Siguen los problemas legales para Google Analytics. El 10 de mayo, el Tribunal de Distrito de Colonia falló en contra del uso de Google Analytics. Dos días más tarde, el Tribunal Administrativo Federal de Austria llegó a la misma conclusión y confirmó una decisión en contra de Google Analytics de la autoridad austriaca de protección de datos.
- La decisión alemana
- La decisión austriaca
- Lo que hay que saber
- Las principales cuestiones jurídicas
- Medidas complementarias: un problema general
- ¿Y ahora qué?
- Conclusiones
Entremos en materia
La decisión alemana
El caso fue presentado por el centro de consumidores de Nordrhein-Westphalen contra Deutsche Telekom, el mayor proveedor de telecomunicaciones del mercado alemán.
El sitio web de Deutsche Telekom utilizaba Google Analytics y enviaba información personal a los servidores de Google en EE.UU. para su procesamiento. La central de consumidores alegó lo obvio: a la luz de la sentencia Schrems II, esta transferencia de datos no cumplía el RGPD.
Como era de esperar, el Tribunal le dio la razón y ordenó a Deutsche Telekom que dejara de enviar información personal a Estados Unidos con fines de marketing y análisis web. En la práctica, esto equivale a una orden de desestimar el uso de Google Analytics.
La demanda también se refería a otras cuestiones de privacidad, como el diseño confuso del banner de cookies del sitio web y la transmisión de datos personales a agencias de crédito. Sólo prosperaron las demandas relacionadas con Google Analytics.
Dados los recursos de Deutsche Telkom y la cantidad de datos personales implicados, esperamos que la empresa recurra la decisión.
La decisión austriaca
La decisión austriaca tiene su origen en una de las 101 reclamaciones de NGO noyb que ya hemos analizado en profundidad. Se trata de un recurso contra una decisión anterior adoptada por la autoridad austriaca de protección de la intimidad (DSB); de hecho, es la primera decisión contra las transferencias de datos de Google Analytics por parte de una autoridad europea de protección de la intimidad.
En cuanto a los hechos, un particular representado por noyb denunció que un sitio web anónimo infringía las normas del RGPD sobre transferencia de datos al transferir sus datos personales a Estados Unidos a través de Google Analytics sin garantías suficientes. La denuncia fue estimada por la APD austriaca y la decisión fue recurrida por el propietario del sitio web.
El Tribunal Administrativo Federal austriaco confirmó la decisión de la DPA y rechazó las defensas del propietario del sitio web, incluido el controvertido** enfoque basado en el riesgo** de las transferencias de datos.
Según el gdprhub, el propietario del sitio web tiene intención de recurrir de nuevo la decisión ante el Tribunal Supremo Administrativo austriaco.
Lo que hay que saber
Las dos decisiones no aportan nada nuevo desde el punto de vista jurídico, pero demuestran que la aplicación de Schrems II no se limita a las autoridades de protección de la intimidad: los tribunales también están interviniendo.
Ya ocurrió algo parecido hace un tiempo, cuando un tribunal administrativo alemán falló en contra del uso de Google Analytics. Pero la decisión vino con una motivación chapucera y fue anulada en apelación.
Estas dos sentencias son diferentes. Tienen una motivación clara y bien razonada y, en nuestra opinión, tienen muchas posibilidades de ser confirmadas en caso de impugnación.
Y, por supuesto, la decisión austriaca, al ser una apelación, sugiere que el enfoque del OSD sobre la cuestión de las transferencias de datos es sólido. Por otra parte, esto ya era evidente. Las autoridades italianas, francesas, finlandesas y noruegas adoptaron decisiones prácticamente idénticas, y la autoridad irlandesa y la Junta Europea de Protección de Datos utilizaron exactamente los mismos criterios al evaluar las transferencias de datos de Meta.
Las principales cuestiones jurídicas
Las decisiones no son en absoluto nuevas y se limitan a aplicar los criterios ya establecidos en la famosa sentencia Schrems II del Tribunal de Justicia de la UE. Las transferencias de datos son una larga historia que ya hemos tratado en detalle, por lo que aquí seremos breves.
El RGPD exige que las transferencias de datos extracomunitarias sean seguras. Sin embargo, los datos europeos (así como todos los datos extranjeros) transferidos a Estados Unidos están sujetos a una amplia vigilancia estatal, como demuestran los archivos confidenciales filtrados por Edward Snowden. Este sistema de vigilancia dificulta que las organizaciones europeas transfieran datos a Estados Unidos de forma legal y segura.
En los dos casos que nos ocupan, las transferencias de datos tuvieron lugar entre Google Ireland y su empresa matriz estadounidense Google LLC. Para que esta transferencia de datos fuera segura y legal, Google utilizó una salvaguardia específica denominada cláusulas contractuales tipo (CCT ).
