Durante el transcurso de 2022, se han emitido varias decisiones de las autoridades de control de Austria, Francia e Italia poniendo en el ojo del huracán al uso de cookies de Google Analytics.
Los casos que analizaron las autoridades de control anteriormente enunciadas, fueron impulsados por las quejas presentadas por la organización None of Your Business («NOYB») a varias autoridades de supervisión europeas tras la sentencia del Tribunal de Justicia de la Unión Europea en el llamado caso Shrems II. Las quejas se referían al uso de la herramienta de Google Analytics, que, en opinión de NOYB, implica transferencias de datos personales de los visitantes del sitio web a Google en los EE. UU. en incumplimiento del Reglamento Europeo de protección de datos.
Google Analytics es una herramienta que permite a los propietarios de sitios web compilar estadísticas sobre los visitantes del sitio web, entre otras cosas, con el fin de optimizar el contenido del sitio web. Esto se hace asignando al visitante un identificador único para generar estadísticas sobre visitas al sitio web, páginas vistas, etc. Además del identificador individual, se recopilan más datos sobre la interacción del visitante con el sitio web, la hora aproximada de la visita, así como datos sobre el navegador, el sistema operativo, etc. del visitante.
Las organizaciones europeas que deseen utilizar Google Analytics firman un acuerdo con Google Ireland Ltd para hacerlo. Como parte de este marco contractual, Google se ofrece a celebrar las llamadas cláusulas contractuales estándar que proporcionan a los interesados una serie de salvaguardias y derechos en relación con la transferencia de datos personales a Google LLC en los Estados Unidos.
Sin embargo, este contrato no siempre puede garantizar en sí mismo un nivel de protección que sea esencialmente equivalente al de la UE/EEE. Esto es particularmente cierto en los casos en que las autoridades encargadas de hacer cumplir la ley del tercer país pueden acceder a los datos personales transferidos en una medida desproporcionada y en contravención de las leyes europeas fundamentales.
Específicamente, la cuestión central en los casos es que los datos personales transferidos a los Estados Unidos no se les garantiza, en ciertos casos, un nivel de protección que sea esencialmente equivalente al de la UE/EEE. Esto se debe a que algunas leyes de los Estados Unidos – la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) y la Orden Ejecutiva 12 333, leída junto con la Directiva de Política Presidencial-28 – no cumplen con los requisitos de proporcionalidad de la legislación de la UE en caso de interferencia con los derechos fundamentales, ni los interesados (europeos) tienen derecho a Esto ha sido sostenido por el Tribunal de Justicia de la Unión Europea en el mencionado caso Schrems II. Por lo tanto, para la transferencia de datos personales a organizaciones de los Estados Unidos dentro del alcance de la legislación mencionada anteriormente, es necesario implementar medidas complementarias para elevar el nivel general de protección de datos a un nivel que sea esencialmente equivalente al de la UE/EEE. Tales medidas pueden ser de naturaleza técnica, contractual y organizativa.
En los casos, Google indicó que la empresa había implementado medidas contractuales, organizativas y técnicas adicionales. Sin embargo, las autoridades de supervisión consideraron que estas medidas no podían garantizar un nivel efectivo de protección de los datos transferidos, ya que las medidas no eran adecuadas para impedir el acceso a los datos personales transferidos por parte de las autoridades policiales de los Estados Unidos.
En consecuencia, la transferencia de datos personales a los Estados Unidos a través de Google Analytics se consideró ilegal.
¿Es posible configurar la herramienta de Google Analytics de tal manera que los datos personales no se transfieran a EEUU?
En sus respuestas a las autoridades de control europeas, Google ha declarado que todos los datos recopilados a través de Google Analytics se procesan y almacenan en los Estados Unidos.
Además, la Agencia Danesa de Protección de Datos no tiene conocimiento de ningún cambio en la configuración técnica de Google, ya que las decisiones implican que Google Analytics se pueda proporcionar sin ninguna transferencia de datos personales a los Estados Unidos. Para mayor claridad sobre este asunto, la Agencia Danesa de Protección de Datos remite a las organizaciones que desean utilizar Google Analytics para que se pongan en contacto con Google como proveedor de Google Analytics.
