Autores: Cécile Auvieux y Gerard Andreu
Google ha anunciado que una de sus herramientas más exitosas, Universal Analytics (también conocida como Google Analytics), dejará de procesar datos entre julio y octubre de 2023, y será sustituida por Google Analytics 4 (ya en el mercado). Este anuncio ha dejado frustrados y preocupados a los profesionales del marketing que han construido procesos de negocio enteros en torno a Google Analytics. ¿Por qué ocurre esto?
Sin minimizar las razones técnicas y de negocio de Google (según la compañía, GA4 propone nuevos modelos de datos, adaptados a la Internet de hoy y, sobre todo, del futuro), la explicación también está en la decisión del TJUE de julio de 2020 que invalidaba el Escudo de Privacidad sigue desplegando sus efectos, ahora con la posición de las Autoridades Europeas de Protección de Datos en contra del uso de Google Analytics.[1]
¿Qué es Google Analytics?
Google Analytics es una herramienta online muy utilizada y desarrollada por Google basada en el análisis y seguimiento de las páginas web. Permite al propietario del sitio web monitorizar el uso y la interacción del usuario con el sitio web. En definitiva, permite al propietario del sitio web conocer la actividad de los usuarios en su web, y diseñar estrategias comerciales más personalizadas en función de las necesidades detectadas.
Para sus mediciones, Google asigna un identificador a cada usuario de Internet, con el fin de afinar sus estadísticas y proporcionar servicios avanzados a sus clientes. Sin embargo, este identificador no es un dato más: es un dato personal, cuyo tratamiento está, por tanto, sujeto al GDPR.
¿Qué ha pasado?
Uno tras otro, el Supervisor Europeo de Protección de Datos («SEPD»)[2] , el austriaco[3] y las Autoridades Francesas de Protección de Datos (APD)[4] , han dictado sentencias contra el uso de Google Analytics por parte del Parlamento de la UE o las empresas europeas. Cabe señalar que las decisiones francesas y austriacas son avisos formales y que no se ha emitido ninguna sanción, todavía. La APD holandesa también ha publicado una advertencia contra la herramienta estadounidense.
Estas decisiones y posiciones se adoptaron tras la presentación de 101 demandas por parte de la asociación NOYB de Max Schrems contra responsables del tratamiento que supuestamente transfieren datos personales a Estados Unidos.
¿Qué pasa con Google Analytics?
Google Analytics está desarrollado por Google, una empresa de Estados Unidos (EE.UU.) sujeta a la Cloud Act, una ley federal estadounidense que permite al gobierno de EE.UU. acceder a los datos de los servidores de las empresas de su país, independientemente de su ubicación.
Según Google, una vez recogidos los datos del usuario, éstos son seudonimizados y analizados. Sin embargo, las APD de la UE descubrieron que este identificador se combina con los datos recogidos a través de otras herramientas de Google, como la cuenta de Google del usuario, de modo que el hecho de anonimizar la IP del usuario es irrelevante, ya que puede asociarse a una cuenta, lo que significa que el usuario sigue siendo identificable y el identificador de Google Analytics sigue siendo un dato personal.
Dado que estos identificadores se transfieren sistemáticamente a los servidores de Google en Estados Unidos, se trata de una transferencia internacional de datos personales que, de acuerdo con el RGPD y Schrem II, debe estar sujeta a las salvaguardas adecuadas, es decir, a las nuevas cláusulas contractuales estándar y a suficientes medidas de seguridad adicionales[5] .
En los casos en cuestión, los responsables del tratamiento de los datos habían firmado con Google cláusulas contractuales para la transferencia de sus datos personales a Estados Unidos, y Google había aplicado medidas legales, organizativas y técnicas adicionales para controlar la transferencia de datos. Los responsables del tratamiento declararon que no tenían pruebas que indicaran que se habían incumplido estas cláusulas.
Sin embargo, según las APD de la UE, las medidas adicionales adoptadas, presentadas por Google, no son eficaces en la medida en que ninguna de ellas resuelve los problemas específicos del caso. En efecto, ninguna de ellas impide que los servicios de inteligencia estadounidenses accedan a los datos en cuestión o hace que dicho acceso sea ineficaz. Por lo tanto, el uso de Google Analytics infringe el RGPD.
¿Qué significa para las empresas que transfieren datos personales a Estados Unidos?
De acuerdo con las decisiones de las DPA austriacas y francesas, todos los sitios web que utilizan la herramienta Google Analytics infringen el RGPD. Pero significa lo mismo para cualquier empresa que transfiera datos personales a los Estados Unidos sin asegurarse de que el receptor de los datos aplique medidas adicionales suficientes para impedir que los servicios de inteligencia estadounidenses accedan a dichos datos.
¿Cuáles son estas medidas? Las APD no lo dicen.
Pero lo que se sugiere es que sólo la incapacidad técnica de acceder a los datos personales en texto sin formato puede considerarse adecuada, lo que es incompatible con la prestación de la mayoría de los servicios en la nube. Por lo tanto, se podría argumentar que mientras exista una legislación en EE.UU. que permita el acceso a los datos personales, cualquier transferencia internacional se llevará a cabo incumpliendo el RGPD.
Al final, quedan pocas opciones. Los proveedores estadounidenses de servicios de comunicaciones electrónicas, como Google, tendrán que instalar sus servidores en la UE o será cada vez más necesario priorizar el uso de proveedores europeos sobre los extranjeros.
Mientras tanto, la Unión Europea y Estados Unidos han llegado a un acuerdo en un Escudo de Privacidad 3.0 (que podría sacar a las empresas de este momento de incertidumbre regulatoria -siempre que pase la prueba del Tribunal Europeo, pues Max Schrems ya ha indicado que no dudará en impugnar el nuevo texto-) y Google ha anunciado que la nueva versión de Google Analytics, GA4, ha sido construida con un mayor grado de privacidad.
[1] La sentencia del TJUE invalidó el sistema estadounidense del Escudo de Privacidad, al considerar que no cumplía con las garantías exigidas por el RGPD a la hora de realizar transferencias de datos personales a Estados Unidos. Las razones principales fueron los programas de vigilancia de EE.UU. que permiten a las autoridades acceder a los datos personales de la UE transferidos a EE.UU., junto con la falta de mecanismos eficaces para hacer cumplir los derechos de los interesados. La Comisión de la UE también había actualizado sus Cláusulas Contractuales Tipo para las transferencias internacionales, dictaminando sin embargo que, en el caso de EE.UU., estas cláusulas no pueden por sí solas proporcionar un nivel de protección suficiente en la medida en que las salvaguardias que ofrecen quedan sin aplicar en caso de acceso por parte de dichos servicios de inteligencia. Por lo tanto, deben complementarse con medidas adicionales.
[2] SEPD, asunto 2020-1013 contra el Parlamento Europeo
[3] Datenschutzbehörde, 2021-0.586.257 (en alemán)
[4] CNIL, Mise en demeure (en francés)
[5] Recomendaciones 01/2020 sobre las medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE
