Italia se ha convertido en el tercer país que se pronuncia oficialmente en contra del uso de Google Analytics. La noticia ha saltado hoy después de que un minucioso examen concluyera que Google Analytics infringía la ley GDPR. Puede consultar el comunicado aquí.
Consulte el artículo completo aquí
<blockquote><h2>La SV italiana prohíbe el uso de Google Analytics</h2><h3>No hay garantías adecuadas para la transferencia de datos a EE.UU.</h3>
Un sitio web que utiliza Google Analytics (GA) sin las salvaguardias establecidas en el GDPR de la UE viola la ley de protección de datos porque transfiere los datos de los usuarios a los EE.UU., que es un país sin un nivel adecuado de protección de datos.
La SV italiana llegó a esta conclusión tras un complejo ejercicio de investigación que había iniciado en estrecha coordinación con otras autoridades de protección de datos de la UE a raíz de las denuncias que había recibido. La SV italiana descubrió que los operadores de sitios web que utilizaban GA recopilaban, a través de cookies, información sobre las interacciones de los usuarios con los respectivos sitios web, las páginas visitadas y los servicios ofrecidos. El variado conjunto de datos recogidos a este respecto incluía la dirección IP del dispositivo del usuario junto con información sobre el navegador, el sistema operativo, la resolución de pantalla, el idioma seleccionado, la fecha y la hora de visualización de la página. Se descubrió que esta información se transfería a Estados Unidos. Al determinar que el tratamiento era ilegal, la SA italiana reiteró que una dirección IP es un dato personal y no se anonimizaría aunque se truncara, dada la capacidad de Google para enriquecer esos datos mediante información adicional que posee.
Sobre la base de las conclusiones anteriores, la Autoridad Científica italiana adoptó una decisión, a la que seguirían otras, por la que amonestaba a Caffeina Media S.r.l. -operador de un sitio web- y le ordenaba que ajustara el tratamiento al RGPD en un plazo de noventa días. Este plazo se consideró apropiado para permitir al operador aplicar medidas adecuadas en relación con la transferencia de datos; si se comprueba que no es así, se ordenará la suspensión de los flujos de datos relacionados con el RGPD a los EE.UU.
La SV italiana destacó, en particular, que las agencias gubernamentales y de inteligencia con sede en EE.UU. pueden acceder a los datos personales que se transfieren sin las salvaguardias requeridas; señaló a este respecto que las medidas adoptadas por Google para complementar los instrumentos de transferencia de datos no garantizaban un nivel adecuado de protección de los datos personales de los usuarios a la luz de las orientaciones proporcionadas por la EDPB a través de sus Recomendaciones n.º 1/2020 de 18 de junio de 2021.
La Autoridad Científica italiana desea llamar la atención de todos los operadores de sitios web italianos, tanto públicos como privados, sobre la ilegalidad de las transferencias de datos a los EE.UU. como resultado del uso de GA, en parte debido a las numerosas alertas y consultas recibidas hasta la fecha. La SV italiana pide a todos los responsables del tratamiento que comprueben que el uso de cookies y otras herramientas de seguimiento en sus sitios web se ajusta a la legislación sobre protección de datos; esto se aplica en particular a Google Analytics y servicios similares.
Una vez expirado el plazo de 90 días establecido en su decisión, la SV italiana comprobará que las transferencias de datos en cuestión se ajustan al RGPD de la UE, incluso mediante inspecciones ad hoc.
Roma, 23 de junio de 2022
</blockquote>Esta noticia llega una semana después de que la CNIL (Agencia Francesa de Protección de Datos) publicara unas directrices sobre el asunto de Google Analytics. Estas directrices son el resultado de las declaraciones realizadas a principios de este año en las que la CNIL prohibía el uso de Google Analytics.
Cada vez son más las autoridades que se pronuncian en contra de Google Analytics. Esto no es sorprendente: Las autoridades europeas de protección de datos coordinaron su enfoque de los casos de transferencia de datos de Google Analytics. Con la coordinación a nivel europeo y las influyentes APD francesas e italianas a la cabeza, esperamos que más autoridades sigan el ejemplo.
