¿Es ilegal Google Analytics en Brasil?

Image of Iron Brands

Publicado el 13 ene 2023 por Iron Brands

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Vamos a decírtelo directamente: No, Google Analytics no es ilegal en Brasil. Google Analytics fue objeto de críticas por parte de varias autoridades europeas porque no cumple las normas del GDPR sobre transferencias de datos extraeuropeas. El GDPR no se aplica en Brasil, ya que no es miembro de la Unión Europea ni del Espacio Económico Europeo.

Brasil.

Sin embargo, las empresas brasileñas todavía tienen que cumplir con el GDPR si se dirigen al mercado europeo o monitorizan comportamientos en la UE (esto incluye el uso de Google Analytics en un sitio web dirigido a un público europeo). De ahí que merezca la pena profundizar en este punto.

  1. Legislación brasileña sobre privacidad
  2. ¿Qué normas se aplican a Google Analytics en Brasil?
  3. ¿Puedo transferir datos personales de Europa a Brasil?
  4. ¿A qué se debe todo este revuelo en torno a Google Analytics?
  5. Pensamientos finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Entremos en materia

Legislación brasileña sobre privacidad

La Constitución Federal de Brasil reconoce la privacidad como un derecho fundamental y fue modificada recientemente para establecer el derecho a la protección de datos. Como resultado, la Constitución garantiza ahora tanto la privacidad como la protección de datos como derechos distintos, de forma muy parecida a la Carta de los Derechos Fundamentales de la Unión Europea.

La principal legislación brasileña sobre privacidad es la Ley de Protección de Datos.

La principal legislación brasileña sobre privacidad es la Ley General de Protección de Datos de 2018. El GDPR influyó mucho en esta ley en muchos aspectos. Brasil también adoptó un modelo de aplicación similar al de la Unión Europea y estableció una Autoridad Nacional de Protección de Datos independiente en 2020.

¿Qué normas se aplican a Google Analytics en Brasil?

Los cookies son datos personales según la LGPD, pero el marco legal brasileño es menos estricto que el europeo, y el consentimiento no siempre es necesario.

Las autoridades brasileñas de protección de datos publicaron directrices detalladas sobre las cookies. Como regla general, tanto las cookies de terceros como el uso de cookies con fines de marketing requieren el consentimiento del usuario. Por otro lado, las cookies esenciales y las cookies para la analítica web se pueden utilizar sin consentimiento siempre que se cumplan requisitos específicos.

Los banners de cookies y el uso de cookies con fines de marketing requieren el consentimiento del usuario.

Los banners de cookies y los requisitos de la política son similares a los establecidos por el GDPR.

¿Puedo transferir datos personales de Europa a Brasil?

De momento, no hay decisión de adecuación para Brasil. En otras palabras, la Comisión Europea no dio "luz verde" a Brasil como país seguro a efectos de transferencias de datos.

Aún se pueden transferir datos personales a Brasil, pero será más complicado que transferir datos a un país de la UE/EEE o a un país cubierto por una decisión de adecuación.

¿A qué se debe todo este revuelo en torno a Google Analytics?

La reciente tendencia de decisiones en contra de Google Analytics es parte de un rompecabezas legal más amplio sobre las transferencias de datos entre el EEE y los Estados Unidos. La cuestión no afecta directamente a Brasil, pero sí a los sitios web brasileños que utilizan Google Analytics, siempre que se dirijan al mercado y al público europeos. Ya escribimos ampliamente sobre esto en nuestro blog, así que aquí va una versión resumida.

La cuestión central es la vigilancia estatal. Según el GDPR, los datos personales europeos solo pueden transferirse de forma segura fuera del EEE. Esto es difícil para las transferencias de datos estadounidenses, ya que el marco jurídico de este país permite una vigilancia amplia e invasiva de los datos de ciudadanos extranjeros.

Vigilancia estatal.

Dos marcos de transferencia de datos diferentes (Safe Harbor y Privacy Shield) entre la UE y EE.UU. hicieron posible en el pasado las transferencias de datos conformes con el RGPD, pero ambos marcos fueron invalidados por el Tribunal de Justicia de la UE en los asuntos Schrems I y II. Un tercer marco está en camino, pero sin duda se enfrentará a desafíos legales. Con una sentencia Schrems III ya en el horizonte, el futuro de los flujos de datos entre la UE y EE.UU. sigue siendo incierto.

Mientras tanto, las empresas deben recurrir a diferentes herramientas legales (normalmente cláusulas contractuales estándar) para transferir legalmente datos a EE. UU. en virtud del GDPR. Sin embargo, el problema de estas herramientas es que no ofrecen protección contra la vigilancia estatal. Por este motivo, el Tribunal de Justicia aclaró en el asunto Schrems II que deben complementarse con medidas adicionales de protección de la privacidad siempre que se envíen datos a países "inseguros". Esto es difícil y totalmente imposible en el caso de las transferencias exigidas por determinados servicios basados en la nube, como Google Analytics (escribimos sobre esto aquí). La vigilancia estatal es la razón por la que transferir datos a EE.UU. suele ser más complicado que transferirlos a Brasil, aunque una decisión de adecuación no cubra a ninguno de los dos países.

Cuidado con los datos personales.

Después de la sentencia Schrems II en 2020, la mayoría de las empresas siguieron haciendo negocios como de costumbre con proveedores de servicios con sede en Estados Unidos. Mientras tanto, la ONG noyb presentó 101 denuncias sobre transferencias de datos contra sitios web europeos que utilizaban Google Analytics y Facebook Connect para empujar a las autoridades hacia una aplicación más estricta de la sentencia Schrems II.

Las autoridades de protección de datos aplicaron la sentencia Schrems II de forma más estricta.

Las autoridades de protección de datos coordinaron su enfoque a nivel europeo para gestionar las denuncias de forma coherente. Como resultado, la Austrian, French, Italian, y Hungarian DPA se pronunciaron en contra del uso de Google Analytics en decisiones muy similares, y la DPA danesa hizo esencialmente lo mismo en un comunicado de prensa. Aunque las decisiones se refieren a un controlador individual, todas sientan un precedente que prácticamente equivale a una prohibición a nivel estatal, como explicamos aquí.

Con la coordinación a nivel europeo y las influyentes autoridades francesas e italianas a la cabeza, es probable que otras APD sigan el ejemplo y adopten una postura más dura con Google Analytics.

Pensamientos finales

Independientemente de si Google Analytics es ilegal en Brasil o no, definitivamente no es respetuoso con la privacidad de los visitantes de su sitio web. Creemos que se puede recopilar información del sitio web, respetando la privacidad de sus visitantes. Esta es la razón por la que empezamos a construir Simple Analytics como una alternativa a Google Analytics respetuosa con la privacidad.

Simple Analytics.

Con Simple Analytics, puede recopilar información y descubrir oportunidades a partir de los análisis de su sitio web sin utilizar cookies ni recopilar datos personales. Quiere ver qué aspecto tiene? Echa un vistazo a nuestro panel de control aquí. Si esto le resulta útil, no dude en probarlo

aquí.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días