El 23 de junio, la Autoridad Sueca de Protección de Datos (IMY) emitió cuatro decisiones contra empresas que utilizaban Google Analytics. Todas las decisiones consideraban que el uso de Google Analytics era incompatible con el RGPD. Y esta vez se impusieron dos multas, una de ellas de 1 millón de euros.
El comunicado de prensa publicado en el sitio web del IMY ofrece una visión general de alto nivel del contexto jurídico de las decisiones, pero hay mucho más en lo que profundizar. Así que echemos un vistazo más de cerca a la decisión y lo que significa para el uso de Google Analytics.
Cuestiones jurídicas
Las cuatro decisiones se derivan de las 101 reclamaciones de la ONG noyb contra Google Analytics y Facebook Connect. noyb ya ha presentado con éxito casos idénticos en otros países, y estas decisiones son más de lo mismo, es decir, su contenido jurídico es una aplicación de las sentencias Sch rems II del Tribunal de Justicia.
La sentencia Schrems II exige a las empresas que transfieren datos a EE.UU. que apliquen salvaguardias adicionales además de las salvaguardias "estándar" exigidas por el RGPD para todas las transferencias de datos (en la mayoría de los casos, las cláusulas contractuales estándar redactadas por la Comisión de la UE). Estas salvaguardias son necesarias debido al riesgo de vigilancia estatal sobre datos extranjeros, como se puso de relieve en los archivos Snowden.
Pero estas salvaguardias son muy difíciles de aplicar y totalmente imposibles de adoptar para Google Analytics. Esto se debe a que Google Analytics necesita individualizar con precisión a los visitantes para poder funcionar.
En cada una de las cuatro decisiones suecas
- un interesado, representado por noyb, denunció que el sitio web de la empresa transfería ilegalmente sus datos personales a EE.UU.
- la empresa enumeró las medidas de protección que había adoptado, así como las adoptadas por Google para garantizar la transferencia de datos
- la APD consideró que todas estas medidas eran insuficientes y ordenó a las empresas que desestimaran el uso de Google Analytics
¿Qué hay de nuevo en las decisiones?
Aunque las cuestiones jurídicas básicas son las mismas que en todas las demás decisiones contra Google Analytics, las decisiones son interesantes en ciertos aspectos.
El primero es que se han impuesto multas. De hecho, el mayor de los cuatro -el gigante sueco de las telecomunicaciones Tele2- fue multado con 1 millón de euros.
Otras autoridades de protección de datos han preferido hasta ahora un enfoque más suave y sólo han ordenado a las empresas que desestimen el uso de Google Analytics. Será interesante ver si más autoridades siguen el ejemplo del IMY. De ser así, Google Analytics podría convertirse en una costosa infracción en el futuro.
Otro aspecto interesante de la decisión es que dos de las empresas estaban aplicando realmente salvaguardias técnicas. Es decir, estaban haciendo algo para tratar de mantener la seguridad de los datos en lugar de redactar un borrador de cumplimiento en su papeleo, lo cual es algo raro.
Lamentablemente, la autoridad descubrió que ni el hashing de los identificadores de las cookies ni el proxy de las direcciones IP mediante el etiquetado del lado del servidor son suficientes para mantener la seguridad de los datos. Google recopila y controla enormes cantidades de datos, que puede utilizar para vincular datos seudonimizados a una persona. Por ejemplo, se puede conectar un identificador con hash a los datos de navegación recopilados a través de la cuenta de Google de un visitante.
En resumen: Google recopila tantos datos -a través de Google Analytics, las cuentas de Google, sus API, sus rastreadores de publicidad (ilegales) en dispositivos Android, etc.- que es prácticamente imposible anonimizar adecuadamente cualquier dato personal que se le proporcione.
En otras palabras, el propio modelo de negocio de Google, ávido de datos, se está volviendo en su contra con el GDPR.
El contexto
Google Analytics ya tiene un historial de estar prácticamente prohibido en los países miembros de la UE. Pero la historia de las transferencias de datos es aún más larga, y una pequeña recapitulación puede aclarar el trasfondo de las decisiones.
De Snowden a Schrems
Todo comenzó en 2012, cuando los archivos Snowden revelaron la existencia de amplios e indiscriminados programas de vigilancia sobre datos extranjeros en Estados Unidos. Un año después, el ciudadano austriaco Max Schrems (hoy un conocido activista por la privacidad) presentó una denuncia contra Facebook Irlanda. Alegó que la transferencia de sus datos personales a la empresa matriz estadounidense Facebook los exponía a la vigilancia de EE.UU. y, por tanto, era ilegal en virtud de la legislación de protección de datos de la UE. Este fue el comienzo de una larga batalla legal: el caso fue remitido dos veces al Tribunal de Justicia de la UE, invalidando dos acuerdos de transferencia de datos entre la UE y los EE. UU. en las históricas sentencias Schrems I y II.
