Vamos a decírtelo: no, Google Analytics no es ilegal en Australia. Los recientes problemas legales de Google Analytics se deben a que las autoridades europeas han dictaminado que el uso de Google Analytics constituye una violación de las normas del GDPR sobre transferencias de datos extraeuropeas.
Sin embargo, dado que varios Estados miembros de la UE han declarado ilegal el uso de Google Analytics, merece la pena profundizar un poco más y explorar el cambiante panorama.
- ¿Qué normas se aplican a Google Analytics en Australia?
- ¿Puedo transferir datos personales de Europa a Australia?
- ¿A qué se debe todo este alboroto en torno a Google Analytics?
- Legislación sobre privacidad en Australia, en general
- Reflexiones finales
Entremos en materia.
¿Qué normas se aplican a Google Analytics en Australia?
El GDPR no se aplica en Australia, ya que no es un Estado miembro de la Unión Europea ni del Espacio Económico Europeo. Sin embargo, las empresas australianas deben cumplir el GDPR si se dirigen al mercado europeo o supervisan el comportamiento de los usuarios de la UE**(esto incluye el uso de Google Analytics para un sitio web dirigido a un público europeo**).
La legislación australiana exige que los sitios web informen al usuario sobre el uso de cookies. Sin embargo, no es necesario el consentimiento explícito. Esto significa que Google Analytics puede implantarse sin recabar el consentimiento del usuario.
¿Puedo transferir datos personales de Europa a Australia?
La Comisión Europea no ha adoptado una decisión de adecuación para Australia. Esto significa que el país no ha recibido "luz verde" como destino seguro para las transferencias de datos.
Las transferencias de datos a Australia siguen siendo posibles, pero son más onerosas en comparación con los países cubiertos por una decisión de adecuación. Las transferencias a Australia requieren la aplicación de uno de los varios mecanismos legales enumerados en el capítulo V del RGPD (el más común son las cláusulas contractuales tipo de la Comisión Europea, que deben aplicarse en un contrato con el destinatario). También debe realizarse una evaluación del impacto de la transferencia de datos (EIDT).
¿A qué se debe todo este alboroto en torno a Google Analytics?
La reciente tendencia de decisiones en contra de Google Analytics forma parte de un rompecabezas jurídico más amplio sobre las transferencias de datos entre el EEE y Estados Unidos. La cuestión no afecta directamente a Australia, pero sí a los sitios web australianos que utilizan Google Analytics, siempre que se dirijan al mercado y al público europeos. Hemos escrito mucho sobre este tema en nuestro blog, así que aquí va una versión resumida.
La cuestión central es la vigilancia estatal. Según el GDPR, los datos personales europeos solo pueden transferirse de forma segura fuera del EEE. Esto es difícil para las transferencias de datos estadounidenses porque el marco legal de Estados Unidos permite una vigilancia amplia e invasiva de los datos de ciudadanos extranjeros. Supongamos que una empresa australiana recopila datos personales de usuarios en la UE con Google Analytics. En ese caso, los datos se transferirán a EE.UU. para que Google los procese, lo que crea el riesgo de que los datos sean objeto de vigilancia por parte de agencias estadounidenses.
Dos marcos diferentes de transferencia de datos (Safe Harbor y Privacy Shield) entre la UE y EE.UU. hicieron posible en el pasado transferencias de datos conformes con el RGPD, pero ambos marcos fueron invalidados por el Tribunal de Justicia de la UE en los asuntos Schrems I y II. Un tercer marco está en camino, pero sin duda se enfrentará a un desafío legal. Con la sentencia Schrems III ya en el horizonte, el futuro de los flujos de datos entre la UE y EE.UU. sigue siendo incierto.
Mientras tanto, las empresas deben recurrir a diferentes herramientas jurídicas (normalmente cláusulas contractuales tipo) para transferir legalmente datos a EE.UU. en virtud del RGPD. Sin embargo, el problema de estas herramientas es que no ofrecen protección contra la vigilancia estatal. Por este motivo, el Tribunal de Justicia aclaró en el asunto Schrems II que deben complementarse con medidas adicionales de protección de la privacidad siempre que se envíen datos a países "inseguros". Esto es difícil y totalmente imposible en el caso de las transferencias exigidas por determinados servicios basados en la nube, como Google Analytics (escribimos sobre este tema aquí).
Después de la sentencia Schrems II en 2020, la mayoría de las empresas siguieron haciendo negocios como de costumbre con proveedores de servicios con sede en Estados Unidos. Mientras tanto, las autoridades de protección de datos coordinaron su enfoque de las transferencias de datos a nivel europeo. Como resultado, las DPA austriaca, francesa, italiana y húngara se pronunciaron en contra del uso de Google Analytics en decisiones similares. La APD danesa también adoptó una postura estricta en un comunicado de prensa. Todas las decisiones equivalen prácticamente a una prohibición a escala estatal, como explicamos aquí. Es probable que otras APD sigan el ejemplo y adopten una postura más rígida con respecto a Google Analytics.
Legislación sobre privacidad en Australia, en general
A nivel federal, la principal ley de privacidad de Australia es la Ley de Privacidad de 1988. La Ley se complementa con la legislación estatal y con otras leyes que regulan sectores específicos, como los servicios financieros. El Comisario de Información australiano es la autoridad independiente de protección de datos del país y desempeña un papel importante en la aplicación de la legislación sobre privacidad.
Hay que tener en cuenta que la legislación australiana no reconoce la violación de la privacidad como un agravio (es decir, como una causa o tipo específico de acción legal en derecho privado). Por esta razón, hacer valer los derechos de privacidad en Australia puede ser más complicado que en otros países de common law como EE.UU. y el Reino Unido.
Reflexiones finales
Tanto si Google Analytics es ilegal en Australia como si no, lo cierto es que no favorece la privacidad de los visitantes de su sitio web. En un mundo en el que la vigilancia estatal y la mala conducta monopolística son más evidentes que nunca, luchamos por un Internet independiente.
Con Simple Analytics, puede seguir recopilando información y descubriendo oportunidades a partir de los análisis de su sitio web sin utilizar cookies ni recopilar datos personales. ¿Quiere ver qué aspecto tiene? Eche un vistazo a nuestro panel de control aquí.
Si está de acuerdo, pruébenos. Es gratis.