Saltar al contenido principal

¿Significa la decisión Schrems II que Google Analytics no cumple con el RGPD?

Para muchas empresas en la UE y EE. UU., 2022 agregó otra crisis que gestionar: el seguimiento de Schrems II que declara que Google Analytics no cumple con GDPR. 

¿Qué es Schrems II?

El Comisionado de Protección de Datos contra Facebook Ireland y Maximillian Schrems, también conocido como Schrems II, concluyó el 16 de julio de 2020. En resumen, la decisión del Tribunal de Justicia de las Comunidades Europeas anuló el Escudo de privacidad UE-EE. datos de ciudadanos de la UE enviados a EE.UU.

Este caso puso en tela de juicio el uso compatible con el RGPD de cualquier servidor operado y propiedad de los EE. UU., debido al hecho de que los datos personales de la UE se enviaban a los servidores en la nube de Facebook en los EE. Act, y otras políticas oficiales, podrían ser accedidas por las agencias de inteligencia de EE. UU. En resumen, los datos personales de los ciudadanos de la UE no están adecuadamente protegidos de acuerdo con GDPR cuando se transfieren a los servidores de empresas estadounidenses.

Decisión Schrems II en Austria

Tras la decisión Schrems II, el noyb(Centro Europeo de Derechos Digitales) sin ánimo de lucro, fundado por Max Schrems, presentó 101 denuncias contra varias empresas que transfirieron datos de ciudadanos de la UE a empresas estadounidenses. Una de esas quejas fue contra netdocktor.at, un sitio web de salud que usaba Google Analytics para rastrear a los visitantes del sitio web. Como muchas empresas, netdoktor siguió utilizando Google Analytics a pesar de la decisión del Tribunal de Justicia de la Unión Europea. Google, así como otras empresas con sede en los EE. UU. (Amazon, Facebook, Microsoft, etc.) se han basado en cláusulas contractuales estándar (SCC) y medidas técnicas y organizativas (TOM) para ayudar a convencer a los socios de la UE de que sus medidas de protección física y digital ( las cercas alrededor de los centros de datos, el cifrado de datos, los datos seudónimos, etc.) fueron suficientes para proteger sus datos.

Pero en el caso de netdoktor, la Autoridad de Protección de Datos de Austria ("Datenschutzbehörde" o "DSB") ha decidido que esto no es suficiente. Google Analytics viola el RGPD.Ellos explican:

" Con respecto a las medidas contractuales y organizativas descritas, no está claro hasta qué punto [las medidas] son efectivas en el sentido de las consideraciones anteriores".

" En lo que respecta a las medidas técnicas, tampoco es reconocible (...) en qué medida [la medida] realmente impediría o limitaría el acceso de las agencias de inteligencia estadounidenses considerando la ley estadounidense".

Con base en esta decisión, muchos expertos creen que esto es solo el comienzo. Todavía hay muchas quejas esperando llegar a los tribunales, y se espera que otros países miembros de la UE tomen decisiones similares.

El DSB también declaró en su decisión que investigará más a Google con respecto a las reglas de transferencia de datos al gobierno de EE. UU. sin el consentimiento explícito del exportador de datos de la UE.

Todavía no se imponen sanciones en este caso, pero si el tribunal decide hacerlo, podrían llegar al 4% de la facturación global de una empresa.

Impacto en los usuarios de Google Analytics

No somos abogados y no podemos ofrecer asesoramiento legal, pero parece que cualquier empresa que procese datos de ciudadanos de la UE a través de servicios proporcionados por empresas con sede en EE. UU. está en riesgo. En términos de análisis web, Google Analytics es el número uno en el mundo, pero hay muchos otros de los que hay que tener cuidado. Siempre verifique dónde está constituida la empresa y dónde se encuentran sus centros de datos.

A largo plazo, esto significa que el gobierno de EE. UU. y los proveedores de EE. UU. tendrán que realizar grandes cambios en sus políticase infraestructura actuales: aprobar leyes que protejan los datos de ciudadanos extranjeros y alojar datos extranjeros fuera de EE. UU. La Comisión Europea está ansiosa por encontrar un reemplazo para el Escudo de privacidad UE-EE. UU., pero no hay una forma legal de avanzar en este momento. Las negociaciones están en curso, pero aún requieren cambios legales por parte de los EE. UU. Y según el clima político y económico actual, estas cosas parecen poco probables en el futuro previsible.

El futuro de los datos de análisis web

Dado que el tribunal concluyó que Google Analytics no cumple con GDPR, lo que Google ha negadoen una declaración reciente, la pregunta es a dónde recurren las empresas para obtener datos analíticos web seguros y de bajo riesgo. El primer paso sería investigar empresas con sede en la UE que utilicen la anonimización de IP, que no almacenen datos de usuarios y que cumplan con el RGPD, la TTDSG, la CCPA y otras leyes de privacidad de datos, como Visitor Analytics.

La decisión completa del OSD, en alemán, se puede encontrar aquí.