La autoridad finlandesa de protección de datos (Data Protection Ombudsman) falló en contra del uso de Google Analytics por parte de cuatro bibliotecas del área metropolitana de Helsinki. Es posible que ya hayas oído hablar de esto, porque las autoridades de Austria, Francia, Italia y Dinamarca consideraron que el uso de Google Analytics no es compatible con el GDPR. _
Puede leer el comunicado de prensa aquí.
En primer lugar, analizaremos el caso en pocas palabras y, a continuación, echaremos un vistazo al panorama general que hay detrás de la decisión. Entremos en materia.
(Actualización: la autoridad noruega le siguió en breve, aunque su decisión es aún preliminar. Dos meses después, Meta perdió un caso mucho mayor sobre las mismas cuestiones legales implicadas en las sentencias contra Google Analytics. El resultado fue una multa récord de 1.200 millones de euros y la posibilidad muy real de un apagón de Facebook en toda la UE)
Los Moomins huyendo. Acabado estilo cómic de Tove Jansson
La decisión
La autoridad encontró varias infracciones en materia de consentimiento y transparencia, pero las dejaremos de lado y nos centraremos en las transferencias de datos personales.
La autoridad no dijo nada nuevo a este respecto. Aclaró que EE.UU. no es un destino seguro para las transferencias de datos, de acuerdo con la sentencia Schrems II del Tribunal de Justicia de la UE. También determinó que las bibliotecas no aplicaron suficientes salvaguardias para las transferencias de datos exigidas por Google Analytics, lo que constituye una violación de las normas del GDPR sobre transferencias de datos. Esto es exactamente lo que dijeron otras autoridades europeas en casos similares, y sentará un precedente contra Google Analytics en otro Estado miembro de la UE.
Para que quede claro, técnicamente se trata de una decisión sobre un controlador de datos específico (las bibliotecas), pero tiene implicaciones generales para Finlandia. En teoría, un controlador diferente podría aplicar mejores salvaguardias y utilizar Google Analytics legalmente. Pero teoría es la palabra clave aquí porque, en la práctica, esto es simplemente imposible.
Todos los controladores de datos aceptan las mismas condiciones estandarizadas de Google, incluidas las mismas cláusulas de protección de datos. No tienen margen para negociar condiciones diferentes. Además, no pueden aplicar por su cuenta garantías técnicas suficientes porque no existen para Google Analytics.
El cifrado de extremo a extremo no funciona porque Google Analytics necesita procesar los ID de las cookies de forma transparente. El cifrado no de extremo a extremo es insuficiente porque el gobierno de EE.UU. puede exigir a Google que proporcione la clave de descifrado. La implementación de Google Analytics del lado del servidor podría funcionar en teoría, pero es onerosa y perjudicaría gravemente el rendimiento de la herramienta.
En resumen: si las autoridades finlandesas mantienen su postura, Google Analytics estará prácticamente prohibido en Finlandia.
Panorama general
Schrems I y II
Google Analytics ya tiene antecedentes de estar prácticamente prohibido en los países miembros de la UE. Pero la historia con las transferencias de datos es aún más larga, y una pequeña recapitulación puede aclarar el trasfondo de la decisión finlandesa.
Todo comenzó en 2012, cuando los archivos Snowden revelaron la existencia de amplios e indiscriminados programas de vigilancia sobre datos extranjeros en Estados Unidos. Un año después, el ciudadano austriaco Max Schrems (hoy un conocido activista por la privacidad) presentó una denuncia contra Facebook Irlanda. Alegó que la transferencia de sus datos personales a la empresa matriz estadounidense Facebook los exponía a la vigilancia de EE.UU. y, por tanto, era ilegal en virtud de la legislación de protección de datos de la UE. Este fue el comienzo de una larga batalla legal: el caso fue remitido dos veces al Tribunal de Justicia de la UE, lo que llevó a la invalidación de dos acuerdos de transferencia de datos entre la UE y los EE. UU. en las históricas sentencias Schrems I y II.
Schrems II se dictó en 2020 y afectó enormemente a las transferencias de datos por dos motivos. En primer lugar, el Tribunal invalidó el marco del Escudo de Privacidad, que anteriormente permitía transferencias de datos fáciles de la UE a EE.UU.. En segundo lugar, el Tribunal examinó las cláusulas contractuales tipo, un mecanismo de cumplimiento común para las empresas que desean transferir datos.