¿Es posible configurar la herramienta de Google Analytics de tal manera que no se recopilen datos personales?
En esencia, la Ley de Protección de Datos se aplica al tratamiento de datos personales. Por el contrario, la Ley de Protección de Datos no se aplica cuando los datos recopilados y tratados no son datos personales.
Tras las decisiones emitidas, se han discutido si es posible configurar Google Analytics de tal manera que no se recopilen datos personales.
Básicamente, Google Analytics funciona asignando un identificador único al visitante del sitio web. Además del identificador individual, se recopilan datos adicionales sobre la interacción del visitante con el sitio web, la hora aproximada de la visita y los datos sobre el navegador, el sistema operativo, etc. del visitante.
Creo que he configurado Google Analytics de tal manera que no se recopilan datos personales ¿Realizo una ilegalidad si sigo usando Google Analytics?
No, la Agencia Danesa de Protección de Datos no ha prohibido el uso de Google Analytics.
La Agencia Danesa de Protección de Datos no tiene el poder de prohibir ciertos productos, pero evalúa, completamente neutral con la tecnología, si el tratamiento de datos personales de una o más maneras, incluso por medio de tecnologías específicas, se lleva a cabo de conformidad con la ley de protección de datos.
Al igual que con todos los demás procesos de datos personales, queda por el controlador de datos poder demostrar que las actividades de tratamiento del responsable del tratamiento se llevan a cabo de conformidad con la ley de protección de datos.
Si cree que su configuración y uso de Google Analytics difiere de las circunstancias que la Agencia Danesa de Protección de Datos ha examinado, debe documentar esto y ser capaz de demostrar cómo los diversos problemas identificados por la autoridad supervisora no son relevantes para el uso de la herramienta por parte de su organización.
Si no ha utilizado una configuración diferente a la que se basa la orientación de la Agencia Danesa de Protección de Datos, sino que tiene una evaluación legal diferente de las circunstancias, usted, como organización, asumirá un riesgo legal.
En un caso específico, la Agencia Danesa de Protección de Datos hará la misma evaluación que se expresa aquí. Sin embargo, como autoridad pública administrativa, la Agencia Danesa de Protección de Datos está sujeta a revisión judicial. Al final, son los tribunales los que tendrán que decidir cómo se deben evaluar las diversas circunstancias bajo la ley
Básicamente, Google Analytics funciona asignando un identificador único al visitante del sitio web. Además del identificador individual, se recopilan datos adicionales sobre la interacción del visitante con el sitio web, la hora aproximada de la visita y los datos sobre el navegador, el sistema operativo, etc. del visitante.
Intercambio de datos y Google Sígnals
Además, hay una serie de configuraciones en Google Analytics que permiten al propietario del sitio web compartir datos con Google. Estas son las llamadas configuraciones de intercambio de datos, que permiten a Google procesar los datos recopilados para, entre otras cosas, mejorar los productos de Google, y Google Signals, que permite a Google recopilar datos adicionales, entre otras cosas, con fines de marketing dirigido.
Sin embargo, la Agencia Danesa de Protección de Datos entiende que es posible desactivar estos ajustes o no activarlos.
La Agencia Danesa de Protección de Datos entiende además que, tras la decisión de la autoridad supervisora austriaca de enero de 2022, Google ha comenzado a poner a disposición de sus clientes configuraciones adicionales, lo que permite configurar Google Analytics, al menos Google Analytics 4, para que no se recopilen una serie de datos adicionales, como datos sobre el navegador del visitante, el sistema operativo, etc.