Las cláusulas contractuales tipo son un mecanismo de transferencia de datos establecido por el RGPD. En pocas palabras, son cláusulas que indican a las empresas lo que pueden y no pueden hacer con los datos personales que reciben.... Las cláusulas SCC se incorporan a un contrato y son vinculantes para la empresa que recibe los datos. Por su carácter vinculante, las CEC pueden suplir la falta de legislación sobre privacidad en el sector privado.
Pero la sentencia Schrems II puso de relieve un problema clave de las CEC: no son vinculantes para EE.UU. ni para ningún otro Estado extranjero. Por sí solas, las CEC no pueden proteger los datos personales de la vigilancia estatal.
Por eso Schrems II exige a las organizaciones que adopten medidas suplementarias cuando transfieran datos a EE.UU. y a otros países con una amplia vigilancia electrónica. Pero esto es difícil para muchos servicios y totalmente imposible para Google Analytics, porque Google LLC necesita acceder a los datos y analizarlos en claro para poder prestar el servicio.
Esta falta de medidas complementarias está en el centro de todas las decisiones en contra de la transferencia de datos de Google Analytics. Siempre que se plantea la cuestión de la transferencia de datos, las autoridades de protección de la intimidad se atienen a las normas Schrems II y examinan las medidas complementarias. Y siempre las encuentran insuficientes, porque sencillamente no hay medidas que puedan mantener la confidencialidad de las transferencias de datos para Google Analytics.
Medidas complementarias: un problema general
Las transferencias de datos y las medidas complementarias son problemas generales. La aplicación de salvaguardias adecuadas es complicada para algunos servicios y totalmente imposible para otros.
Este es también el caso de Google Analytics. Según la legislación estadounidense, las agencias de vigilancia pueden exigir a los proveedores de comunicaciones estadounidenses (incluido Google) que faciliten cualquier dato extranjero que controlen.
El cifrado puede ayudar, pero no en el caso de Google Analytics. Para que el servicio funcione, Google necesita acceder a los datos en claro para poder analizarlos. Y según la legislación estadounidense, también se puede exigir a Google que proporcione una clave de cifrado al gobierno. Así que cualquier dato al que Google pueda acceder sin cifrar, el gobierno también puede acceder sin cifrar.
Existen medidas complementarias al cifrado, pero cuando se trata de Google, ninguna de ellas encaja realmente, como explicamos aquí.
En pocas palabras, ninguna solución funciona para Google Analytics. Lo hemos visto una y otra vez con las decisiones en contra de Google Analytics. Las sentencias de las autoridades de protección de datos austriacas, francesas, italianas, noruegas y finlandesas dicen todas lo mismo: Google Analytics no puede transferir datos de forma segura.
Además, todas estas decisiones son el resultado de un enfoque coordinado del problema a nivel europeo. Y ese mismo planteamiento condujo recientemente a una decisión histórica y a una multa récord contra Meta, exactamente por los mismos problemas legales que aquejan a Google Analytics.
La orden dictada contra Meta es la prueba de que, para algunos servicios, simplemente no hay solución para hacer segura la transferencia de datos hasta que cambie la situación legal. Meta es una de las empresas multinacionales más grandes y ricas del mundo, con acceso a todos los conocimientos jurídicos y técnicos que pueda desear. La empresa tenía 1.200 millones de buenas razones para proteger sus transferencias de datos, pero no lo hizo y ahora se enfrenta al riesgo de un apagón de Facebook en toda la UE.
Por supuesto, usted es libre de intentar hacerlo mejor que Meta. Pero, ¿cuántos millones tiene de presupuesto?
¿Y ahora qué?
Independientemente del resultado del caso, los tribunales están empezando a recoger la postura dura sobre las transferencias de datos ya adoptada por las autoridades de protección de datos. Si la tendencia continúa, Google Analytics supondrá un riesgo de cumplimiento cada vez mayor para las empresas.
El mensaje es muy claro: se acabó el recreo . A partir de ahora, la aplicación de la normativa se pondrá seria.
La UE está intentando resolver el problema de las transferencias de datos promulgando un nuevo marco de transferencia de datos entre la UE y EE.UU. (el Marco Transatlántico de Privacidad de Datos). Pero el marco aún no ha entrado en vigor y seguramente será impugnado ante el Tribunal de Justicia. Es difícil saber cómo se desarrollarán los acontecimientos, pero existe una posibilidad muy real de que el Tribunal rechace el nuevo marco, al igual que hizo con los marcos de Puerto Seguro y Escudo de Privacidad en las sentencias Schrems I y II.
En resumen: el futuro de las transferencias de datos sigue siendo incierto.
Conclusiones
Entre los interminables problemas legales de Google Analytics con las transferencias de datos y la próxima desaparición de Universal Analytics, este es un buen momento para abandonar Google Analytics en favor de otro proveedor. Y nosotros tenemos uno para usted.
En Simple Analytics creemos que la analítica web puede ser ética y respetuosa con la privacidad. Por eso creamos nuestro servicio para proporcionar una gran información a nuestros clientes sin recopilar ni un solo dato personal de sus visitantes. Si esto le parece bien, no dude en probarlo.