Debemos dedicar unas palabras a las cláusulas contractuales tipo (CCT). Las CEC son un conjunto de cláusulas normalizadas redactadas por la Comisión y destinadas a ser incorporadas a un acuerdo vinculante con un destinatario. En otras palabras, si desea transferir datos fuera de la UE, puede aplicar las CEC en un contrato, y las cláusulas indicarán a la otra parte lo que puede y no puede hacer con los datos. Es una forma de garantizar que los datos personales se transfieren de forma segura y confidencial fuera de la Unión. Pero hay un problema: estas cláusulas sólo vinculan a las partes del contrato y no hacen nada para impedir la vigilancia estatal.
Con Schrems II, el Tribunal no invalidó las CEC como mecanismo de transferencia de datos, pero dictaminó que deben complementarse con salvaguardias adicionales cuando sea necesario, como en el caso de Estados Unidos. Así que no basta con copiar y pegar, firmar el contrato y ya está. Hay que asegurarse de que los CEC funcionan realmente para la transferencia de datos y, si no lo hacen, hay que compensar esa falta de protección de alguna otra manera. El problema es que esto es difícil y a veces imposible de hacer cuando se trata de vigilancia estatal.
Las 101 denuncias
Justo después de la sentencia Schrems II, la ONG de defensa de la privacidad noyb (presidida por Schrems) presentó un conjunto de 101 denuncias estratégicas contra Google Analytics y Facebook Connect, en un intento de empujar a las autoridades europeas hacia una aplicación rigurosa de la sentencia Schrems II.
Las autoridades coordinaron su enfoque de las denuncias a escala europea. Como resultado, los organismos de control de la privacidad austriaco, francés** e** italiano fallaron en contra de Google Analytics al decidir sobre las quejas de noyb, y la autoridad danesa adoptó una postura similar en un comunicado de prensa. Las decisiones son todas iguales, y la finlandesa no es diferente. Todas estas autoridades están diciendo exactamente lo mismo: Google Analytics no puede mantener la seguridad de los datos personales.
Con la coordinación a nivel europeo, y las influyentes autoridades francesas e italianas a la cabeza, es probable que les sigan más autoridades.
¿Y ahora qué?
El problema de las transferencias de datos va más allá de Google Analytics: la aplicación estricta de los fundamentos de Schrems II hará difícil o imposible confiar en muchos proveedores de servicios estadounidenses. Por eso la UE y EE.UU. intentan encontrar una solución política.
La Unión Europea y EE.UU. negociaron un nuevo acuerdo de transferencia de datos denominado Marco Transatlántico de Privacidad. El Presidente de EE.UU., Joe Biden, firmó una orden ejecutiva para hacer posible el marco. La Comisión Europea elaboró un proyecto de decisión de adecuación, un acto que facilita la transferencia de datos. Los Estados miembros aún deben aprobar el proyecto de decisión antes de que entre en vigor.
Entonces, ¿todo va bien? No del todo: la próxima decisión será impugnada sin duda ante el Tribunal de Justicia de la UE.
Según el RGPD, la Comisión Europea no puede emitir una decisión de adecuación para un país solo porque le guste. La decisión es una evaluación del ordenamiento jurídico de un Estado y debe cumplir determinados criterios. El Tribunal ya invalidó dos acuerdos de transferencia de datos en el pasado por este motivo (sentencias Schrems I y II). Así que se avecina una sentencia Schrems III, y es difícil saber cómo se desarrollará.
El nuevo marco es bastante complejo. Supone un avance con respecto al pasado, pero es potencialmente problemático en algunos aspectos y puede que no sobreviva al escrutinio jurídico del Tribunal. Por el momento, el futuro de las transferencias de datos sigue siendo incierto.
Conclusiones
Tras este largo rodeo, podemos hacer algunas consideraciones finales del caso. En primer lugar, la decisión de la autoridad finlandesa no tiene nada que ver con las 101 denuncias. Así que las denuncias están influyendo en la forma en que se gestionan otros casos de transferencia de datos, que es exactamente lo que noyb pretendía conseguir con sus denuncias. En segundo lugar, la decisión se produce mucho después de que el Presidente de EE.UU. Joe Biden emitiera su orden ejecutiva. Esto sugiere que la aplicación de Schrems II no quedará en suspenso por las negociaciones políticas sobre la decisión de adecuación.
Me imagino que te estarás cansando de encontrarle sentido a estos cambios legislativos, pero desde el punto de vista de la privacidad, son necesarios. Si quieres mantenerte al margen de todo esto, las opciones de análisis respetuosas con la privacidad siguen proporcionándote la información que necesitas sobre el rendimiento de tu sitio web. Simple Analytics es una de ellas. Creemos que Internet debe ser independiente y un lugar amigable para los visitantes de sitios web. Si está de acuerdo con esto, pruebe Simple Analytics. Es la forma más sencilla de respetar la privacidad de sus clientes".