Saltar al contenido principal
Sobre Nosotros

02. October 2020

Una visión general de las regulaciones después de Schrems II y la invalidación del Escudo de Privacidad

Especialmente desde que el GDPR ha entrado en vigor el 25 de mayo de 2018, la atención sobre la privacidad en línea en todo el mundo, no sólo en la UE, ha seguido creciendo. Se han aprobado leyes similares en varios países de (al menos) 4 continentes y se han aprobado otros fallos históricos.

Si un procesador de datos, como el propietario de un sitio web, hubiera estado en coma durante los últimos 2 años ½ más o menos, estarían despertando a un mundo totalmente diferente. Han pasado muchas cosas, culminando con la decisión de Schrems II en la Corte Europea de Justicia, que falló a favor de Max Schrems y en contra del Escudo de Privacidad UE-EEUU, el 16 de julio de 2020.

Schrems II es la consecuencia lógica de Schrems I, un caso que comenzó ya en 2013, con una denuncia presentada por Max Schrems ante el Comisionado de Protección de Datos de Irlanda, país donde se encontraba la sede europea de Facebook. El activista austriaco alegó que no se podía garantizar el derecho a la privacidad de los datos personales en su perfil de Facebook, debido a que se habían transferido de la UE a los Estados Unidos.

Hemos cubierto este caso antes, justo después de la decisión del tribunal con respecto a los datos personales de la UE. En pocas palabras, ya no es legal que ningún tipo de procesador de datos utilice servicios de los EE.UU. que den acceso a esos servicios a los datos personales de los ciudadanos de la UE, sin explicar completamente los riesgos. Las implicaciones son enormes y el tema sigue ocupando los titulares, ahora que se habla de la retirada total de Facebook de la UE.

A la luz de todo esto, veamos los efectos de Schrems II y la caída del Escudo de Privacidad de Datos, combinado con otras regulaciones actuales. Además, proporcionamos una visión general de lo que usted, como propietario de un sitio web, está obligado a garantizar por la legislación de la UE.

Notas breves:

  • Los PI se consideran datos personales.
  • Los PI y, potencialmente, otra información personal adjunta a ellos, son muchas veces reunidos y enviados por los sitios web a diversos servicios, mediante el uso de scripts y píxeles que los propietarios de los sitios web añaden a sus sitios web (por ejemplo, el píxel de anuncios de Facebook, el código de seguimiento de Google Analytics, etc.)
  • Cada vez que un usuario de la UE accede a un sitio web público, alojado en cualquier lugar del mundo, su IP se procesa y, por lo tanto, la información personal se envía a los proveedores de servicios antes mencionados
  • Algunos de estos proveedores de servicios pueden estar ubicados en los Estados Unidos.
  • Los proveedores de servicios de los Estados Unidos que reciben esos datos personales de la Unión Europea ya no tienen ningún fundamento jurídico para tener acceso a ellos, almacenarlos o utilizarlos. Se ha convertido en ilegal!

Consecuencias de la sentencia del TJCE en Schrems II

Consecuencia 1: los propietarios de sitios web con visitantes de la UE no pueden almacenar datos fuera de la UE...

...a menos que las leyes de ese país puedan proporcionar un nivel de protección adecuado para estos datos. Los EE.UU. ya no son una excepción a esa regla y son el objetivo específico de la misma. Comprueba dónde está tu proveedor de alojamiento y qué datos se recogen y dónde se almacenan. Si encuentra que está en los EE.UU. y recoge datos personales de visitantes de la UE en él, cambie de proveedor.

Consecuencia 2: cualquier servicio de terceros utilizado por su sitio web también debe proporcionar protección de datos personales

Los propietarios de los sitios web deben comprobar todos los servicios de terceros que utilizan y los (tipos de) datos a los que tienen acceso. Esto incluye potencialmente: herramientas de análisis de sitios web (por ejemplo, Google Analytics), herramientas de conocimiento del usuario (por ejemplo, Hotjar), herramientas de chat para clientes (por ejemplo, Livechat), herramientas de gestión de relaciones con los clientes (por ejemplo, monday.com), servicios de publicidad, etc.

