo que los programas de vigilancia basados en estas disposiciones no pueden considerarse limitados a lo estrictamente necesario. El Tribunal sostuvo además que la FISA 702 o la O.E. 12 333, leídas conjuntamente con la DDP-28, no otorgan a los interesados derechos oponibles a las autoridades estadounidenses ante los tribunales[8].

A la hora de evaluar si existen circunstancias en Estados Unidos que impidan que el contrato tipo utilizado como base para la transferencia sea un medio suficiente para garantizar un nivel de protección sustancialmente equivalente al existente en la UE/EEE, el Ayuntamiento de Elsinore ha declarado que es probable que Google LLC deba considerarse un "proveedor de servicios de comunicaciones electrónicas", tal como se define este término en 50 U.S.C. § 1881(b)(4).

Del mismo modo, la DPA considera que Google LLC, al prestar el servicio (asistencia, etc.) que da lugar a la transferencia de datos personales a la misma, debe ser considerado un "proveedor de servicios de comunicaciones electrónicas" y, por lo tanto, puede estar sujeto a las directivas de aplicación de la ley en virtud de la ley FISA 702.

Además, el Ayuntamiento de Helsingør ha alegado que existe una alta probabilidad de que no se pueda acceder a la información de que dispone Google LLC per se en virtud de la norma FISA 702, ya que los datos personales no son transferidos por Google LLC, sino a Google LLC con el fin de prestarle asistencia. En concreto, el Ayuntamiento de Elsinore ha argumentado que se trata de una comunicación electrónica a una "persona estadounidense" y que, por lo tanto, las autoridades policiales no pueden obtener esta información a la luz de las restricciones de la ley FISA 702. Además, el Ayuntamiento argumenta que la información personal transferida a Google LLC no constituye información personal de "personas estadounidenses" y que, por este motivo, las autoridades policiales también tienen prohibido recabar la información en virtud de la ley FISA 702.

Tras revisar las restricciones legales a la recopilación de información en virtud de la FISA 702[9], el SEPD opina que las restricciones tienen por objeto impedir la recopilación -tanto directa como indirecta- de información sobre personas estadounidenses, incluidas las empresas, cuando dichas personas son el objetivo de la recopilación.

Así pues, en opinión de la FSA, las restricciones no se aplican si y en la medida en que ciudadanos daneses o el municipio de Helsingør en su conjunto sean objeto de la recogida de información en virtud de la FISA 702.

Además, el SEPD opina que la FISA 702, por su finalidad, proporciona una base jurídica para que las autoridades policiales estadounidenses obtengan información sobre personas extranjeras de las que quepa razonablemente esperar que se encuentren fuera de los Estados Unidos con el fin de recabar información de inteligencia extranjera.

En este contexto, el SEPD considera que los datos personales transferidos a Google LLC podrían ser obtenidos por las autoridades policiales estadounidenses. Para ello, el SEPD ha hecho hincapié en el hecho de que Google LLC debe considerarse un "proveedor de servicios de comunicaciones electrónicas" y que los datos personales transferidos a Google LLC se refieren a los alumnos y empleados del municipio, es decir, a ciudadanos daneses.

Por lo tanto, la Autoridad de Protección de Datos considera que la transferencia de los datos en cuestión está sujeta a condiciones en los Estados Unidos que impiden que el contrato tipo utilizado como base para la transferencia sea un medio suficiente para garantizar un nivel de protección sustancialmente equivalente al existente en la UE/EEE. Por consiguiente, el municipio de Helsingør está obligado a velar por que se adopten medidas adicionales para que el nivel de protección alcance el nivel exigido.

En particular, el SEPD observa que las medidas complementarias contractuales y organizativas no contrarrestarán en general el acceso o la recogida de datos personales por parte de las autoridades policiales estadounidenses con fines de vigilancia. Por lo tanto, serán necesarias medidas técnicas adicionales.

El Ayuntamiento de Helsingør ha declarado que los datos personales se cifran tanto en tránsito como en reposo cuando los datos son transferidos y tratados por Google LLC. Sin embargo, el municipio también ha indicado que Google LLC puede acceder a los datos en texto claro.

El SEPD considera que el cifrado puede ser una medida suplementaria eficaz, adecuada para complementar el contrato tipo de la Comisión Europea y, en general, para elevar el nivel de protección en un tercer país al nivel europeo requerido.