Identificador único en GA4
Incluso si la configuración anterior está desactivada, y siempre que Google Analytics esté configurado para recopilar la menor cantidad de datos posible, la Agencia Danesa de Protección de Datos es la opinión inmediata de que los datos restantes recopilados utilizando la herramienta siguen constituyendo datos personales sobre los visitantes del sitio web. Esto se debe a que se sigue recopilando el identificador único del visitante, así como datos sobre la interacción del visitante con el sitio web, la hora de la visita y la ubicación del visitante.
Esta opinión se basa en el hecho de que un identificador único permite identificar a la persona con la que se refieren los datos. Esto se aplica incluso si no es posible asignar un nombre o identidad específicos a la persona en cuestión.
El RGPD hace hincapié específicamente en su preámbulo en el hecho de que los datos que permiten seleccionar a las personas son datos personales. Por lo tanto, en general, se puede considerar que una persona física se identifica cuando esa persona puede ser señalada de todos los demás entre un grupo más grande de personas.
La Agencia Danesa de Protección de Datos reconoce que esta es una interpretación amplia del concepto de datos personales y, en consecuencia, de cuando se aplica la Ley de Protección de Datos. Sin embargo, este no es un punto de vista nuevo, pero ha sido una posición común entre las autoridades de supervisión europeas desde 2007, cuando el Grupo de Trabajo del Artículo 29 (el predecesor del Consejo Europeo de Protección de Datos) adoptó un dictamen sobre el concepto de «datos personales». El dictamen se puede encontrar aquí: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf
Además, uno de los propósitos fundamentales de la Ley de Protección de Datos es garantizar una protección efectiva y completa de los derechos y libertades fundamentales de las personas físicas, en particular el derecho a la privacidad y el derecho a la protección de datos.
Como todas las demás leyes de la UE, la ley de protección de datos debe interpretarse a la luz de su propósito. Una interpretación demasiado estrecha de, entre otras cosas, el concepto de «datos personales» conllevaría el riesgo de que la ley no lograra su propósito de garantizar la plena protección de los derechos de las personas como un derecho fundamental.
¿No sería la seudonimización una medida efectiva adicional?
La «seudonimización» se define en las normas de protección de datos como «tratamiento de datos personales, de tal manera que los datos personales ya no puedan atribuirse a un interesado específico sin el uso de información adicional».
Sin embargo, según El Comité Europeo de Protección de Datos, hay una serie de condiciones que deben cumplirse para que la seudonimización se considere una medida complementaria efectiva para la transferencia de datos personales a terceros países.
Una de estas condiciones es que el responsable del tratamiento que desee utilizar Google Analytics pueda demostrar a través de un análisis exhaustivo que los datos seudonimizados no se pueden atribuir a una persona física sin el uso de información adicional. Este análisis tendrá en cuenta, en particular, la información adicional que se puede esperar que las autoridades públicas del tercer país en cuestión posean y utilicen para atribuir los datos seudonimizados a una persona física.
Dichos datos, que se pueden utilizar para atribuir datos seudonimizados a una persona física, incluyen la dirección IP.
¿Se pueden implementar medidas técnicas complementarias efectivas por sí solas?
El Comité Europeo de Protección de Datos ha emitido una serie de recomendaciones de medidas complementarias que una organización puede implementar en relación con la transferencia de datos personales a terceros países.
En sus recomendaciones, el EDPB destaca, entre otras cosas, la seudonimización y el cifrado como posibles medidas técnicas que pueden ser eficaces para abordar el acceso a los datos personales por parte de las autoridades encargadas de hacer cumplir la ley y, por lo tanto, llevar un nivel inadecuado de protección de datos al nivel europeo requerido.
Cifrado
En general, el cifrado puede ser una medida técnica complementaria eficaz. Sin embargo, esto presupone algunos requisitos para la configuración del cifrado.
Antes de que el cifrado pueda considerarse una medida técnica complementaria efectiva, las claves de cifrado deben estar en poder exclusiva del exportador de datos o de un tercero dentro de la UE/EEE o en un tercer país seguro.