Cualquier herramienta que tenga acceso a los datos personales de las personas que interactúan con su sitio web es una responsabilidad. Recuerde que la IP del visitante se considera un dato personal. Compruebe dónde se encuentran estas herramientas. Legalmente, deben estar en la UE y ofrecer un Acuerdo de Protección de Datos (DPA) para firmar, con el fin de poder actuar como un subprocesador para usted y sus necesidades.

Consecuencia 2.1: no basta con que las aplicaciones de terceros tengan una oficina física en la UE...

...si la empresa sigue registrada en los EE.UU., significa que cumple con las leyes de EE.UU. Y estas leyes permiten al gobierno de EE.UU. acceder a datos privados por cuestiones de seguridad nacional. Específicamente, las empresas de EE.UU. deben cumplir con el proyecto de ley de la Ley CLOUD, que básicamente permite a las agencias federales de aplicación de la ley obligarlas, a través de una orden judicial, a proporcionar cualquier dato personal, independientemente de si los datos se almacenan físicamente en un servidor en los EE.UU. o en otro lugar.

Consecuencia 3: en el marco del acuerdo de protección de la intimidad, se permitió que una lista de empresas estadounidenses se dedicara a la exportación de datos de la UE a los Estados Unidos

Ya no se les permite hacerlo después de la decisión de "Schrems II"

Reglamentos como el Escudo de Privacidad y las Cláusulas Contractuales Estándar (CCE) son anulados por la decisión del Tribunal de Justicia de las Comunidades Europeas. Lea una lista de todas las empresas afectadas aquí: https://www.privacyshield.gov/list. Gigantes como Facebook, Google, Amazon están en la lista de 5239 compañías que de repente se enfrentan a este serio y grave problema legal.

Asegúrese de que su sitio web no da acceso a ninguno de los servicios de esta lista a ningún dato personal de sus visitantes de la UE, o puede comprobar que no hay ninguna alternativa europea como excepción para este tipo de servicio y que ha dejado que sus usuarios se inscriban antes de enviar cualquier dato al servicio externo.

Consecuencia 4: específicamente en lo que respecta a Google Analytics, no es legal mantener el servicio instalado...

...a menos que todos los visitantes sean informados de antemano de los posibles riesgos y den su consentimiento explícito.

Esto implica el uso de un banner/caja de consentimiento antes de que se inicie cualquier rastreo, que debe proporcionar información sobre los posibles riesgos de la transferencia de datos a un tercer país, ya que no existen medidas adecuadas para salvaguardar los datos, como se describe en el artículo 46 del Reglamento general de protección de datos.

Consecuencia 5: los banners de consentimiento deben incluir información específica sobre las cookies, así como las normas de transferencia de datos, si existe tal transferencia

La forma en que se debe obtener el consentimiento para el uso de cookies ha sido descrita en detalle por el Tribunal Federal de Justicia (BGH) de Alemania y ha sido sancionada por el TJCE (Tribunal de Justicia de las Comunidades Europeas). Véase la sentencia del TJCE en el caso número C-673/17 aquí.

Consecuencia 5.1: los banners de consentimiento completados con anticipación no son legales.

Consecuencia 5.2: los banners de consentimiento necesitan tener cajas de consentimiento separadas para todas las cookies que se coloquen, agrupadas por propósito.

Esto informa al usuario sobre el propósito de las cookies. Debe haber un consentimiento separado para las cookies de análisis/estadística, las cookies de marketing, las cookies para almacenar las preferencias del usuario y las llamadas cookies "necesarias" (por ejemplo, las cookies que permiten al sitio web mantener sus productos en su carrito mientras navega).