Sin embargo, el SEPD considera que, en el presente caso, el cifrado no es adecuado para abordar las condiciones existentes en los EE.UU. que impiden que el contrato tipo sea un medio suficiente para garantizar la protección efectiva de los datos personales transferidos.

A este respecto, el SEPD ha tenido en cuenta que la recogida de datos personales por parte de las autoridades policiales estadounidenses en virtud de la FISA 702 se lleva a cabo mediante la emisión de directivas a los proveedores de servicios de comunicaciones electrónicas y, por tanto, requiere su asistencia, y que en estas circunstancias los datos personales transferidos pueden obtenerse en virtud de la FISA 702, ya que Google LLC tiene acceso a los datos en texto claro.

En consecuencia, el SEPD considera que los datos personales que el Ayuntamiento de Helsingør ha ordenado a Google Cloud EMEA Limited que transfiera a los Estados Unidos no gozan de un nivel de protección sustancialmente equivalente al de la UE/EEE y que el Ayuntamiento de Helsingør no ha tomado las medidas adicionales necesarias para que el nivel de protección alcance el requerido.

Por consiguiente, el SEPD considera que la transferencia de datos personales que el Ayuntamiento de Helsingør ha encargado a Google Cloud EMEA Limited no es conforme con el artículo 44 del Reglamento de protección de datos, véase el artículo 46, apartado 1, letra c).

<h3>Resumen</h3>

A la vista del requerimiento judicial emitido el 10 de septiembre de 2021 y de la restricción del tratamiento emitida en la misma fecha, y tras revisar la evaluación de riesgos realizada por el Ayuntamiento de Helsingør y la documentación del Ayuntamiento en general, el Supervisor de Protección de Datos considera que existen motivos para prohibir al Ayuntamiento de Helsingør el tratamiento de datos personales utilizando Google Chromebooks y Workspace for Education. La prohibición se aplicará hasta que el Ayuntamiento de Helsingør haya puesto la actividad de tratamiento en conformidad con el RGPD, tal como se establece en la presente Decisión, y haya presentado la documentación adecuada a tal efecto.

Además, cualquier transferencia de datos personales a los Estados Unidos que el Ayuntamiento de Helsingør haya encargado a Google Cloud EMEA Limited que lleve a cabo como encargado del tratamiento de datos para el Ayuntamiento queda suspendida hasta que el Ayuntamiento de Helsingør pueda demostrar el cumplimiento del capítulo V del RGPD.

La prohibición y la suspensión surtirán efecto inmediatamente, pero se concederá al Ayuntamiento de Helsingør un plazo hasta el 3 de agosto de 2022 para retirar y dar de baja a usuarios y derechos, así como para eliminar los datos ya transferidos.

Las prohibiciones se dictan de conformidad con el artículo 58, apartado 2, letras f) y j), del Reglamento de protección de datos.

La infracción de una prohibición dictada por el Supervisor de Protección de Datos se castigará, en virtud del artículo 41, apartado 2, punto 4, de la Ley de Protección de Datos, con una multa o una pena de prisión no superior a seis meses, véase el artículo 41, apartado 1.

Por último, el Supervisor de Protección de Datos encuentra motivos para criticar seriamente el hecho de que el tratamiento de datos personales por parte del Ayuntamiento de Helsingør no se haya llevado a cabo de conformidad con el artículo 5, apartado 2, del Reglamento de Protección de Datos, cf. artículo 5, apartado 1, letra a), artículo 24, cf. artículo 28, apartado 1, artículo 35, apartado 1, y artículo 44, cf. artículo 46, apartado 1.

<h3>Elección de las medidas correctoras</h3>

Al elegir la medida correctora, el SEPD ha hecho hincapié en poner fin rápidamente a la situación ilegal. Además, el SEPD ha dado un peso atenuante al hecho de que el municipio de Helsingør ha contribuido -en todas las fases de la tramitación del caso- de manera positiva y responsable a facilitar la documentación y la claridad necesarias sobre las operaciones de tratamiento, y ha dado un peso especial al hecho de que las transferencias de datos personales en cuestión a los Estados Unidos fueron previamente objeto de una decisión de adecuación de conformidad con el artículo 45 del Reglamento, que expiró.

<h2>Observaciones finales</h2>

El SEPD observa que es responsabilidad del municipio de Helsingør rectificar y suprimir los datos de conformidad con la Decisión. Por consiguiente, el municipio debe ponerse en contacto con los padres de los niños afectados para llevar a cabo las rectificaciones, anonimizaciones o supresiones de los datos personales registrados que los propios padres no puedan realizar en los sistemas en los que se hayan publicado o transmitido inadvertidamente los datos personales de los alumnos.

