Sí, Google Analytics es prácticamente ilegal en Austria. He aquí por qué.
En 2018 la ONG de privacidad noyb presentó denuncias contra tres sitios web austriacos, quejándose de que el uso de Google Analytics no cumple con el GDPR. La primera decisión de la DSB (la autoridad austriaca de protección de datos) llegó en diciembre de 2021. La autoridad dio la razón a la ONG y prácticamente prohibió Google Analytics en Austria.
Así de resumido es el fallo. El uso de Google Analytics requiere que los datos sean transferidos a EEUU para que la empresa matriz, Google procese los datos. La decisión Schrems II complicó las transferencias de datos a EE.UU. al invalidar un marco de transferencia de datos entre la UE y EE.UU. (el Escudo de Privacidad) y al exigir garantías efectivas para las transferencias de datos. En la práctica, tales salvaguardias no pueden aplicarse a Google Analytics.
Para que quede claro, el OSD no declaró ilegal Google Analytics en sí mismo. La Autoridad simplemente aplicó las normas del GDPR y la sentencia Schrems II y determinó que un sitio web no estaba implementando salvaguardas efectivas para proteger los datos personales de sus visitantes. Técnicamente, la sentencia es una decisión individual, y el uso de Google Analytics se declaró ilegal solo para un sitio web concreto. Pero en la práctica, ningún sitio web puede aplicar salvaguardias efectivas para Google Analytics, por lo que la sentencia sienta un precedente que equivale a una prohibición estatal. Los profesionales de la privacidad son muy conscientes de ello, y por eso la decisión llamó mucho la atención de los medios de comunicación.
Austria fue sólo el principio. Después del OSD, otras tres autoridades (la CNIL francesa, la GPDP italiana y la NAIH húngara) también dictaminaron en contra de Google Analytics, y la autoridad danesa (Datatilsynet) abrazó la misma postura en un comunicado de prensa. Las autoridades están coordinando su planteamiento a nivel europeo, por lo que es probable que otros países sigan sus pasos.
Defensa de Google Analytics.
- ¿Debo preocuparme por el GDPR en Austria?
- ¿Cuál es la legislación austriaca sobre privacidad?
- ¿Qué es todo esto?
- ¿A qué viene todo este revuelo por el GDPR?
Entremos en materia
¿Debo preocuparme por el GDPR en Austria?
Austria es un Estado miembro de la Unión Europea, por lo que el GDPR se aplica a todas las actividades de procesamiento de datos de las empresas austriacas.
El GDPR también se aplica a todas las actividades de procesamiento de datos de las empresas austriacas.
El GDPR también se aplica a cualquier servicio dirigido al mercado austriaco. Además, si el público objetivo de su sitio web incluye Austria y usted utiliza Google Analytics, también se le aplica.
Pero el GDPR se aplica a todas las actividades de tratamiento de datos de empresas austriacas.
Pero hay una trampa- solo se aplica si procesas datos personales. Las herramientas de análisis respetuosas con la privacidad, como Simple Analytics, te permiten obtener información valiosa sin procesar ningún dato personal. De esta forma, tú no necesitas cumplir con el GDPR porque, en primer lugar, no se aplica a los datos que procesas.
Sólo se aplica si procesas datos personales.
¿Cuál es la legislación austriaca sobre privacidad?
El principal marco de protección de datos es el GDPR de la Unión Europea. Austria también tiene su propia legislación sobre privacidad, incluida la Ley de Protección de Datos de 2000 (Datenschutzgsetz). Esta legislación es aplicada por los tribunales austriacos y por la autoridad austriaca de protección de datos (la DSB).
Austria también está sujeta a los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE, que protegen la privacidad y la protección de datos.
Además, Austria es un Estado miembro del Consejo de Europa. Como tal, Austria ratificó el Convenio Europeo de Derechos Humanos, que protege la vida privada y la correspondencia. Austria también ratificó el Convenio 108 del Consejo de Europa, que es el único acuerdo internacional vinculante en materia de protección de datos hasta la fecha.
