La CNIL mencionó explícitamente que el uso de Google Analytics sigue infringiendo el RGPD. Además, afirmó que no existen circunstancias en las que no sea así.
En el artículo que nos ocupa, desglosamos las declaraciones realizadas por la CNIL durante la sesión de preguntas y respuestas.
![niño de cinco años](https://assets.simpleanalytics.com/gifs/niño de cinco años.gif)
- Schrems II y la violación del Escudo de Privacidad 1.0
- Actualización del Escudo de Privacidad 2.0
- Conclusión de la sesión de preguntas y respuestas de la CNIL
- Soluciones
- ¿Por qué nos interesa?
¡Entremos en materia!
Schrems II y la violación del Escudo de Privacidad 1.0
La situación actual con Google Analytics se inició con la sentencia Schrems II que invalidó el escudo de privacidad 1.0. Según el GDPR, las transferencias de datos fuera de la UE solo son posibles si se pueden utilizar las garantías adecuadas. El escudo de privacidad actuaba como mecanismo para salvaguardar estas transferencias de datos.
Schrems II invalidó el escudo de privacidad: En resumen, la UE exige derechos de privacidad para sus ciudadanos que el gobierno estadounidense no respeta. Según la ley, Google es un "proveedor de servicios de comunicaciones electrónicas", lo que significa que debe revelar los datos de los ciudadanos de la UE si el servicio de inteligencia estadounidense se los pide.
Como respuesta, el DSB (organismo austriaco de control de la protección de datos) y la CNIL declararon que el uso de Google Analytics viola el GDPR y que las empresas de la UE que sigan utilizando Google Analytics pueden ser multadas.
Actualización del Escudo de Privacidad 2.0
Desde entonces, EE.UU. y la UE han anunciado un acuerdo político que sustituiría al invalidado escudo de privacidad. Hemos escrito sobre ello aquí y hemos tocado el hecho de que el acuerdo no tiene ningún mérito legal. Se trata más bien de un acuerdo político. Todavía no existe un documento legal, que tardará un tiempo en concretarse.
Así lo señaló también la CNIL en su sesión de preguntas y respuestas de la semana pasada. Mencionaron específicamente que la declaración conjunta no es un marco jurídico y no se puede confiar en ella. La CNIL espera que no se llegue a un acuerdo hasta finales de año. Sin embargo, cuando se finalice, es casi seguro que se enfrentará a nuevos desafíos legales para ver si realmente no es tan defectuoso como Privacy Shield 1.0. Para dar algo de perspectiva, el Escudo de la privacidad 1.0 se declaró inválido en julio de 2020. Hubo que esperar hasta febrero de 2022 para que la DSB y la CNIL tomaran medidas proactivas de aplicación.
Conclusión de la sesión de preguntas y respuestas de la CNIL
Según la agencia francesa de protección de datos, la principal conclusión de la sesión de preguntas y respuestas es que Google Analytics sigue siendo ilegal. La CNIL también confirmó haber enviado notificaciones formales a organizaciones entre el primer anuncio en febrero y ahora. Las empresas tienen un mes para cumplir la normativa; de lo contrario, recibirán una multa.
La CNIL afirma específicamente que los sitios web de la UE deben realizar cambios en su uso de Google Analytics. Sin embargo, también afirmaron que, con la información de que disponen, el uso de Google Analytics no es legal en ningún caso. Google propuso diferentes soluciones al respecto. La CNIL las rechazó todas.
Google confirmó que los datos están alojados en suelo estadounidense y que ningún cambio a ojos de la CNIL impediría la transferencia de datos personales. Google propuso dos soluciones:
- La anonimización de los datos personales.
- El uso de identificadores únicos.
La CNIL descartó ambas soluciones, ya que Google no podía demostrar que la anonimización de los datos se produjera antes de la transferencia de datos a EE.UU. El uso de identificadores únicos tampoco era suficiente, ya que los identificadores únicos podían combinarse con otros datos.
Además, la CNIL señala que Google está ofreciendo más soluciones que rastrean las direcciones IP, lo que significa que estos servicios permiten cotejar las direcciones IP y rastrear así el historial de navegación de los usuarios. También abordaron que el cifrado de datos no será suficiente mientras Google disponga de las claves de cifrado, lo que le permitirá acceder a los datos personales si lo desea.
Por todo lo anterior, podemos suponer que las multas probablemente irán en aumento. El hecho de que no existan circunstancias en las que Google Analytics pueda utilizarse legalmente hace que las directrices sean sencillas. Por lo tanto, la aplicación de la sentencia nunca ha sido tan fácil.
Existe un debate sobre si esto sólo se aplica a la versión actual de Google Analytics (análisis universal). La respuesta corta es que se aplica a todas las versiones y configuraciones de Google Analytics, por lo que también se aplica a la versión más reciente, Google Analytics 4. Hemos escrito sobre esto más ampliamente en este blog.
Soluciones
La primera solución propuesta fue el cifrado de datos, en el que la clave para descifrar los datos debería estar en manos del exportador de datos (o de un tercero de confianza con sede en la UE). De este modo, los datos de los ciudadanos de la UE estarían protegidos de ser entregados a los servicios de inteligencia estadounidenses.
Otra alternativa sería el uso de un servidor proxy. De este modo, no hay contacto directo entre el exportador de datos y Google, ya que el servidor proxy actuaría como intermediario.
La última opción propuesta sería pedir el consentimiento explícito de los usuarios para las transferencias de datos. Sin embargo, no es una solución viable, ya que sería un horror solicitarlo a cada visitante en cada visita. Así que esto sólo podría funcionar en circunstancias excepcionales.
Sin embargo, la aplicación de las soluciones anteriores podría ser costosa, y se plantea la cuestión de si también satisfarán las necesidades operativas.
Si todo esto le parece insuficiente y no quiere seguir lidiando con las molestias del GDPR, existen alternativas a Google Analytics respetuosas con la privacidad. Simple Analytics es una de ellas. Antes de presentar descaradamente nuestra solución como la mejor, hemos revisado todas las alternativas respetuosas con la privacidad y hemos encontrado cuatro soluciones que le interesarán.
¿Por qué nos interesa?
Somos un equipo independiente de dos personas que se preocupan por la privacidad y creen que el futuro de la analítica web es sin cookies por diseño. Si estás listo para abandonar Google Analytics y quieres probar lo que hemos creado, no dudes en darnos una oportunidad.