</blockquote>

Ver fuente en datatilsynet.dk (danés).

</blockquote>

Sólo dos semanas después de Italia, Dinamarca se convierte en el cuarto país que sanciona a Google. Como era de esperar, cada vez más países miembros de la UE llegan a la misma conclusión: Los productos de Google infringen la legislación de la UE.

  1. Dinamarca prohíbe Google Workspace a los ayuntamientos
  2. ¿Por qué los Estados miembros de la UE prohíben Google Analytics?
  3. ¿Por qué no hay un nuevo escudo de privacidad con EE.UU.?
  4. Actualizaciones
  5. ¿Qué nos deparará el futuro?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Dinamarca prohíbe Google Workspace a los ayuntamientos

En su comunicado, la Autoridad Danesa de Protección de Datos (DPA) ha analizado un caso concreto, el uso de Chromebooks y Workspace, por parte del municipio de Helsingør.

En septiembre de 2021, la DPA de Dinamarca emitió una decisión en la que ordenaba al municipio de Helsingør que llevara a cabo una evaluación de riesgos del tratamiento de datos personales por parte del municipio en las escuelas primarias.

Basándose en los resultados de la evaluación, la DPA ha concluido que el tratamiento no cumple los requisitos del GDPR. Han llegado a la conclusión de que los datos podrían transferirse a terceros países (léase Estados Unidos) sin el nivel de seguridad requerido.

A la luz de esta conclusión, se suspende al municipio de Helsingør de las operaciones de tratamiento que impliquen la transferencia de datos personales a EE.UU.. Además, ha recibido de la DPA danesa una prohibición general de tratamiento con Google Workspace.

La DPA añadió que las decisiones probablemente se aplicarán a otros municipios que utilicen el mismo diseño de procesamiento.

La suspensión entrará en vigor inmediatamente, pero el municipio de Helsingør tiene hasta el 3 de agosto de 2022 para eliminar los datos ya transferidos.

En la declaración de Datatilsynet DK, las sanciones sólo se aplican a los municipios. Nos pusimos en contacto con Allan Frank, que redactó esta declaración como especialista en seguridad informática y abogado de la agencia danesa de protección de datos (Datatilsynet DK). Le preguntamos si las sanciones se aplican sólo a los municipios o en general. Su respuesta:

"Tanto sí como no, esta declaración se refiere a los libros cromados y al espacio de trabajo en las escuelas públicas danesas. Pero estos principios se aplican a todos los servicios prestados en la nube, aunque en Dinamarca tomamos decisiones en casos concretos. Pueden aplicarse a otras situaciones (similares) sólo si el hecho jurídico puede considerarse el mismo".

Creemos que el fundamento jurídico para las empresas es el mismo. Están enviando datos personales a Estados Unidos, sobre todo porque no es la primera agencia de protección de datos de la UE que prohíbe los productos de Google. Sin embargo, aún no se ha tomado ninguna decisión formal para las empresas normales.

Denmark bans Google Products

¿Por qué los Estados miembros de la UE prohíben Google Analytics?

Tenemos que remontarnos a julio de 2020, cuando NOYB (una ONG de derechos digitales) presentó una denuncia en la que argumentaba que la transferencia de datos a Estados Unidos viola el GDPR. Esto se conoció como Schrems II.

El único mandato del GDPR es proteger la privacidad de los ciudadanos de la UE. Cuando los datos personales se transfieren a EE.UU., esto ya no está garantizado. Google (y muchos otros) se califica como "proveedor de servicios de comunicación electrónica", lo que significa que Google está obligado a revelar datos a los servicios de inteligencia estadounidenses (si se lo piden). Como consecuencia, los datos personales de los ciudadanos de la UE no están suficientemente protegidos cuando se transfieren al extranjero.

NOYB invalidó con éxito el escudo de privacidad (puesto en marcha para salvaguardar la transferencia de datos), y las medidas adicionales de Google han sido declaradas insuficientes.

Francia (CNIL) prohibió Google Analytics en febrero de este año y proporcionó nuevas directrices en junio. En el tiempo transcurrido entre ambos acontecimientos, Google ha propuesto diferentes soluciones que han sido todas desechadas:

  • Solución 1: La anonimización de los datos personales
  • Solución 2: El uso de identificadores únicos

En primer lugar, Google no pudo demostrar que la anonimización de datos se produjo antes de la transferencia de datos a EE.UU. En segundo lugar, Google puede enriquecer los identificadores únicos y combinarlos con otros datos. La CNIL llegó a la conclusión de que sigue siendo técnicamente imposible utilizar Google Analytics de forma que cumpla el RGPD.

