Vamos a decírtelo: no, Google Analytics no es ilegal en Estados Unidos. Los recientes problemas legales de Google Analytics se deben a que las autoridades europeas han dictaminado que el uso de Google Analytics constituye una infracción de las normas GDPR sobre transferencias de datos extraeuropeas.
Sin embargo, dado que varios Estados miembros de la UE han declarado ilegal el uso de Google Analytics, merece la pena profundizar en esta cuestión y explorar el cambiante panorama.
- ¿Qué normas se aplican a Google Analytics en Estados Unidos?
- ¿Puedo transferir las cookies a otro sitio web?
- ¿Puedo transferir datos personales de Europa a Estados Unidos?
- Por último, cabe mencionar que algunos proveedores estadounidenses, como Microsoft, ofrecen localización de datos utilizando centros de datos con sede en la UE.
- ¿A qué se debe todo este alboroto en torno a Google Analytics?
- Legislación sobre privacidad en EE.UU., en general
- Pensamientos finales
Entremos en materia
¿Qué normas se aplican a Google Analytics en Estados Unidos?
El GDPR no se aplica en Estados Unidos, ya que no es miembro de la Unión Europea ni del Espacio Económico Europeo. Sin embargo, las empresas estadounidenses aún deben cumplir con el GDPR si se dirigen al mercado europeo o supervisan los comportamientos en la UE (esto incluye el uso de Google Analytics para un sitio web dirigido a una audiencia europea).
Estados Unidos no es miembro de la Unión Europea ni del Espacio Económico Europeo.
Como Estados Unidos no tiene una ley federal de privacidad, las normas sobre cookies dependen de la legislación estatal aplicable. Por ejemplo, en virtud de la Ley de Privacidad del Consumidor de California, los sitios web deben informar a los visitantes sobre el uso de cookies y proporcionar un mecanismo de exclusión voluntaria.
¿Puedo transferir las cookies a otro sitio web?
¿Puedo transferir datos personales de Europa a Estados Unidos?
Por el momento, no existe una decisión de adecuación para Estados Unidos. En otras palabras, la Comisión Europea no ha "dado luz verde" a EE.UU. como país seguro para las transferencias de datos. Esto no significa que no pueda transferir datos personales a EE.UU., pero será más complicado que hacerlo a un país del EEE o a un país cubierto por la decisión de adecuación. Tendrá que basarse en uno de los diversos mecanismos del capítulo V del RGPD para que su transferencia cumpla con el RGPD (normalmente cláusulas contractuales tipo- CEC).
Las transferencias de datos a Estados Unidos son especialmente delicadas en este sentido. En 2013, las revelaciones de Edward Snowden destaparon programas de vigilancia invasivos y a gran escala de Estados Unidos sobre datos extranjeros. La filtración llevó finalmente al Tribunal de Justicia de la UE a invalidar dos decisiones de adecuación para Estados Unidos en las históricas sentencias Schrems I y II. El Tribunal también aclaró que las transferencias de datos a EE.UU. sólo son lícitas cuando el responsable del tratamiento aplica garantías efectivas para proteger los datos personales, además de cualquier mecanismo de cumplimiento "básico", como los SCC.
Implementación de dichas garantías.
Implantar dichas salvaguardas puede ser relativamente fácil para determinados servicios, pero puede resultar difícil o imposible para otros. Google Analytics es uno de ellos, razón por la cual varios organismos europeos de control de la privacidad lo prohibieron de manera efectiva en los respectivos estados miembros.
Los servicios basados en la nube, como Google Analytics y Google Analytics, son una de las principales amenazas para la privacidad.
Todos los servicios basados en la nube que necesitan procesar datos personales de forma transparente son problemáticos. Al utilizar este tipo de servicios, usted está asumiendo un riesgo de cumplimiento normativo. Es posible que desee tener en cuenta este riesgo y evaluar alternativas no basadas en EE.UU. (especialmente las europeas, ya que no tendrá que molestarse en aplicar cláusulas contractuales estándar u otros mecanismos del Capítulo V).
