Saltar al contenido principal
Sobre Nosotros

17. Julio 2020 4 minutos de lectura

La decisión del Tribunal de Justicia de la UE puede impedir que los propietarios de los sitios web almacenen los datos de tráfico de los ciudadanos de la UE en los Estados Unitos

Ayer, 16 de julio de 2020, varios medios de comunicación importantes anunciaron que el Tribunal de Justicia de las Comunidades Europeas había anulado el llamado acuerdo de "Escudo de Privacidad" (Privacy Shield) entre la UE y los Estados Unidos. El Escudo de Privacidad permitía a las empresas, que pudieran demostrar que cumplían con un conjunto de regulaciones para la protección de la privacidad de los datos, transferir datos privados de la UE a los EE.UU. 5384 empresas transfirieron datos basados en este protocolo, e incluyen gigantes como Google, Facebook, Amazon y Microsoft.

Este es el tipo de noticias que probablemente no signifique nada para el individuo promedio, a menos que alguien lo ponga en contexto. Pero tenga la seguridad de que, aunque no haya sido consciente de tal acuerdo y de lo que significaba, su actividad puede verse muy afectada por él. Siga leyendo para entender por qué.

Pero antes de que se desplace hasta el final de la historia, si utiliza Visitor Analytics para el análisis del tráfico de su sitio web, tenga la seguridad de que no tiene que preocuparse del Escudo de Privacidad. Almacenamos los datos en Alemania, dentro de la UE, por lo que la actividad de todos los propietarios de sitios web que utilizan nuestros servicios no se verá afectada de ninguna manera.

Si, por el contrario, utiliza otro proveedor de análisis de sitios web, compruebe dónde almacenan sus datos y considere la posibilidad de cambiar a Visitor Analytics, para evitar cualquier posible problema sobre la privacidad de los datos.

La UE no confía en los EE.UU. para mantener la información personal privada

En pocas palabras, este es el núcleo del asunto. La Unión Europea ha estado impulsando leyes estrictas para proteger los datos personales de sus ciudadanos en los últimos años. Puede que esté familiarizado con la ley que intenta regular esto en Europa: RGPD. Estas no se corresponden con las leyes de los EE.UU., que son mucho más relajadas sobre el manejo de datos personales. Lo cual es un problema cuando tienes compañías estadounidenses manejando datos de ciudadanos de la UE.

Y puedes ver por qué los europeos están preocupados. Vamos a dar algunas razones:

  • Las revelaciones de 2013 en el caso Edward Snowden, que filtró la forma en que la NSA seguía las actividades personales de cualquiera que considerara oportuno, sin ninguna preocupación por la privacidad (sin mencionar que hay alegaciones de que la misma agencia estadounidense literalmente espió al Primer Ministro alemán durante años).

  • Más recientemente, continuó con la controversia de los correos electrónicos filtrados por Hillary Clinton en 2016, que mostraron cómo los funcionarios de alto rango se niegan a tomar medidas para proteger incluso algunas de las informaciones más secretas. Ahora sabemos que varios datos más del gobierno de los EE.UU. no estaban protegidos adecuadamente contra los hackers rusos.

  • En 2018, el escándalo de Cambridge Analytica reveló cómo Facebook cosechó datos personales de los usuarios sin ningún consentimiento, con el fin de utilizarlos para la publicidad política.

Y la lista podría continuar por muchas páginas.

Todos estos casos han demostrado a la UE que no puede confiar en que los datos que se mantienen en los EE.UU. puedan mantenerse con las normas de privacidad que ahora tenemos en Europa. Y la privacidad de sus ciudadanos necesita ser protegida en el extranjero también.

RGPD y el Privacy Shield

Uno de los principales componentes de RGPD está dirigido particularmente a la privacidad en Internet. Establece claramente que las empresas no pueden trabajar con ningún dato personal de los ciudadanos de la UE sin un consentimiento informado de los mismos. Lo que se considera "datos personales" se extiende a detalles como las direcciones IP, el historial de navegación del usuario y otros identificadores procedentes de su actividad enlínea, que a veces son almacenados por los navegadores y por terceros en pequeños archivos llamados "cookies".

