¿Es ilegal Google Analytics en Europa?

Image of Iron Brands

Publicado el 14 oct 2022 y editado el 19 dic 2023 por Iron Brands

Google Analytics ha estado últimamente en primera plana de las noticias sobre privacidad. Austria, Francia, Italia, Dinamarca y Finlandia se han posicionado en contra de Google Analytics, y la autoridad noruega de protección de datos también falló provisionalmente en contra de Google Analytics en un caso aún pendiente. Las sentencias forman parte de un esfuerzo coordinado a escala europea y se han estado preparando durante mucho tiempo.

GA es la herramienta de análisis por defecto, y la utiliza el 55% de todos los sitios web de la red. Ha sido durante mucho tiempo un monopolio en el mercado de la analítica web, y sus problemas legales están enviando ondas a través del paisaje de marketing en Europa. En este clima de pánico general, puede resultar difícil entender qué dictaminan exactamente las autoridades europeas. ¿Es realmente ilegal Google Analytics en Europa?

  1. Antecedentes de Google Analytics y GDPR
  2. ¿Qué han dicho realmente las autoridades?
  3. ¿Dónde es ilegal Google Analytics?
  4. ¿Dónde más será ilegal Google Analytics?
  5. ¿Qué pasa con el nuevo marco de transferencia de datos?
  6. Actualizaciones
  7. Reflexiones finales
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Entremos en materia.

Antecedentes de Google Analytics y GDPR

Google Analytics fue objeto de críticas porque requiere la transferencia de datos personales a los EE.UU. para su procesamiento. Las transferencias de datos a los EE.UU. son un rompecabezas legal en este momento. Es una larga historia, y puedes leerlo todo aquí. En pocas palabras:

  • La sentencia Schrems II del Tribunal de Justicia obliga a las empresas a aplicar garantías adecuadas (comúnmente denominadas medidas complementarias) al transferir datos a EE.UU. para protegerlos de la vigilancia estatal
  • La ONG noyb presentó 101 denuncias contra Google Analytics y Facebook Connect para impulsar a las autoridades europeas hacia una aplicación más estricta de la sentencia Schrems II.
  • El Consejo de Autoridades Europeas de Supervisión (EDPB) coordinó la respuesta a las denuncias a nivel europeo.
  • Varias Autoridades Europeas de Protección de Datos (AEPD) han "vetado" a GA en sus respectivos países1.

¿Qué han dicho realmente las autoridades?

Las denuncias y decisiones sobre Google Analytics son muy similares. Así es como se han desarrollado hasta ahora:

  • Un interesado representado por noyb alegó que un sitio web que utilizaba GA transfirió sus datos personales a EE.UU. sin garantías efectivas.
  • El propietario del sitio web alegó que las salvaguardias establecidas en las condiciones de servicio de GA eran suficientes.
  • La APD examinó las salvaguardias y concluyó que eran ineficaces contra la vigilancia estatal.
  • La DPA ordenó al sitio web que dejara de utilizar GA (o que aplicara salvaguardias más estrictas, lo cual es imposible).

Según el caso Schrems II, las medidas suplementarias para las transferencias de datos deben evaluarse caso por caso. Por lo tanto, una APD no puede declarar ilegal Google Analytics per se porque, en teoría, otro sitio web podría aplicar salvaguardias más estrictas y utilizar GA legalmente.

Teoría" es la palabra clave aquí. En la práctica, las medidas complementarias son elegidas por Google y aceptadas por cualquier empresa que acepte las Condiciones de servicio estándar de GA. Dado que todas las empresas aceptan exactamente las mismas Condiciones del servicio, las medidas complementarias son siempre las mismas. Si una APD considera que las medidas son inadecuadas en un caso concreto, hará lo mismo en casos futuros porque todos los casos son calcos unos de otros.

Pero, ¿no puede un sitio web aplicar sus propias medidas complementarias además de las de Google? Por desgracia, no. Hay muy pocas salvaguardas eficaces contra la vigilancia estatal, y ninguna de ellas puede utilizarse para Google Analytics (escribimos más sobre este tema en nuestro blog sobre transferencia de datos). Un servidor proxy podría ser una solución eficaz, pero limita en gran medida las capacidades analíticas de GA y su implantación resulta onerosa.

En resumen: las decisiones se refieren a sitios web específicos, pero como todos los sitios web utilizan las mismas salvaguardias, cada decisión sienta un precedente general que prácticamente equivale a una prohibición a escala estatal.

Is google analytics illegal in Europe

¿Dónde es ilegal Google Analytics?

Hasta ahora, tres APD han fallado en contra de GA: la DSB austriaca, la CNIL francesa y la GPDP italiana. Esto significa que Google Analytics está prácticamente prohibido en Austria, Francia e Italia. Cabe señalar que la CNIL y el GPDP son bastante influyentes a nivel europeo: si adoptan el enfoque coordinado por el grupo de trabajo de la EDPB, es probable que otras APD sigan su ejemplo.

La situación italiana es peculiar. En un comunicado de prensa tras su primera decisión contra GA, la DPA italiana advirtió de que investigaría más a fondo el uso de herramientas analíticas (especialmente GA) para los responsables del tratamiento de datos italianos, incluidas las administraciones públicas. Además, el grupo hacktivista MonitoraPA (que se traduce como monitorización de la administración pública) envió un correo electrónico a miles de empresas públicas y privadas y les pidió que dejaran de utilizar Google Analytics y Google Fonts, amenazando con emprender acciones legales ante la DPA. La iniciativa de MonitoraPA es algo controvertida y muy discutida en la comunidad italiana de la privacidad y entre los profesionales del marketing.

