Vamos a decírtelo: no, Google Analytics no es ilegal en el Reino Unido. Los recientes problemas legales de Google Analytics se deben a que las autoridades europeas han dictaminado que el uso de Google Analytics constituye una violación de las normas GDPR sobre transferencias de datos extraeuropeas. Esto no afecta al Reino Unido, puesto que ya no es Estado miembro de la Unión Europea ni del Espacio Económico Europeo.
Sin embargo, dado que varios Estados miembros de la UE han considerado ilegal el uso de Google Analytics, merece la pena profundizar un poco más en este asunto y explorar el cambiante panorama.
- ¿Qué normas se aplican a Google Analytics en el Reino Unido?
- ¿Puedo transferir datos personales de Europa al Reino Unido?
- ¿A qué se debe todo este alboroto en torno a Google Analytics?
- Legislación sobre privacidad en el Reino Unido, en general
- Reflexiones finales
Entremos en materia.
¿Qué normas se aplican a Google Analytics en el Reino Unido?
Las normas sobre cookies son exactamente las mismas que en la UE y bastante estrictas. Según el Reglamento sobre privacidad y comunicaciones electrónicas (PECR), las cookies siempre requieren el consentimiento expreso del usuario, con muy pocas excepciones que no cubren las cookies de marketing y análisis web. Por lo tanto, Google Analytics requiere sin duda el consentimiento del usuario en el Reino Unido, al igual que en la UE.
¿Puedo transferir datos personales de Europa al Reino Unido?
La Comisión Europea adoptó una decisión de adecuación para el Reino Unido en 2021, declarando esencialmente al país un destino seguro para las transferencias de datos. Debido a esta decisión, las transferencias de datos a una empresa en el Reino Unido se tratan de la misma manera que, por ejemplo, las transferencias a una empresa eslovena u holandesa. Puede transferir datos de esta manera sin las cargas de cumplimiento que suelen conllevar las transferencias de datos extracomunitarias.
Tenga en cuenta que la Comisión revisa periódicamente las decisiones de adecuación. Si piensas basarte en una decisión de adecuación, asegúrate de que sigue siendo válida.
¿A qué se debe todo este alboroto en torno a Google Analytics?
La reciente tendencia de decisiones en contra de Google Analytics forma parte de un rompecabezas jurídico más amplio sobre las transferencias de datos entre el EEE y Estados Unidos. La cuestión no afecta directamente al Reino Unido, pero sí a los sitios web del Reino Unido que utilizan Google Analytics, siempre que se dirijan al mercado y al público europeos. Hemos escrito mucho sobre este tema en nuestro blog, así que aquí va una versión resumida.
La cuestión principal es la vigilancia estatal. Según el GDPR, los datos personales europeos solo pueden transferirse de forma segura fuera del EEE. Esto es difícil para las transferencias de datos estadounidenses porque el marco legal de Estados Unidos permite una vigilancia amplia e invasiva de los datos de ciudadanos extranjeros. Supongamos que una empresa del Reino Unido recopila datos personales de usuarios en la UE con Google Analytics. En ese caso, los datos se transferirán a Estados Unidos para que Google los procese, lo que crea el riesgo de que los datos sean objeto de vigilancia por parte de agencias estadounidenses.
Dos marcos diferentes de transferencia de datos (Safe Harbor y Privacy Shield) entre la UE y EE.UU. hicieron posible en el pasado transferencias de datos conformes con el RGPD, pero ambos marcos fueron invalidados por el Tribunal de Justicia de la UE en los asuntos Schrems I y II. Un tercer marco está en camino, pero sin duda se enfrentará a un desafío legal. Con la sentencia Schrems III ya en el horizonte, el futuro de los flujos de datos entre la UE y EE.UU. sigue siendo incierto.
Mientras tanto, las empresas deben recurrir a diferentes herramientas jurídicas (normalmente cláusulas contractuales tipo) para transferir legalmente datos a EE.UU. en virtud del RGPD. Sin embargo, el problema de estas herramientas es que no ofrecen protección contra la vigilancia estatal. Por este motivo, el Tribunal de Justicia aclaró en el asunto Schrems II que deben complementarse con medidas adicionales de protección de la privacidad siempre que se envíen datos a países "inseguros". Esto es difícil y totalmente imposible en el caso de las transferencias exigidas por determinados servicios basados en la nube, como Google Analytics (escribimos sobre esto aquí).
Después de la sentencia Schrems II en 2020, la mayoría de las empresas siguieron haciendo negocios como de costumbre con proveedores de servicios con sede en Estados Unidos. Mientras tanto, las autoridades de protección de datos coordinaron su enfoque de las transferencias de datos a nivel europeo. Como resultado, las DPA austriaca, francesa, italiana y húngara se pronunciaron en contra del uso de Google Analytics en decisiones similares. La DPA danesa también adoptó una postura estricta en un comunicado de prensa. Todas las decisiones equivalen prácticamente a una prohibición a escala estatal, como explicamos aquí. Es probable que otras APD sigan el ejemplo y adopten una postura más rígida con respecto a Google Analytics.
Legislación sobre privacidad en el Reino Unido, en general
El Reino Unido ya no es un Estado miembro de la UE. Sin embargo, el GDPR del Reino Unido y el PECR (que implementa la Directiva ePrivacy) siguen en vigor. Como resultado, el marco de protección de datos del Reino Unido es casi idéntico al europeo.
La Oficina del Comisario de Información (ICO) es la autoridad de protección de datos del Reino Unido y ejerce competencias similares a las de sus homólogos europeos. El actual Comisario es el neozelandés John Edwards.
(Por cierto, el sitio web de la ICO es una excelente fuente de información sobre la ley de privacidad, con muchas explicaciones precisas, detalladas y accesibles, la mayoría de las cuales se aplican también al GDPR y a la ley de protección de datos de la UE).
Reflexiones finales
Tanto si Google Analytics es ilegal en el Reino Unido como si no, no cabe duda de que no es respetuoso con la privacidad de los visitantes de su sitio web. En un mundo en el que la vigilancia estatal y la mala conducta monopolística son más evidentes que nunca, luchamos por un Internet independiente.
Con Simple Analytics, puede seguir obteniendo información y descubriendo oportunidades a partir de los análisis de su sitio web sin utilizar cookies ni recopilar datos personales. ¿Quiere ver qué aspecto tiene? Eche un vistazo a nuestro panel de control aquí.
Si le parece interesante, pruébenos. Es gratis.