¿Se prohibirá Google Analytics en la UE?

Image of Iron Brands

Publicado el 16 ene 2022 y editado el 15 ago 2023 por Iron Brands

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

El 13 de enero, la Autoridad Holandesa de Protección de Datos (AP) cuestionó abiertamente el uso legal de Google Analytics en los Países Bajos. En su declaración, la AP dio a entender que el uso de Google Analytics podría prohibirse en el futuro.

Esto se produce después de que la DSB (el equivalente austriaco de la AP) confirmara que el uso de Google Analytics infringe la normativa GDPR.

Hemos indagado un poco más para ver qué está pasando realmente en este momento.

¡Exploremos!

  1. La denuncia
  2. La sentencia
  3. Respuesta de Google
  4. Actualizaciones
  5. Implicaciones
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

La denuncia

El 14 de agosto de 2020, alguien (llamémosle el "interesado") visitó un sitio web sobre temas de salud mientras estaba conectado con sus credenciales. El sitio web en cuestión utilizaba Google Analytics para rastrear y supervisar a los visitantes de su sitio web.

Pocos días después, el 18 de agosto de 2020, noyb (una ONG de derechos digitales) presentó una denuncia ante el OSD en nombre del "interesado". La denuncia se presentó tanto contra el proveedor del sitio web como contra Google, como propietario de Google Analytics.

En la denuncia se argumentaba que la transferencia de datos a Google viola la normativa GDPR, ya que Google se califica como "proveedor de servicios de comunicación electrónica". Esto significa que se puede ordenar a Google que revele datos a los servicios de inteligencia estadounidenses sobre ciudadanos de la UE. Esto significa que los datos personales de los ciudadanos de la UE no están suficientemente protegidos de la vigilancia estadounidense y, por tanto, infringen la normativa GDPR.

Este es el punto crítico de la denuncia. Dicho sin rodeos: No se trata del uso de Google Analytics. Se trata de la transferencia de sus datos personales a proveedores estadounidenses.

La sentencia

La primera denuncia dio lugar a una decisión que aplica los criterios de "Schrems II". Schrems II es una sentencia histórica sobre transferencias de datos que hace mucho más difícil transferir datos a Estados Unidos. Hasta ahora, las empresas habían ignorado en gran medida esta sentencia. De hecho, las denuncias de noyb intentan que las autoridades apliquen Schrems II de forma estricta.

La denuncia presentada por noyb incluía múltiples alegaciones de ambas partes durante un año y medio. Google argumentó que incluso si hubiera habido una transferencia, los datos no se calificarían como datos personales porque no podrían asignarse al "interesado". Además, alegaron que debía tenerse en cuenta un "enfoque basado en el riesgo", ya que el riesgo de tener que revelar realmente los datos era muy bajo.

El OSD dictaminó lo contrario y desestimó la mayoría de los argumentos planteados por Google.

Google es un "proveedor de servicios de comunicaciones electrónicas" y se le puede ordenar que revele datos personales. Por tanto, el nivel de protección de los datos personales se considera inadecuado. Las medidas adicionales establecidas por Google se consideraron insuficientes. No pudieron impedir la revelación de datos personales a los servicios de inteligencia estadounidenses.

Respuesta de Google

Russell Ketchum, Jefe de Gestión de Productos de Google Analytics, respondió en nombre de Google. Afirmó que "Google Analytics ayuda a los consumidores a cumplir la normativa proporcionándoles una serie de controles y recursos". Afirmó que las direcciones IP se pueden anonimizar y que la recopilación de datos se puede desactivar y eliminar (previa solicitud).

Creo que no ha entendido nada. En su respuesta, habla principalmente desde el punto de vista del propietario del sitio web. Afirma que las organizaciones controlan los datos que recogen. Sin embargo, no se trata de los propietarios de los sitios web. Se trata de los visitantes. Sus datos deben estar protegidos, y para eso se ha creado el GDPR.

La cuestión es la transferencia de datos a proveedores estadounidenses, sujetos a la vigilancia del gobierno de Estados Unidos, como Google. Sólo se refiere a esto en una frase, afirmando que antes de transferir los datos a servidores de EE.UU., las direcciones IP se anonimizan.

Esto sigue violando la normativa GDPR. El OSD dictaminó que incluso las direcciones IP anonimizadas son datos personales, dado el potencial que tienen de combinarse con otros datos digitales para identificar a un visitante. Aquí es también donde la mayoría de las alternativas a Google Analytics respetuosas con la privacidad se equivocan. En Simple Analytics, nunca recopilamos su dirección IP, ni siquiera de forma anónima, a diferencia de otras alternativas respetuosas con la privacidad.

Actualizaciones

Hasta junio de 2023, no ha habido ninguna nueva comunicación sobre el caso por parte de la autoridad holandesa. Pero hay muchas otras novedades, y todas son malas noticias para Google Analytics:

Mientras tanto, la UE y EE.UU. han dado pasos hacia un nuevo marco de transferencia de datos. El marco aún no se ha aplicado plenamente y seguramente será impugnado ante el Tribunal de Justicia, muy probablemente por el propio Sr. Schrems. En resumen, Schrems III será un bautismo de fuego y es difícil saber si el nuevo marco sobrevivirá.

Implicaciones

En resumen: Es una decisión acertada, pero no nueva. Es una confirmación de lo que se dictaminó en julio de 2020, pero ahora parece tener más impacto. Personalmente, tengo la sensación de que ahora se aplicará la ley.

Si creemos que es así, espero que más Estados miembros de la UE sigan el ejemplo austriaco. La NOYB ha presentado un total de 101 denuncias en más Estados miembros de la UE y habla de una "respuesta coordinada". Los Países Bajos son los primeros en cuestionar el uso legal de Google Analytics después de que Austria lo hiciera abiertamente.

Como señaló Max Schrems (miembro honorario de noyb), hay dos soluciones. O bien los proveedores estadounidenses tendrán que alojar los datos extranjeros fuera de EE.UU., o bien EE.UU. adopta una normativa adecuada de protección de datos.

Si no se aplica una de las soluciones mencionadas, en el futuro utilizaremos productos diferentes al otro lado del charco. En cualquier caso, esto brinda a otros la oportunidad de competir con Google y las "grandes tecnológicas" en su conjunto.

En Simple Analytics hemos creado una alternativa a Google Analytics que da prioridad a la privacidad. Nuestra misión es mostrar a las organizaciones que la analítica web se puede hacer de otra manera, proporcionando información precisa y cumpliendo con la GDPR desde el primer momento. Además, nunca tendrá que preocuparse de si los datos de sus visitantes se transfieren a proveedores estadounidenses, ya que nuestros servidores se encuentran en los Países Bajos. Pruébenos.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días