Por lo tanto, la implementación del cifrado por parte de Google no constituye una medida técnica complementaria efectiva, ya que el cifrado es llevado a cabo por Google en los Estados Unidos. Aquí, se puede exigir a Google que proporcione acceso a los datos personales transferidos que están bajo la posesión, custodia o control de la empresa, incluidas las claves de cifrado que hacen que los datos sean legibles. Por lo tanto, Google LLC tiene acceso a los datos personales en texto claro y, por lo tanto, el cifrado no es efectivo en este caso.
Seudonimización
Otra posible medida técnica adicional que puede ser relevante al usar Google Analytics es la seudonimización. Sin embargo, según el Consejo Europeo de Protección de Datos, hay una serie de condiciones que deben cumplirse para que la seudonimización se considere una medida complementaria efectiva.
En el caso de Google Analytics, la seudonimización se puede implementar estableciendo un servidor proxy inverso que actúe como un centro para el tráfico de Internet de los visitantes del sitio web. De esta manera, una organización puede obtener control sobre qué datos se recopilan y qué datos se envían posteriormente a los servidores utilizados para proporcionar la herramienta de análisis web, como los servidores de Google.
Las organizaciones que deseen establecer un proxy inverso deben ser conscientes de que el proxy debe configurarse de tal manera que se cumplan las condiciones para una seudonimización efectiva. En esencia, esto significa que las autoridades públicas del tercer país importador no deben poder atribuir los datos seudonimizados a una persona identificable, ya sea solas o en combinación con información adicional.
La Autoridad Francesa de Protección de Datos ha preparado una guía detallada para las organizaciones que deseen establecer un proxy areverse, que se puede encontrar aquí: https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr
¿Es posible usar Google Analytics en función del consentimiento de los visitantes del sitio web?
En opinión de la Agencia Danesa de Protección de Datos, las condiciones generales para la transferencia de datos personales a terceros países no son iguales, sino que deben evaluarse en el orden en que se establecen en la ley de protección de datos.
En este contexto, de la ley se desprende que en situaciones específicas puede haber excepciones (de las condiciones generales para las transferencias a terceros países). Una de las excepciones es si el interesado da su consentimiento expreso para la transferencia. Este consentimiento solo se puede dar una vez que el interesado haya sido informado de los posibles riesgos de dichas transferencias para el interesado.
En este contexto, las autoridades de supervisión consideran que estas excepciones, como el consentimiento, deben interpretarse de manera restrictiva, para que las excepciones no se conviertan en la regla general.
Por lo tanto, el uso del consentimiento como base para las transferencias a terceros países, en opinión de la Agencia Danesa de Protección de Datos, no es compatible con el uso habitual de Google Analytics, donde hay una transferencia general de todos los datos recopilados por la herramienta, es decir, donde será la regla general de que los datos se transferirán a los EE. UU.
¿Qué pasa con la declaración de Google de que la empresa nunca recibido solicitudes de las autoridades de EEUU para acceder a los datos recopilados a través de Analytics?
Tras la primera decisión sobre Google Analytics de la Autoridad de Protección de Datos de Austria, Google declaró que en los 15 años en que Google ha ofrecido la herramienta de Google Analytics, la empresa nunca había recibido el tipo de solicitud de divulgación de datos personales que era objeto del caso ante la Autoridad de Protección de Datos de Austria.
La Agencia Danesa de Protección de Datos reconoce la apertura y el deseo de Google de ser más transparente sobre las solicitudes de las autoridades policiales que la empresa recibe.
Sin embargo, la evaluación de si la legislación «problemática» en un tercer país se aplica efectivamente a los datos personales que una organización europea desea transferir a ese tercer país no puede basarse únicamente en las declaraciones del importador de datos, en este caso, las declaraciones de Google.
De las recomendaciones del Comité Europeo de Protección de Datos y de la orientación de la Agencia Danesa de Protección de Datos sobre la nube se desprende que tales declaraciones deben estar respaldadas por información objetiva, fiable y accesible.
