Google Analytics es un tema candente en las comunidades italianas de privacidad y marketing en estos momentos. La autoridad italiana de protección de datos (GPDP) falló en contra de GA en junio y anunció investigaciones sobre el uso de la herramienta entre empresas y administraciones públicas.
Pero aún hay más: El grupo hacktivista MonitoraPA envió miles de correos electrónicos exigiendo a las administraciones que abandonaran tanto GA como Google Fonts.
Además, enviaron advertencias similares a los sitios web de los partidos políticos italianos. Además, enviaron miles de solicitudes de acceso a escuelas italianas, exigiendo información sobre el tratamiento de los datos de los alumnos. Al mismo tiempo, el activista italiano Federico Leva envió innumerables correos electrónicos a sitios web italianos utilizando GA para que borraran sus datos personales. Todas estas peticiones están respaldadas por acciones legales.
Es difícil averiguar qué está pasando y cuáles son las implicaciones, por eso estamos aquí para arrojar algo de luz. (Nota: algunos de los enlaces de los siguientes textos están sólo en italiano, ya que no hay cobertura internacional para algunos de nuestros temas).
¡Entremos en materia!
¿Qué le pasa a Google Analytics?
Ya escribimos extensamente sobre los problemas de cumplimiento de Google Analytics, así que aquí va un resumen muy breve:
En 2020, la sentencia Schrems II determinó que el marco jurídico estadounidense no podía ofrecer suficiente protección a los datos europeos debido a lo invasivas que eran las prácticas de vigilancia estadounidenses.
Poco después de la sentencia Schrems II, la ONG austriaca de defensa de la privacidad noyb presentó 101 denuncias sobre transferencias de datos en un esfuerzo estratégico por empujar a las APD hacia una aplicación estricta de la sentencia Schrems II. Las APD coordinaron su enfoque de las reclamaciones a escala europea y, como resultado, tres APD han dictaminado en contra del uso de Google Analytics hasta la fecha (la DSB austriaca, la CNIL francesa y la GPDP italiana). Además, la autoridad danesa adoptó la misma postura que las demás en un comunicado de prensa.
Es probable que otras APD adopten posiciones similares en el futuro. La CNIL y el GPDP son APD respetadas e influyentes, y es probable que otras sigan su ejemplo. Y no olvidemos que Meta Ireland fue sancionada con una multa de 1.200 millones de euros y se le ordenó suspender las transferencias de datos por exactamente los mismos problemas legales que están en juego en los casos de Google Analytics.
En noticias más recientes, la Comisión Europea y la Casa Blanca han acordado recientemente un nuevo marco para la transferencia de datos. Sin embargo, el nuevo marco sigue pareciendo problemático en algunos aspectos y seguramente será impugnado ante el TJUE. Por este motivo, el futuro de las transferencias transatlánticas de datos sigue siendo incierto.
(Actualizaciones: en 2023, el Defensor del Pueblo para la Protección de Datos finlandés y elDatatilsynet noruego también fallaron en contra de Google Analytics, aunque la decisión noruega es sólo preliminar. Además, una larga batalla legal sobre las transferencias de datos de Meta se saldó con una multa de 1.200 millones de euros para la empresa y una orden de suspensión de las transferencias de datos para Facebook- hablamos de este importante caso aquí)
Monitora PA y su campaña contra Google Analytics
Como hemos dicho, la DPA austriaca, francesa, italiana y danesa están todas en la misma página en lo que respecta a las transferencias de datos. Sin embargo, la situación italiana es un tanto peculiar. El ciudadano italiano Federico Leva y el grupo Monitora PA enviaron miles de solicitudes relacionadas con GA, amenazando con emprender acciones legales.
Peticiones de eliminación de Monitora PA
Poco antes de que el GPDP decidiera sobre la primera denuncia de GA, el grupo hacktivista Monitora PA (monitorización de la administración pública) reenvió miles de correos electrónicos solicitando a las administraciones públicas que dejaran de utilizar Google Analytics y Google Fonts y amenazando con acciones legales ante el GPDP.
La campaña fue recibida con algunas críticas, pero hasta ahora había funcionado. Fabio Pietrosanti, miembro de Monitora PA, informó de que se contactó con casi 8.000 administraciones, y más de 3.000 dejaron de utilizar GA.
Solicitudes de acceso de Monitora PA
MonitoraPA también solicitó a miles de centros escolares información relacionada con su tratamiento de datos. Más concretamente, requirió el acceso a varios documentos que las escuelas tienen la obligación de conservar en virtud del GDPR y de la legislación administrativa italiana.
El objetivo de Monitora PA es evaluar el cumplimiento de las normas de protección de datos y, posiblemente, iniciar acciones legales contra las infracciones. Esta iniciativa no se refiere estrictamente a la AG o a las transferencias de datos. Aun así, forman parte del panorama, ya que Monitora PA está solicitando la evaluación del impacto de la transferencia para cada escuela, entre otros documentos.
Realizar una EIT es una de las obligaciones del exportador de datos1. En las EIT también se enumeran las medidas de salvaguardia suplementarias para las transferencias de datos y se examina su eficacia. Muchos centros educativos confían en las herramientas de Google y en el software de otras grandes empresas tecnológicas, y es difícil imaginar que todos ellos hayan implantado medidas de salvaguarda eficaces. De hecho, para empezar, algunas escuelas no tienen una idea clara de cómo se procesan los datos de los estudiantes.