¿Qué es todo esto?
¿A qué viene todo este revuelo por el GDPR?
La reciente tendencia de decisiones en contra de Google Analytics es parte de un rompecabezas legal más grande sobre las transferencias de datos entre el EEE y los Estados Unidos. Así que esto es mucho más grande que los países individuales como Austria, y es más grande que Google Analytics también. Ya escribimos sobre esto extensamente en nuestro blog, así que aquí va una versión corta.
La cuestión central es la transferencia de datos entre el EEE y EE.UU..
El problema principal es la vigilancia estatal. Según el GDPR, los datos personales europeos solo pueden transferirse de forma segura fuera del EEE. Esto es difícil para las transferencias de datos estadounidenses, ya que el marco jurídico de este país permite una vigilancia amplia e invasiva de los datos de ciudadanos extranjeros, incluidos los austriacos.
Los datos personales de los ciudadanos europeos pueden transferirse fuera del EEE.
Dos marcos de transferencia de datos (Safe Harbor y Privacy Shield) entre la UE y EE.UU. posibilitaron en el pasado las transferencias de datos conformes con el RGPD, pero ambos marcos fueron invalidados por el Tribunal de Justicia de la UE en los asuntos Schrems I y II. Un tercer marco está en camino, pero sin duda se enfrentará a un desafío legal. Con una sentencia Schrems III ya en el horizonte, el futuro de los flujos de datos entre la UE y EE.UU. sigue siendo incierto.
Mientras tanto, las empresas austriacas y las europeas, en general, deben recurrir a diferentes herramientas legales (normalmente cláusulas contractuales estándar) para transferir legalmente datos a EE. UU. en virtud del GDPR. Sin embargo, el problema con estas herramientas es que no ofrecen ninguna protección contra la vigilancia estatal. Por este motivo, el Tribunal de Justicia aclaró en el asunto Schrems II que deben complementarse con medidas adicionales de protección de la privacidad siempre que se envíen datos a países "inseguros". Esto es difícil y del todo imposible para las transferencias que exigen ciertos servicios basados en la nube, como Google Analytics (escribimos sobre esto aquí).
Después de la sentencia Schrems II en 2020, la mayoría de las empresas siguieron haciendo negocios como de costumbre con proveedores de servicios con sede en Estados Unidos. Mientras tanto, la ONG noyb presentó 101 denuncias sobre transferencias de datos contra sitios web europeos que utilizaban Google Analytics y Facebook Connect para empujar a las autoridades hacia una aplicación más estricta de la sentencia Schrems II.
Los datos de los usuarios de Google Analytics y Facebook Connect se transfieren a los sitios web europeos.
Como decíamos, las autoridades de protección de datos coordinaron su enfoque a nivel europeo para gestionar las denuncias de forma coherente. Como resultado, la Austrian, French, Italiano, Húngaro y Danés DPA se posicionaron en contra de las transferencias de datos. Con la coordinación a nivel europeo y las influyentes autoridades francesas e italianas a la cabeza, es probable que otras APD sigan el ejemplo y adopten una postura más dura frente a Google Analytics.
Pensamientos finales
Afortunadamente, existen alternativas a Google Analytics que no recopilan datos personales y cumplen al 100% con el GDPR. Simple Analytics es una de ellas. Creemos que no es necesario utilizar cookies ni recopilar datos personales para mostrar información sobre el rendimiento de su sitio web.
Para obtener información sobre el rendimiento de su sitio web no es necesario utilizar cookies ni recopilar datos personales.
Recopilar información práctica e identificar oportunidades a partir de la analítica web es posible sin realizar un seguimiento individual de los visitantes del sitio web. Quieres ver cómo es? Echa un vistazo a nuestro panel de control en vivo aquí.
Creemos en hacer de Internet un lugar más seguro y amigable para los visitantes del sitio web. Si está de acuerdo con esto, no dude en probarnos.