Al instalar estas cookies en los dispositivos de los usuarios de Internet, las empresas pueden rastrear a los usuarios y, en base a eso, enviarles anuncios y mensajes personalizados, basados en su historial. Después de RGPD, hacer esto sin consentimiento explícito para cada cookie y sin explicar qué datos almacenan, con qué propósito y por cuánto tiempo, ya no es posible. Hace a los propietarios de sitios web y aplicaciones responsables de todos los datos recopilados a través de sus sitios/aplicaciones, tanto si lo están haciendo ellos como si lo hace un tercero. Un ejemplo de un tercero sería una aplicación analítica para monitorear el tráfico del sitio web.

La pega es que esto no sólo debería aplicarse a los sitios web de la UE, sino también a los sitios de cualquier parte del mundo que en algún momento puedan tener visitantes de la UE. Y esto incluye a los EE.UU.

Dado que las economías de la Unión Europea y de los Estados Unidos están en cierto modo conectadas, se encontró una solución para este problema. Llamado el Escudo de Privacidad (Privacy Shield), estableció algunas reglas de privacidad basadas en el RGPD, que las empresas estadounidenses tenían que cumplir, para transferir datos de la UE a los EE.UU. Muchas empresas solicitaron formar parte del Escudo de Privacidad, incluyendo algunas que han estado en el punto de mira por su violación de la privacidad de los usuarios en el pasado, como Google y Facebook.

Bajo esta regulación, todavía se les permitía transferir datos desde la UE y alojarlos en los EE.UU.

Activistas de la UE y Facebook

Ese era el status quo hasta que un activista austriaco llamado Max Schrems presentó un caso ante el TJCE (Tribunal Europeo de Justicia) alegando que no se podía confiar en que los datos personales de su perfil de Facebook permanecieran privados, porque el gobierno de EE.UU., donde se encuentra Facebook, no proporcionó la legislación adecuada para ello.

Y el TJCE encontró que tenía razón, anulando así efectivamente la regulación del Escudo de Privacidad.

¿Cómo afecta la invalidación del Privacy Shield a los propietarios de los sitios web?

No sabemos cuándo y cómo se implementarán las nuevas regulaciones, pero, por las nuevas normas, las empresas no pueden almacenar ningún dato privado de los ciudadanos de la UE en los EE.UU. sólo confiando en el Escudo de Privacidad.

Esto pone a las empresas, grandes y pequeñas, en una situación difícil. ¿Tienen sus servidores web en los EE.UU.? ¿Utilizan proveedores de hosting con base allí? ¿Utiliza servicios de terceros que almacenan datos en los EE.UU.? Estas son las preguntas que debería hacerse si no quiere infringir la ley y enfrentarse a fuertes multas.

Privacy Shield y los servicios de análisis de sitios web

En particular, la forma en que rastreas el tráfico vuelve a ser cuestionada. El análisis de sitios web es un tema delicado precisamente porque trata de datos personales y tiene que hacerlo con cuidado. Ahora, si, como propietario de un sitio web, utiliza una aplicación de terceros que almacena estos datos en los EE.UU., está en riesgo en este momento. Así que compruebe dónde su proveedor está almacenando los datos de tráfico. Si está en la UE, estará a salvo de cualquier problema.

Afortunadamente, Visitor Analytics cumple con los estándares de RGPD y los sigue en consecuencia. Los datos se almacenan en Alemania, por lo que Visitor Analytics no está entre las más de 5300 empresas afectadas por esta decisión.

Siempre puede estar seguro de que los datos de tráfico están seguros con nosotros. Si utiliza los servicios de otro proveedor, considere cambiarse a nosotros, como una alternativa segura en términos de privacidad.