En la práctica, GA también está prohibido en Dinamarca. La DPA danesa no participó en las 101 denuncias y no resolvió ningún caso sobre GA. En su lugar, examinó los GA por su cuenta después de que otras DPA se pronunciaran en contra de los GA y declaró en un reciente comunicado de prensa que no pueden utilizarse legalmente a menos que se apliquen medidas complementarias eficaces. El único ejemplo que proporcionaron fue una referencia a la sugerencia de la CNIL y la EDPB de crear un servidor proxy para anonimizar todos los datos personales. Esto es muy complejo y prohibitivamente caro para la mayoría de las empresas.

Existe un debate sobre si las declaraciones se aplican a todas las versiones de Google Analytics o sólo a la versión actual (universal analytics). La respuesta corta es que se aplica a todas las configuraciones o versiones de Google Analytics. Hemos escrito sobre esto más extensamente en este blog.

¿Dónde más será ilegal Google Analytics?

Las quejas de Noyb se presentaron ante todas las APD europeas. Por el momento no se conocen detalles sobre las denuncias, pero como ya hemos explicado, es probable que algunas APD sigan el ejemplo de Austria, Francia e Italia.

En particular, en un comunicado de prensa de enero, la DPA holandesa anunció que estaba investigando a dos controladores por utilizar GA y que podría fallar en contra de GA en 2023. Por el momento no se dispone de más detalles sobre los casos.

Cabe mencionar que la DPA irlandesa redactó un borrador de decisión para cerrar las transferencias de datos de Meta Platform Ireland a Meta en Estados Unidos. El proyecto se ha presentado ahora a la DPA, por lo que el resultado del caso es aún incierto. El caso no afecta a Google, pero los problemas fundamentales de las transferencias de datos de Meta son los analizados por las APD en las denuncias de noyb, por lo que podría sentar un precedente importante para otras empresas, incluida Google. Un precedente irlandés sería importante porque muchas multinacionales tecnológicas estadounidenses tienen sucursales europeas en Irlanda.

¿Qué pasa con el nuevo marco de transferencia de datos?

Recientemente, el Presidente de Estados Unidos, Joe Biden, ha publicado una orden ejecutiva sobre los programas de vigilancia estadounidenses. El objetivo es reducir las prácticas de vigilancia estadounidenses y crear un nuevo marco para la transferencia de datos.

No es el primer marco de transferencia de datos entre Estados Unidos y la UE. Existían dos marcos anteriores (Safety Harbor y Privacy Shield), y el TJUE invalidó ambos en las sentencias Schrems I y II por motivos de vigilancia. El nuevo marco será sin duda impugnado ante los tribunales, probablemente por el propio Schrems y noyb. Esta es la razón por la que la nueva orden ejecutiva aborda las prácticas de vigilancia: el Presidente está intentando solucionar los problemas señalados en la sentencia Schrems II para que el nuevo marco pueda sobrevivir a Schrems III.

Los responsables del tratamiento de datos no podrán basarse en el nuevo marco de transferencia de datos hasta que la Comisión Europea adopte una decisión de adecuación. Es casi seguro que esto ocurrirá, pero no está claro cuándo, probablemente tardará varios meses. Y lo que es más importante, la decisión de adecuación tendrá que sobrevivir a una decisión Schrems III posterior, cosa que dudamos.

Actualizaciones

El nuevo marco de transferencia de datos está en camino. En diciembre de 2022, la Comisión Europea publicó un proyecto de decisión de adecuación. El proyecto aún debe ser votado por los Estados miembros. Una vez aprobado, Estados Unidos tendrá "luz verde" como destino seguro para las transferencias de datos. A pesar de la opinión negativa del Parlamento de la UE, la aprobación del proyecto es bastante probable, pero también lo es la impugnación legal ante el Tribunal de Justicia, como ya hemos dicho.

En julio, el trabajo político en torno al próximo marco de transferencia de datos UE-EE.UU. no ha frenado la tendencia hacia una aplicación estricta de las normas de transferencia de datos por parte de las autoridades europeas. Las autoridades de privacidad finlandesas y noruegas también fallaron en contra de Google Analytics (aunque la decisión noruega es sólo preliminar).

Además, la autoridad irlandesa de protección de la intimidad impuso a Meta una multa récord de 1.200 millones por transferencias ilegales de datos a Estados Unidos y ordenó a la empresa que cesara las transferencias de datos para Facebook (lo que implica la posibilidad muy real de un apagón de Facebook para Europa en los próximos meses). La implicación directa del Consejo Europeo de Protección de Datos en el caso de Meta pone de manifiesto que, ahora más que nunca, las autoridades de protección de la intimidad tienen una posición clara y común sobre las transferencias de datos, lo cual es una mala noticia para Google Analytics.

Puede obtener más información sobre el caso Meta aquí.

Reflexiones finales

Es difícil decir ahora mismo cómo se desarrollará Schrems III. La nueva orden ejecutiva y el posible resultado de Schrems III serán un tema candente en la comunidad de la privacidad durante los próximos meses.

Independientemente de que la decisión de adecuación sobreviva o no a Schrems III, Google Analytics es una herramienta que invade la privacidad. Desde un punto de vista ético, creemos que Google no está ayudando a crear una web independiente que sea amigable para los visitantes de los sitios web. ¿Y por qué debería hacerlo? Están ganando miles de millones con Google Analytics.

Esta es la razón por la que hemos creado Simple Analytics. Una herramienta de análisis web que le proporciona la información que necesita sin ningún tipo de seguimiento o recopilación de datos personales.

No dudes en probarla si quieres apoyar a una empresa independiente que intenta crear una web amigable para los visitantes.

#1 El gpdrhub ofrece resúmenes de las decisiones austriaca, francesa e italiana.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días