También cabe mencionar que la DPA danesa ordenó recientemente a los colegios del municipio de Helsingor que despidieran a Google Workplace debido a las transferencias de datos obligatorias a Estados Unidos. Teniendo en cuenta este precedente, las solicitudes de acceso de Monitora PA pueden desencadenar una investigación sobre el uso del software de Google y otras herramientas en las escuelas italianas.
El "especial electoral" de Monitora PA
En septiembre, Monitora PA inició otra campaña. El grupo descubrió que numerosos sitios web de partidos políticos italianos utilizaban Google Analytics y Google Fonts y les pidió que dejaran de utilizar estas herramientas. Posteriormente, Monitora PA presentó una denuncia contra 47 sitios web que seguían utilizando GA o GF.
El rastreo de usuarios en sitios web de asociaciones políticas es muy problemático. El escándalo de Cambridge Analytica debería recordarnos el impacto potencial de las prácticas de privacidad en la política de los países democráticos. Y desde una perspectiva estrictamente legal, los datos recogidos podrían revelar las opiniones políticas de un usuario, lo que se califica como datos sensibles bajo el GDPR2- como Monitora PA señaló en su queja.
Los correos electrónicos de Federico Leva
Durante el verano, el activista Federico Leva envió miles de correos electrónicos a sitios web italianos que utilizaban GA, exigiendo el borrado de sus datos personales. Afirmaba que el uso de GA implica transferencias ilegales de datos y que el tratamiento de sus datos personales para análisis web es ilegal. Al igual que Monitora Pa, el Sr. Leva amenaza con emprender acciones legales si el responsable del tratamiento no accede a sus peticiones.
Críticas
Como hemos dicho, las campañas de Monitora PA y del Sr. Leva suscitaron reacciones polarizadas en las comunidades jurídica y de protección de la intimidad. Las críticas contra estas campañas se resumen en un documento reciente: una carta de notificación al GPDP italiano contra Monitora PA y Federico Leva, firmada por numerosos abogados italianos bajo la coordinación del abogado Andrea Lisi.
La carta se queja de que el envío de correos electrónicos spam para asustar es una forma indebida de promover una agenda de activismo que de otro modo sería legítima. Desde una perspectiva estrictamente jurídica, la carta afirma que estas campañas masivas de correo electrónico pueden violar ciertas disposiciones del GDPR. También afirma que Monitora PA y el Sr. Leva están abusando de sus derechos en virtud del GDPR, ya que los ejercen para el activismo en lugar de para proteger su privacidad.
Pero, por lo que sabemos, Monitora PA nunca ha ejercido ningún derecho3 en virtud del RGPD, lo que tiene sentido porque, para empezar, no tiene ninguno4. En cuanto al Sr. Leva, el abogado y miembro del GPDP Guido Scorza aclaró en una entrevista que está ejerciendo legítimamente su derecho al borrado en virtud del GDPR y que, por tanto, sus peticiones deben ser atendidas. Por supuesto, la posición del Sr. Scorza no refleja necesariamente la del GPDP, pero son una pista de que cualquier queja del Sr. Leva probablemente se tomará en serio.
Reflexiones finales
Los correos electrónicos de Monitora PA y Federico Leva han sembrado el pánico. La amenaza de emprender acciones legales tras sus peticiones es real, pero no esperamos ver una denuncia por cada infracción: la GDPD no podría ocuparse de tantos casos. Lo más probable es que sólo se denuncien las infracciones más graves.
Independientemente de su naturaleza controvertida, el debate suscitado por estas campañas es saludable y es de esperar que llame la atención sobre las implicaciones para la privacidad de las operaciones cotidianas de tratamiento de datos en organizaciones privadas y públicas. Y eso es bueno.
La privacidad es un derecho humano, y las APD europeas por fin están mostrando sus dientes prohibiendo Google Analytics en su estado actual.
Google Analytics no sólo no opera dentro de la ley, sino que tampoco está ayudando a crear una web independiente que sea amigable para los visitantes de los sitios web. ¿Y por qué deberían hacerlo? Ganan miles de millones rastreando a los internautas.
En Simple Analytics, creemos que no es necesario rastrear a los usuarios de Internet o recopilar datos personales para obtener la información que necesita. Creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Si está de acuerdo con esto, no dude en probarnos.
#1 Los ATI no se mencionan en el RGPD, pero el TJUE declaró en el asunto Schrems II que el responsable del tratamiento debe comprobar "si la legislación del tercer país de destino garantiza una protección adecuada (...) de los datos personales" (apdo. 134). [^2]: Art. 9(1) GDPR. El tratamiento de datos sensibles está sujeto a normas más estrictas que las normas generales para el tratamiento de datos personales en virtud del RGPD. [^3]: Los correos electrónicos remitidos a las administraciones públicas pueden encontrarse aquí y en otros sitios web italianos, y en ningún momento se mencionan los derechos de los interesados. En cuanto a las solicitudes de Monitora PA a las escuelas, son una forma de acceso cívico en virtud de la legislación administrativa italiana (Art. 5(2) d. lgs. 33/2013, modificado posteriormente por el art. 6(1) d. lgs. 97/2016), como confirma el propio sitio web del grupo [^4]: Monitora PA no es una persona física y, por lo tanto, no reúne los requisitos para ser considerada un interesado. Véanse las definiciones de "datos personales" y "interesado" en el artículo 4, apartado 1, del RGPD.