En una denuncia aún pendiente, la autoridad noruega de protección de datos (Datatilsynet) llegó a la conclusión preliminar de que "el uso de Google Analytics infringía las normas de transferencia del GDPR." La autoridad hizo públicas las conclusiones ayer en su sitio web (solo en noruego) y espera adoptar una decisión final "como muy pronto a finales de abril."
Por supuesto, la autoridad podría llegar a una conclusión diferente al final. Pero tenemos buenas razones para creer que no será así y que Noruega podría unirse pronto a Austria, Francia, Italia, Finlandia y Dinamarca y prohibir prácticamente Google Analytics. He aquí por qué.
(Actualización: dos meses después, la autoridad irlandesa de protección de la intimidad se pronunció sobre un caso muy sonado de transferencia de datos en el que estaba implicada Meta. Como resultado, Meta fue multada con 1.200 millones de euros y actualmente se arriesga a un apagón de Facebook en toda la UE. Los motivos de la decisión son los mismos que llevaron a las prohibiciones contra Google Analytics. Hablamos en detalle de este importante caso)
- Google Analytics y la transferencia de datos
- ¿Qué dijeron exactamente las demás autoridades?
- ¿Qué podemos esperar de la decisión?
- Panorama general
- Reflexiones finales
Google Analytics y la transferencia de datos
Todavía no tenemos una decisión, pero podemos echar un vistazo al panorama general y hacer una conjetura sobre el resultado más probable y las razones que hay detrás de él.
Los problemas legales de Google Analytics con el GDPR no son nada nuevo: como ya hemos señalado, otras autoridades de protección de datos (DPA) ya adoptaron una postura dura. La mayoría de sus decisiones son el resultado de un conjunto coordinado de denuncias presentadas por la ONG de protección de la intimidad noyb, en un esfuerzo estratégico por empujar a las APD hacia una aplicación más estricta de las normas de transferencia de datos del RGPD y de la sentencia Schrems II del Tribunal de Justicia de la UE.
Todas las reclamaciones de Noyb dicen lo mismo. El uso de Google Analytics requiere la transferencia de datos personales (cookies y direcciones IP) a Google LLC, con sede en California. Pero esta transferencia expone los datos al riesgo de vigilancia estatal en Estados Unidos. Por esta razón, los datos personales deben protegerse mediante garantías adecuadas contra la vigilancia, como estableció el Tribunal de Justicia en el asunto Schrems II. Noyb alega que las transferencias de datos carecen de estas garantías exigidas (conocidas como medidas suplementarias en la jerga). Esto hace que el uso de Google Analytics sea incompatible con el GDPR y la sentencia Schrems II. Hasta ahora, las** autoridades** austriacas, francesas e italianas han dado la razón a noyb, y las danesas y finlandesas han adoptado la misma postura en diferentes circunstancias.
(Hay más sobre Schrems II y las transferencias de datos. Escribimos sobre estos temas con más profundidad en otro blog)
¿Qué dijeron exactamente las demás autoridades?
Para ser claros, todas las denuncias y decisiones se refieren técnicamente a sitios web concretos. Por eso decimos que Google Analytics está prácticamente prohibido en algunos países. En teoría, un sitio web diferente podría utilizar Google Analytics legalmente mediante la aplicación de salvaguardias diferentes y mejores.
Pero la teoría es la palabra clave aquí. En la práctica, existen muy pocas salvaguardas frente a la vigilancia estatal. Garantizar la seguridad de la transferencia de datos es difícil para muchos servicios y prácticamente imposible para Google Analytics, ya que se basa en cookies y necesita procesar los identificadores de las cookies de forma transparente para funcionar(hemos escrito más sobre esto).
Así que cada decisión equivale prácticamente a una prohibición a nivel estatal, razón por la cual los problemas legales de Google llaman mucho la atención en la comunidad de la privacidad.
¿Qué podemos esperar de la decisión?
No tenemos una bola de cristal, pero podemos hacer una conjetura basada en el panorama general.
Hasta ahora, las autoridades han abordado las denuncias de Noyb de la misma manera. Esto se debe a que coordinaron su enfoque a nivel europeo, como señala la propia Datatilsynet en su comunicado de prensa. Por ello, es probable que al final la autoridad noruega se pronuncie en contra del uso de Google Analytics.
Cabe señalar que el Datatilsynet está tratando la denuncia como un caso transfronterizo. En la práctica, esto significa que otras autoridades europeas pueden intervenir planteando objeciones. Pero no esperamos que esto ocurra. El año pasado, la autoridad francesa también presentó su decisión contra Google Analytics a otras autoridades, y en aquel momento no se planteó ninguna objeción.
También cabe mencionar que Noruega no es un país de la UE. De hecho, Noruega está sujeta al GDPR porque forma parte del Espacio Económico Europeo. De confirmarse la decisión del Datatilsynet, Noruega se convertiría en el primer país no perteneciente a la UE en fallar en contra de Google Analytics en materia de transferencia de datos.
Panorama general
Existen muchas alternativas a Google Analytics respetuosas con la privacidad, y Simple Analytics es una de ellas. Creemos que la prohibición de Google Analytics no es el fin del mundo.
Pero el problema de la transferencia de datos va más allá de Google Analytics. Muchos servicios con sede en EE.UU. requieren la transferencia de datos personales y pueden ser objeto de críticas. Abandonar Google Analytics es relativamente fácil (hola Simple Analytics), pero prescindir de servicios como Oracle y AWS es otra historia.
Por eso, EE. UU. y la Comisión Europea negociaron un nuevo marco de transferencia de datos para facilitar las transferencias de datos, y han tomado medidas para aplicarlo. En diciembre de 2022, la Comisión redactó una decisión de adecuación para EE.UU., básicamente una decisión que facilita en gran medida las transferencias de datos con un país concreto. La decisión está pendiente de la aprobación de los Estados miembros y sin duda será impugnada ante los tribunales.
Cabe señalar que el Tribunal de Justicia de la UE ya invalidó dos decisiones de adecuación para EE.UU. en los asuntos Schrems I y II. Es difícil decir cómo se desarrollará un caso "Screms III". Por el momento, el futuro de las transferencias de datos sigue siendo incierto.
Reflexiones finales
La misma historia. Diferente país. No hay nada nuevo que ver aquí, ya que hemos visto a diferentes países de la UE llegar a la misma conclusión que acaban de llegar las autoridades noruegas. Sin embargo, cada país que adopta una postura contraria a Google Analytics refuerza los argumentos a favor de una mejor protección de los datos. Google ha respondido a la creciente demanda de mayor privacidad cambiando a GA4. Sin embargo, GA4 no soluciona este problema.
En Simple Analytics también hemos respondido a la demanda de mayor privacidad y solucionamos este problema. Somos un equipo pequeño e independiente que cree firmemente que Internet debe ser un lugar que respete la privacidad. Sin duda, es posible obtener la información que necesita mientras que es 100% compatible con GDPR sin necesidad de un cookiebanner. ¿No está convencido? Pruébelo usted mismo.