El 13 de enero, la Autoridad Holandesa de Protección de Datos (AP) cuestionó abiertamente el uso legal de Google Analytics en los Países Bajos. En su declaración, la AP dio a entender que el uso de Google Analytics podría prohibirse en el futuro.
Esto se produce después de que la DSB (el equivalente austriaco de la AP) confirmara que el uso de Google Analytics infringe la normativa GDPR.
Hemos indagado un poco más para ver qué está pasando realmente en este momento.
¡Exploremos!
La denuncia
El 14 de agosto de 2020, alguien (llamémosle el "interesado") visitó un sitio web sobre temas de salud mientras estaba conectado con sus credenciales. El sitio web en cuestión utilizaba Google Analytics para rastrear y supervisar a los visitantes de su sitio web.
Pocos días después, el 18 de agosto de 2020, noyb (una ONG de derechos digitales) presentó una denuncia ante el OSD en nombre del "interesado". La denuncia se presentó tanto contra el proveedor del sitio web como contra Google, como propietario de Google Analytics.
En la denuncia se argumentaba que la transferencia de datos a Google viola la normativa GDPR, ya que Google se califica como "proveedor de servicios de comunicación electrónica". Esto significa que se puede ordenar a Google que revele datos a los servicios de inteligencia estadounidenses sobre ciudadanos de la UE. Esto significa que los datos personales de los ciudadanos de la UE no están suficientemente protegidos de la vigilancia estadounidense y, por tanto, infringen la normativa GDPR.
Este es el punto crítico de la denuncia. Dicho sin rodeos: No se trata del uso de Google Analytics. Se trata de la transferencia de sus datos personales a proveedores estadounidenses.
La sentencia
La primera denuncia dio lugar a una decisión que aplica los criterios de "Schrems II". Schrems II es una sentencia histórica sobre transferencias de datos que hace mucho más difícil transferir datos a Estados Unidos. Hasta ahora, las empresas habían ignorado en gran medida esta sentencia. De hecho, las denuncias de noyb intentan que las autoridades apliquen Schrems II de forma estricta.
La denuncia presentada por noyb incluía múltiples alegaciones de ambas partes durante un año y medio. Google argumentó que incluso si hubiera habido una transferencia, los datos no se calificarían como datos personales porque no podrían asignarse al "interesado". Además, alegaron que debía tenerse en cuenta un "enfoque basado en el riesgo", ya que el riesgo de tener que revelar realmente los datos era muy bajo.
El OSD dictaminó lo contrario y desestimó la mayoría de los argumentos planteados por Google.
Google es un "proveedor de servicios de comunicaciones electrónicas" y se le puede ordenar que revele datos personales. Por tanto, el nivel de protección de los datos personales se considera inadecuado. Las medidas adicionales establecidas por Google se consideraron insuficientes. No pudieron impedir la revelación de datos personales a los servicios de inteligencia estadounidenses.
Respuesta de Google
Russell Ketchum, Jefe de Gestión de Productos de Google Analytics, respondió en nombre de Google. Afirmó que "Google Analytics ayuda a los consumidores a cumplir la normativa proporcionándoles una serie de controles y recursos". Afirmó que las direcciones IP se pueden anonimizar y que la recopilación de datos se puede desactivar y eliminar (previa solicitud).
Creo que no ha entendido nada. En su respuesta, habla principalmente desde el punto de vista del propietario del sitio web. Afirma que las organizaciones controlan los datos que recogen. Sin embargo, no se trata de los propietarios de los sitios web. Se trata de los visitantes. Sus datos deben estar protegidos, y para eso se ha creado el GDPR.
La cuestión es la transferencia de datos a proveedores estadounidenses, sujetos a la vigilancia del gobierno de Estados Unidos, como Google. Sólo se refiere a esto en una frase, afirmando que antes de transferir los datos a servidores de EE.UU., las direcciones IP se anonimizan.
Esto sigue violando la normativa GDPR. El OSD dictaminó que incluso las direcciones IP anonimizadas son datos personales, dado el potencial que tienen de combinarse con otros datos digitales para identificar a un visitante. Aquí es también donde la mayoría de las alternativas a Google Analytics respetuosas con la privacidad se equivocan. En Simple Analytics, nunca recopilamos su dirección IP, ni siquiera de forma anónima, a diferencia de otras alternativas respetuosas con la privacidad.
Actualizaciones
Hasta junio de 2023, no ha habido ninguna nueva comunicación sobre el caso por parte de la autoridad holandesa. Pero hay muchas otras novedades, y todas son malas noticias para Google Analytics:
- las autoridades de privacidad francesas, italianas, noruegas y finlandesas se pronunciaron en contra del uso de Google Analytics (aunque la decisión finlandesa aún es preliminar)
- la autoridad danesa adoptó la misma postura en un comunicado de prensa
- seordenó a Meta detener las transferencias de datos estadounidenses para Facebook y se le impuso una multa de 1.200 millones de euros en un sonado caso en el que participaron todas las autoridades europeas de protección de la intimidad.
Mientras tanto, la UE y EE.UU. han dado pasos hacia un nuevo marco de transferencia de datos. El marco aún no se ha aplicado plenamente y seguramente será impugnado ante el Tribunal de Justicia, muy probablemente por el propio Sr. Schrems. En resumen, Schrems III será un bautismo de fuego y es difícil saber si el nuevo marco sobrevivirá.
Implicaciones
En resumen: Es una decisión acertada, pero no nueva. Es una confirmación de lo que se dictaminó en julio de 2020, pero ahora parece tener más impacto. Personalmente, tengo la sensación de que ahora se aplicará la ley.
Si creemos que es así, espero que más Estados miembros de la UE sigan el ejemplo austriaco. La NOYB ha presentado un total de 101 denuncias en más Estados miembros de la UE y habla de una "respuesta coordinada". Los Países Bajos son los primeros en cuestionar el uso legal de Google Analytics después de que Austria lo hiciera abiertamente.
Como señaló Max Schrems (miembro honorario de noyb), hay dos soluciones. O bien los proveedores estadounidenses tendrán que alojar los datos extranjeros fuera de EE.UU., o bien EE.UU. adopta una normativa adecuada de protección de datos.
Si no se aplica una de las soluciones mencionadas, en el futuro utilizaremos productos diferentes al otro lado del charco. En cualquier caso, esto brinda a otros la oportunidad de competir con Google y las "grandes tecnológicas" en su conjunto.
En Simple Analytics hemos creado una alternativa a Google Analytics que da prioridad a la privacidad. Nuestra misión es mostrar a las organizaciones que la analítica web se puede hacer de otra manera, proporcionando información precisa y cumpliendo con la GDPR desde el primer momento. Además, nunca tendrá que preocuparse de si los datos de sus visitantes se transfieren a proveedores estadounidenses, ya que nuestros servidores se encuentran en los Países Bajos. Pruébenos.