Schrems II se dictó en 2020 y tuvo un enorme impacto en las transferencias de datos por dos motivos. En primer lugar, el Tribunal invalidó el marco del Escudo de Privacidad, que anteriormente permitía transferencias de datos fáciles de la UE a EE.UU.. En segundo lugar, el Tribunal examinó las cláusulas contractuales tipo, un mecanismo de cumplimiento común para las empresas que desean transferir datos.
Las cláusulas contractuales tipo son un conjunto de cláusulas estandarizadas redactadas por la Comisión y destinadas a ser incorporadas a un acuerdo vinculante con un destinatario. En otras palabras, si desea transferir datos fuera de la UE, puede aplicar las CEC en un contrato, y las cláusulas indicarán a la otra parte lo que puede y no puede hacer con los datos. Es una forma de garantizar que los datos personales se transfieren de forma segura y confidencial fuera de la Unión. Pero hay un problema: estas cláusulas sólo vinculan a las partes del contrato y no hacen nada para impedir la vigilancia estatal.
Con Schrems II, el Tribunal no invalidó las CEC como mecanismo de transferencia de datos, pero dictaminó que deben complementarse con salvaguardias adicionales cuando sea necesario, como en el caso de Estados Unidos. Así que no basta con copiar y pegar, firmar el contrato y ya está. Hay que asegurarse de que los CEC funcionan realmente para la transferencia de datos y, si no lo hacen, hay que compensar esa falta de protección de alguna manera. El problema es que esto es difícil y a veces imposible cuando se trata de vigilancia estatal.
Transferencias de datos después de Schrems II
Justo después de la sentencia Schrems II, la ONG de defensa de la privacidad noyb (presidida por Schrems) presentó un conjunto de 101 denuncias estratégicas contra Google Analytics y Facebook Connect, en un intento de empujar a las autoridades europeas hacia una aplicación rigurosa de la sentencia Schrems II.
Las autoridades coordinaron su enfoque de las denuncias a escala europea. Como resultado, los organismos de control de la privacidad austriacos, franceses, italianos, finlandeses, noruegos y suecos fallaron en contra de Google Analytics al resolver las denuncias de noyb (aunque la decisión noruega es solo preliminar). Además, la autoridad danesa adoptó una postura similar en un comunicado de prensa.
Estas decisiones dicen lo mismo: Google Analytics no puede mantener a salvo los datos personales. Con la coordinación a nivel europeo, y las influyentes autoridades francesas e italianas a la cabeza, es probable que les sigan más autoridades.
Merece la pena aclarar que, aunque las decisiones se refieren formalmente a un sitio web concreto, son prácticamente una prohibición general contra Google Analytics, porque es poco o nada lo que una empresa puede hacer para proteger los datos personales de la vigilancia cuando utiliza la herramienta.
Tanto las autoridades como los profesionales saben muy bien lo que está en juego. Por eso los problemas legales de Google Analytics han recibido tanta atención y por eso el Consejo Europeo de Protección de Datos garantizó una aplicación uniforme de Schrems II en lugar de dejar las cosas en manos de las autoridades individuales.
Más que Google Analytics
No se trata sólo de Google Analytics. Hace meses, la autoridad irlandesa impuso una multa récord de 1.200 millones de euros a Meta y ordenó a la empresa suspender las transferencias de datos para Estados Unidos (lo que crea el riesgo muy real de un apagón de Facebook para Europa).
Y para que quede claro, la analítica web y las redes sociales son el menor de los problemas de la UE. Una aplicación estricta de Schrems II podría amenazar a innumerables proveedores estadounidenses, incluidos algunos actualmente esenciales para las empresas europeas: ¡pensemos en Oracle o AWS!
La UE y Estados Unidos están creando un nuevo marco de transferencia de datos para resolver esta situación. Sin embargo, este marco aún debe ser aprobado por los Estados miembros y, lo que es más importante, sobrevivir al anunciado recurso legal ante el Tribunal de Justicia de la UE.
Es difícil decir cómo se desarrollará la sentencia "Schrems III", pero por el momento, el destino de las transferencias de datos UE-EE.UU. sigue siendo incierto.
Conclusión
Desde las decisiones de las APD francesa e italiana, hemos venido advirtiendo de que cada vez más autoridades nacionales adoptarían una postura contraria a Google Analytics. El tiempo nos ha dado la razón. Las multas empiezan a llegar, así que es un buen momento para deshacerse de Google Analytics.
Y no olvidemos que la transferencia de datos es el menor de los problemas de Google Analytics. Google Analytics es una gigantesca máquina de vigilancia que extrae enormes cantidades de datos personales, los combina con más datos personales recopilados por otros servicios del ecosistema de Google y los alimenta al basurero de la privacidad que es el sistema de ofertas en tiempo real.
Si el GDPR se aplicara mejor, Google Analytics sería ilegal por lo que hace con los datos personales, independientemente de a dónde vayan. Creemos que podemos hacerlo mejor.
Simple Analy tics le proporciona toda la información que necesita para hacer crecer su negocio y supervisar su campaña sin recopilar datos personales en absoluto. Creemos que hacer más con menos es clave para una web independiente y respetuosa con la privacidad. Si está de acuerdo, ¡pruébenos!