Para obtener más detalles sobre cómo una organización puede demostrar su evaluación de que las autoridades del tercer país no aplican la legislación «problemática» a los datos personales específicos que se transferirán, la Agencia Danesa de Protección de Datos se refiere a las recomendaciones del Comité Europeo de Protección de Datos y a la orientación de la propia autoridad de control danesa sobre el uso de la nube.
¿Hay un periodo de ajuste?
La Agencia Danesa de Protección de Datos generalmente no prevé períodos de gracia para que las organizaciones legitimen las actividades de tratamiento ilegales. Por el contrario, las sentencias del Tribunal de Justicia de la Unión Europea, en principio, tienen efecto retroactivo. Esto se debe a que las sentencias no son una legislación nueva, sino más bien la interpretación y comprensión de la legislación existente.
Sin embargo, la Agencia Danesa de Protección de Datos, naturalmente, tiene en cuenta en su evaluación de un caso hasta qué punto una organización está tomando medidas activamente para que sus operaciones de procesamiento cumplan con la ley. En situaciones particulares como esta, la autoridad de control danesa también tiene en cuenta que las transferencias de datos personales podrían ocurrir en el pasado sobre la base de una decisión de adecuación del Comité Europeo de Protección de Datos, que, para los Estados Unidos, fue declarada inválida con la sentencia Schrems II en julio de 2020. También se incluirá en la evaluación qué tan pronto después de la sentencia haya comenzado dicho proceso de cumplimiento de las actividades de tratamiento.
Por lo tanto, las organizaciones en Dinamarca que utilizan Google Analytics en circunstancias similares deben evaluar si su posible uso continuo de la herramienta se lleva a cabo de conformidad con la ley de protección de datos. Si este no es el caso, la organización debe cumplir con su uso de la herramienta o, si es necesario, dejar de usar la herramienta.
Para conocer posibles herramientas alternativas para la producción de estadísticas web, la Agencia Danesa de Protección de Datos puede consultar la descripción general preparada por la autoridad supervisora francesa, CNIL (en francés).
Un nuevo acuerdo Marco Transatlántico de Privacidad entre la UE y los EEUU para la realización de transferencias internaciones de datos. ¿está a la vuelta de la esquina?
En marzo de 2022, la Comisión Europea y los Estados Unidos anunciaron que un nuevo Marco Transatlántico de Privacidad de Datos volvería a permitir la transferencia de datos personales entre la UE y los EE. UU. tras la llamada sentencia Schrems II, que invalidó la decisión de la Comisión que anteriormente hizo posibles estas transferencias.
Naturalmente, la Agencia Danesa de Protección de Datos acoge con satisfacción los esfuerzos de la Comisión Europea para llegar a un acuerdo con los Estados Unidos sobre un marco que permita el intercambio de datos personales a través del Atlántico, y aunque el esquema puede, con el tiempo, ser de gran importancia, el acuerdo en principio es, hasta ahora, solo un acuerdo sobre las líneas generales.
Como tal, el acuerdo aún no es tan específico que haga cualquier diferencia práctica para las organizaciones que transfieren datos personales a los Estados Unidos. Esto se debe a que aún no hay una nueva base de transferencia y decisión de adecuación.
La Agencia Danesa de Protección de Datos espera que la Comisión Europea, una vez que se hayan negociado los detalles finales y el acuerdo se haya traducido en documentos legales, solicite un dictamen al Comité Europeo de Protección de Datos. Si es así, la Agencia Danesa de Protección de Datos participará, por supuesto, en este trabajo bajo los auspicios del Comité Europeo de Protección de Datos y ayudará a evaluar si el acuerdo cumple con los requisitos establecidos por el Tribunal de Justicia de la Unión Europea en su sentencia Schrems II.
Del mismo modo, el Comité Europeo de Protección de Datos ha declarado su disposición a ayudar a la Comisión Europea a asegurar, junto con los EE. UU., un nuevo marco que esté totalmente en línea con la legislación básica europea de protección de datos.
Sin embargo, se desconoce un plazo preciso para el acuerdo.
Fuente: datatilsynet.dk