- ¿Es realmente ilegal Google Analytics en Italia?
- ¿Qué ha dicho exactamente el GPDP?
- El problema de las transferencias de datos
- Directrices de la CNIL francesa sobre Google Analytics
- ¿Cuáles son los riesgos de seguir utilizando Google Analytics en Italia?
- ¿Existen diferentes proveedores europeos de análisis?
- ¿Cómo puede estar seguro de que otros proveedores de análisis cumplen con el GDPR?
- Actualizaciones
- Reflexiones finales
Entremos en materia.
¿Es realmente ilegal Google Analytics en Italia?
En teoría, no. En la práctica, sí.
El GPDP no dice exactamente que no se puede utilizar Google Analytics. Sólo prohíbe hacerlo a un sitio web específico.
Entonces, ¿a qué viene todo este alboroto? Bueno, la decisión del GPDP puso de relieve la falta de salvaguardias en las transferencias de datos que se requieren para ejecutar Google Analytics. En teoría, otro sitio web podría aplicar mejores salvaguardias y utilizar Google Analytics de conformidad con el RGPD. Pero en la práctica, ningún sitio web está en condiciones de hacerlo (como explicamos aquí).
Así que, aunque la sentencia no prohíbe técnicamente Google Analytics, sienta un precedente que prácticamente equivale a una prohibición a escala estatal. Lo mismo ocurre con todas las decisiones adoptadas hasta la fecha. En la práctica, Google Analytics está prohibido en Austria, Francia e Italia (edición: y ahora también en Hungría).
Los profesionales de la privacidad y el marketing son muy conscientes de que las recientes decisiones contra Google Analytics equivalen prácticamente a declararlo ilegal. Por eso han llamado tanto la atención de los medios de comunicación.
Cae la siguiente ficha de dominó: Italia prohíbe Google Analytics
¿Qué ha dicho exactamente el GPDP?
Un medio de comunicación italiano (caffeinamagazine) utilizaba Google Analytics. Cuando Google Analytics procesa datos, la información se envía desde Google Irlanda a su empresa matriz Google en Estados Unidos. Esta transferencia de datos sólo es lícita en virtud del RGPD cuando los derechos de protección de datos del usuario pueden protegerse adecuadamente. Según la sentencia Schrems II, el responsable del tratamiento de los datos debe aplicar salvaguardias efectivas para mantener la confidencialidad de los datos frente a la vigilancia estadounidense.
El GPDP examinó todas las salvaguardias existentes para las transferencias de datos y las consideró insuficientes. El cifrado (no de extremo a extremo) es insuficiente porque Google tiene la clave y se le puede exigir que la entregue a las agencias estatales. Las salvaguardias contractuales establecidas entre Google Ireland y Google son insuficientes sin medidas técnicas. El GPDP también aclaró que la dirección IP del usuario es un dato personal incluso cuando Google la anonimiza, porque Google emplea una anonimización muy débil.
Nada de esto es nuevo. De hecho, el GPDP no hace sino repetir lo que ya aclararon las APD austriaca y francesa, y todas las autoridades se limitan a aplicar los criterios establecidos por la sentencia Schrems II.
El problema de las transferencias de datos
Pero, ¿por qué son tan problemáticas las transferencias de datos a Estados Unidos? ¿Por qué necesitamos salvaguardias para ellas? Empresas como Google, Facebook y AWS pueden verse obligadas a entregar datos personales de extranjeros a agencias estadounidenses en virtud de la legislación estadounidense (FISA Sección 702).
Los problemas de privacidad de Google no son nada nuevo. En 2013, los archivos Snowden revelaron que los datos personales de ciudadanos extranjeros podían ser objeto de una vigilancia estatal invasiva cuando se transferían a Estados Unidos. Las revelaciones de Snowden destaparon dos amplios programas de recopilación de inteligencia (Upstream y PRISM) autorizados por la FISA. La preocupación por el amplio alcance de la FISA y la falta de recursos efectivos contra la vigilancia estadounidense llevaron al Tribunal de Justicia de la UE a invalidar dos marcos de transferencia de datos entre la UE y Estados Unidos en las históricas sentencias Schrems I y II.
La sentencia Schrems II de 2020 tiene implicaciones de gran alcance para las empresas europeas. En principio, los datos pueden seguir transfiriéndose a EE.UU. sin ningún marco de transferencia de datos. Sin embargo, el TJUE aclaró que las empresas europeas deben garantizar la confidencialidad de las transferencias de datos mediante la aplicación de salvaguardias adecuadas contra la vigilancia estatal. En términos prácticos, esto es difícil de hacer y totalmente imposible para ciertos servicios basados en la nube (escribimos sobre esto aquí).
A raíz de Schrems II, la ONG de defensa de la privacidad noyb presentó 101 denuncias idénticas contra transferencias de datos centradas en el uso de Google Analytics y Facebook Connect. Las denuncias afectan a todas las APD de la UE y constituyen un esfuerzo estratégico para empujar a Europa hacia una aplicación más estricta de las normas aclaradas en Schrems II.
Como hemos dicho, las APD coordinaron su enfoque de estas denuncias a escala europea. Como resultado, tres APD europeas (la DSB austriaca, la CNIL francesa y, ahora, la GPDP italiana) (actualización: y la NAIH húngara) fallaron en contra del uso de Google Analytics. En consonancia con la sentencia Schrems II, las APD consideraron que las transferencias de datos de Google Ireland a Google LLC eran ilegales porque carecían de garantías efectivas contra la vigilancia estadounidense.
Directrices de la CNIL francesa sobre Google Analytics
En sus preguntas y respuestas de la semana pasada, la CNIL abordó todas las cuestiones planteadas tras anunciar la ilegalidad de Google Analytics en febrero de este año. Desde entonces, Google ha sugerido diferentes enfoques para garantizar que Google Analytics pueda utilizarse de forma segura dentro de la legislación de la UE. Sin embargo, la CNIL llegó a la conclusión de que es técnicamente imposible utilizar Google Analytics de forma conforme.
Google ha sugerido diferentes soluciones que fueron rechazadas por la CNIL:
- La anonimización de IP no es una solución válida porque Google no pudo demostrar que la anonimización tiene lugar antes de transferir los datos a EE.UU.
- El cifrado de datos es una salvaguarda ineficaz porque Google posee las claves y se le puede exigir que las entregue a organismos estatales.
La única solución a la que podría estar abierta la CNIL es la anonimización total de todos los datos personales a través de un servidor proxy. Esta solución es cara y onerosa para la mayoría de las empresas. También imposibilita el uso de cookies, lo que limita seriamente las capacidades analíticas de Google Analytics.
¿Cuáles son los riesgos de seguir utilizando Google Analytics en Italia?
Si utiliza Google Analytics en Italia, no está cumpliendo con el GDPR. Si alguien presenta una queja o la DPA investiga sus transferencias, podría tener problemas.
Cabe señalar que la DPA italiana anunció nuevas investigaciones (traducción al inglés más abajo) sobre el uso de Google Analytics tanto de empresas como de instituciones, por lo que la autoridad está adoptando un enfoque proactivo en la materia. Podemos esperar más casos sobre Google Analytics, incluidas investigaciones de volición propia.
¿Existen diferentes proveedores europeos de análisis?
Sí, los hay. Hemos creado Simple Analytics para ofrecerle una herramienta de análisis web respetuosa con la privacidad y conforme con el GDPR. También existen otras alternativas; puede consultar alternativeto.net para obtener ideas.
¿Cómo puede estar seguro de que otros proveedores de análisis cumplen con el GDPR?
El hecho de que no utilice Google Analytics no significa que cumpla la normativa. Y el hecho de que un proveedor sea europeo no significa que no dependa de procesadores con sede en Estados Unidos. Debe leer detenidamente todas las condiciones y la documentación de cada proveedor y evaluar sus políticas.
Tenga en cuenta que elegir un proveedor que cumpla las normas es sólo una parte de la cuestión: usted también es responsable del cumplimiento y debe poner de su parte.