Cumplimiento de la normativa.
Tras la reciente orden ejecutiva del Presidente de EE.UU. Joe Biden sobre vigilancia electrónica, la Comisión Europea inició el procedimiento para adoptar una decisión de adecuación. Es casi seguro que al final se adopte una decisión de adecuación, pero probablemente se enfrente a recursos legales en el Tribunal de Justicia. Dos decisiones de este tipo han sido invalidadas en el pasado, por lo que es difícil predecir cómo se desarrollará una sentencia "Schrems III"
.
Por último, cabe mencionar que algunos proveedores estadounidenses, como Microsoft, ofrecen localización de datos mediante el uso de centros de datos con sede en la UE. La localización puede ayudarle a minimizar el riesgo de cumplimiento, pero aun así debe evaluar cuidadosamente su gobernanza de datos y valorar si pueden producirse transferencias de datos a EE.UU. en la prestación del servicio y en qué condiciones.
Por último, cabe mencionar que algunos proveedores estadounidenses, como Microsoft, ofrecen localización de datos utilizando centros de datos con sede en la UE.
¿A qué se debe todo este alboroto en torno a Google Analytics?
El rompecabezas legal en torno a las transferencias de datos a EEUU tiene consecuencias significativas para el uso de Google Analytics y llevó a decisiones importantes en varios países. Escribimos sobre esto ampliamente en nuestro blog, así que aquí va la historia en pocas palabras.
Como dijimos, la sentencia Schrems II de 2020 dificultó mucho más las transferencias de datos entre la UE y Estados Unidos. A pesar de ello, la mayoría de las empresas siguieron haciendo negocios como de costumbre con proveedores de servicios con sede en Estados Unidos. Mientras tanto, la ONG de protección de la privacidad noyb presentó 101 denuncias contra Google Analytics y Facebook connect en un esfuerzo estratégico por empujar a los organismos europeos de control de la privacidad hacia una aplicación más estricta de la sentencia Schrems II.
Las autoridades de protección de datos coordinaron su enfoque de las denuncias a nivel europeo. Como resultado, la Austrian, French, Italiana, y Húngara las APD se pronunciaron en contra del uso de Google Analytics en decisiones similares. La DPA danesa también adoptó una postura estricta en un comunicado de prensa. Todas las decisiones equivalen a una prohibición en todo el Estado, como explicamos aquí.
Con la coordinación a nivel europeo y las influyentes APD francesas e italianas a la cabeza, es probable que otras autoridades sigan el ejemplo y adopten una postura más dura frente a Google Analytics- y las transferencias de datos en general.
Privacidad.
Legislación sobre privacidad en EE.UU., en general
Estados Unidos no tiene una ley federal de privacidad, pero el Congreso estadounidense está debatiendo un proyecto de ley federal de privacidad (la American Data Privacy and Protection Act). Además, cinco Estados han adoptado su propia legislación en materia de privacidad (California, Virginia, Colorado, Connecticut y Utah).
Ley federal de privacidad.
Estados Unidos no cuenta con una agencia a nivel federal para hacer cumplir la normativa sobre privacidad, aunque la Comisión Federal de Comercio intenta a veces llenar el vacío en la práctica.
Pensamientos finales
Independientemente de que Google Analytics sea ilegal o no en Estados Unidos, lo cierto es que no favorece la privacidad de los visitantes de su sitio web. En un mundo en el que la vigilancia estatal y la mala conducta monopolística son más evidentes que nunca, luchamos por un Internet independiente.
La privacidad de los usuarios de Internet es un asunto de todos.
Con Simple Analytics, puede seguir recopilando información y descubriendo oportunidades a partir de los análisis de su sitio web sin utilizar cookies ni recopilar datos personales. Quiere ver qué aspecto tiene? Echa un vistazo a nuestro panel en vivo aquí.
Si esto te suena, pruébanos. Es gratis.