Mientras los datos personales de los ciudadanos de la UE no estén plenamente protegidos, los productos de Google infringirán la legislación de la UE.

¿Por qué no hay un nuevo escudo de privacidad con EE.UU.?

Poco después de que Francia (CNIL) prohibiera Google Analytics en febrero, la UE y EE.UU. llegaron a un acuerdo. Puede leer ambas declaraciones aquí y aquí. El acuerdo, sin embargo, era un acuerdo político sin documento legal. En otras palabras, el acuerdo tiene cero méritos legales.

Para llegar a un acuerdo que funcione, necesitamos un documento legal que los abogados puedan analizar. Redactarlo puede llevar un tiempo. El segundo paso es que la Comisión Europea tendrá que tomar una "decisión de adecuación" sobre el mismo, que tendrá que ser revisada primero por el EDPD (European Data Protection).

Al otro lado del charco, el Presidente Biden tiene que firmar una orden ejecutiva. Este proceso también llevará varios meses y sólo podrá ponerse en marcha cuando exista un documento legal. Por último, el acuerdo debe aprobarse formalmente antes de que las organizaciones puedan utilizarlo.

El reciente anuncio hizo que un acuerdo pareciera muy cercano, pero aún estamos lejos de uno que sea válido. Mientras tanto, seguir utilizando los productos de Google es contrario a la legislación de la UE.

Actualizaciones

El nuevo marco de transferencia de datos con EE.UU. va por buen camino. La Comisión de la UE publicó un proyecto de propuesta. La aprobación de los Estados miembros es casi segura, pero el borrador también se enfrentará seguramente a la impugnación del Tribunal de Justicia. En otras palabras, estamos ante una sentencia Schrems III. Es difícil saber cómo se desarrollará, por lo que el futuro de las transferencias de datos sigue siendo incierto.

También hay novedades sobre el caso Google Workspace:

  • en agosto de 2022, la DPA tomó otras decisiones sobre el caso, confirmando su postura
  • en septiembre de 2022, la DPA ordenó a otros 50 ayuntamientos que pusieran en conformidad su tratamiento de datos. Mientras tanto, la orden de desestimar el uso de Google Workspace se suspendió para el municipio de Helsingor
  • los municipios y Google debatieron las cuestiones de privacidad en cuestión y facilitaron a la DPA nueva documentación sobre Google Workspace. La DPA volverá a examinar el caso.

La DPA también publicó un comunicado de prensa sobre el uso de Google Analytics en septiembre de 2022. En la práctica, la DPA prohibió básicamente el uso de Google Analytics en Dinamarca, siguiendo el ejemplo de las autoridades austriacas, francesas e italianas. Puede leer más sobre el comunicado de prensa aquí.

¿Qué nos deparará el futuro?

Antes de hablar del futuro, echemos un vistazo al pasado. Hasta ahora, hemos visto

  • Agosto de 2020: Schrems ii invalida el Escudo de la privacidad
  • Diciembre de 2021: Austria (DSB) prohíbe Google Analytics
  • Febrero de 2022: Francia (CNIL) prohíbe Google Analytics
  • Marzo de 2022: la UE y EE.UU. llegan a un acuerdo político
  • Junio de 2022: Italia prohíbe Google Analytics
  • Junio de 2022: la APD irlandesa se acerca a la prohibición de Facebook en la UE
  • Julio de 2022: Dinamarca prohíbe los productos de Google.

Las agencias de protección de datos muestran por fin sus dientes prohibiendo Google Analytics hasta que se adopten las medidas adecuadas.

La lucha por la privacidad continúa y, mientras no se llegue a un acuerdo, veremos cómo cada vez más Estados miembros de la UE concluyen que las transferencias de datos a EE.UU. violan la ley GDPR.

Por supuesto, estamos un poco predispuestos a estas noticias, porque dirigimos un competidor de Google Analytics. Pero lo hacemos porque nos importa. Creemos sinceramente que se puede seguir aportando valor sin rastrear a las personas. Por eso creamos Simple Analytics, una herramienta de análisis que da prioridad a la privacidad. ¿Quieres saber cómo nos comparamos? Lea la entrada de nuestro blog o pruébenos. Gracias por leernos y luchemos por un futuro más privado.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días