Debe respetar la elección del usuario y configurar su herramienta de análisis de forma que no se escriban cookies analíticas o publicitarias sin su consentimiento o antes de recabarlo. Muchos sitios web no lo hacen, y es enteramente culpa suya: ¡su software no tiene nada que ver! También debes proporcionar información suficiente y precisa a tu audiencia y asegurarte de que recoges el consentimiento a través de un banner de cookies que cumpla con el GDPR, ya sea implementándolo tú mismo desde cero o eligiendo la configuración compatible para tu Plataforma de Gestión de Consentimiento.
(Tratamos el tema de los banners de cookies en otro blog, no dudes en echarle un vistazo si tienes curiosidad)
Actualizaciones
Han pasado muchas cosas en los meses siguientes a la decisión del GPDP, así que aquí van algunas actualizaciones:
- El GPDP decidió sobre otras dos de las quejas, fallando de nuevo en contra del uso de Google Analytics. Esto confirma lo que ya era obvio: el primer caso sentó un precedente crucial, y cualquier otro caso se decidirá en consecuencia. La segunda y tercera decisiones fueron literalmente un calco de la primera.
- La DPA danesa adoptó esencialmente el mismo enfoque en un comunicado de prensa sobre el uso de Google Analytics.
- El Defensor del Pueblo fin landés se unió a la DSB, la CNIL y la GPDP para fallar en contra de Google Analytics.
- En un caso aún pendiente, el Datatilsynet noruego llegó a la conclusión preliminar de que el uso de Google Analytics es ilegal.
- Está en camino un nuevo marco para las transferencias de datos entre la UE y Estados Unidos. El nuevo marco sigue siendo problemático en algunos aspectos y sin duda se enfrentará a un desafío en los tribunales. Estamos ante otra sentencia Schrems, y es difícil saber cómo se desarrollará.
- Meta Ireland fue multada con 1.200 millones de euros y se le ordenó suspender las transferencias de datos para Facebook. Las cuestiones jurídicas son las mismas que se plantearon en las decisiones contra Google Analytics. Hemos analizado en detalle esta importante decisión.
- Escribimos dos blogs sobre las transferencias de datos en general y los problemas de Google Analytics con las transferencias de datos. En ellos encontrarás información más detallada sobre estos temas.
Reflexiones finales
Antes de concluir, puede que merezca la pena resumir lo que hemos visto:
- Varias APD han fallado en contra de Google Analytics hasta la fecha.
- Las APD siguen un enfoque coordinado, y dos APD influyentes lideran el camino. Es probable que otras autoridades sigan el ejemplo (actualización: la APD húngara lo ha hecho).
- Las decisiones son casi idénticas y prácticamente equivalen a una prohibición estatal.
También cabe mencionar: Los consumidores exigen privacidad.
El entorno empresarial está cambiando, y usted debe preguntarse si quiere avanzar con él o aferrarse a las viejas creencias y prácticas.
Google incluso se está alejando de su versión actual de Google Analytics al eliminar Universal Analytics en favor de GA4. En un comunicado, anunciaron que la privacidad es uno de los principales motivos del cambio. Aunque GA4 sigue sin ser respetuoso con la privacidad, al menos reconocen que el mundo está cambiando.
Existen alternativas a Google Analytics que realmente se preocupan por la privacidad de sus usuarios. Simple Analytics es una de ellas, pero antes de decirte que somos los mejores, hemos creado una comparación en profundidad con otras alternativas respet uosas con la privacidad para que tomes tu propia decisión.
Creemos que no se trata sólo de cumplir la ley. Sí, eso también es importante. Pero va más allá. Creemos que se pueden tomar decisiones basadas en los datos del sitio web sin necesidad de recopilar datos personales ni de rastrear a las personas.
Por eso hemos creado Simple Analytics. Para proporcionarle la información que necesita y, al mismo tiempo, proteger la privacidad de sus usuarios y cumplir al 100% con la GDPR. Si esto te suena, no dudes en probarnos.