Soluciones legales

Opción A (recomendada) - utilice sólo proveedores de servicios de la UE

Opción B - (sólo si no opera en la UE) - bloquee las visitas a su sitio web desde todas las IPs de la UE, para que no se importen datos personales desde allí. Sin embargo, esto (1) limitará su audiencia y mercado y (2) no le mantendrá a salvo de una legislación similar que se está desarrollando en otras partes del mundo.

Opción C - asegúrese de que sus visitantes son plenamente conscientes de las implicaciones de la transferencia de datos a los EE.UU. y déles la posibilidad de dar su consentimiento. Esto debe hacerse muy a fondo y sólo después de consultar con un abogado, para evitar cualquier acción legal en su contra. ¡NOTA! Si un usuario no da su consentimiento, debe asegurarse de que no se le rastree. Esto resultará en datos truncados. Por ejemplo, en términos de análisis, un lote potencialmente grande de usuarios no será contado en absoluto en las estadísticas de su sitio web.

Opción D(recomendada para los servicios de análisis): utilice una solución conforme y sin consentimiento y deshágase de estos molestos banners de cookies. Aprenda más aquí.

Ejemplo de Google Analytics

Si su sitio web utiliza Google Analytics para hacer un seguimiento del tráfico de visitantes, el consentimiento y la inclusión voluntaria no pueden ser superficiales. Tendrás que incluir una serie de elementos diferentes en tu banner. No olvides que este es un servicio que utiliza cookies y está basado en los EE.UU. también. Así que todo eso debe ser tratado en el consentimiento informado.

  • Explique y obtenga el consentimiento para su propósito como propietario del sitio web para usar la herramienta. Qué datos personales recopila y para qué (por ejemplo, "acepto que el sitio web utilice Google Analytics para agregar datos de tráfico y estadísticas sobre las páginas visitadas, que nos permitan tomar decisiones sobre la adaptación del sitio web a las necesidades generales de nuestro público. Los datos personales como su IP están siendo procesados").

  • Explique y obtenga el consentimiento para los propósitos de Google para la recolección de datos. (Por ejemplo, "acepto que Google Analytics utilice mis datos personales para su propio interés, con el fin de crear un perfil personal y permitirme recibir anuncios personalizados u otro tipo de contenido personalizado").

  • Explique y obtenga el consentimiento para el uso de cookies por parte de Google (por ejemplo, "acepto que Google pueda instalar cookies en mi navegador para identificarme y reconocerme en el futuro, así como para crear un perfil de mis comportamientos y preferencias").

  • Explicar y obtener el consentimiento para la transferencia de datos y los riesgos asociados (por ejemplo, "acepto que mis datos personales recopilados durante el uso de este sitio web puedan ser transferidos a Google Inc. en los EE.UU. y procesados allí. Entiendo que no se puede garantizar el mismo nivel de protección de los datos personales que el aplicado en la UE. Soy consciente de que las autoridades estadounidenses podrán acceder a mis datos personales, almacenados por Google, sin mi consentimiento").

Así que así es como tendría que ser la opción C si no quieres renunciar al uso de Google Analytics. Bastante complicado y un asunto delicado en términos de legalidad. La elección de las palabras aquí debe hacerse con mucho cuidado.

En lo que respecta a la analítica de sitios web, las opciones A y D son soluciones mucho mejores. Puedes usar un proveedor de la UE, en lugar de Google Analytics.

Ese proveedor es VisitorAnalytics.

Visitor Analytics:

  • tiene su sede en Alemania y sólo aloja datos dentro de las fronteras de Alemania, por lo que no habrá transferencia de datos personales fuera de la UE

  • no utiliza el alojamiento en Amazon, ni Google, ni otros proveedores de alojamiento "cloud" de EE.UU. con filiales alemanas, por lo que la Ley CLOUD act no se puede aplicar a él

  • es un proveedor de servicios que no utiliza cookies, al rastrear el tráfico del sitio web (véase Rastreo sin cookies)

  • es un proveedor de servicios que ofrece un modo en el que ya no se necesita el consentimiento del usuario, ya que no se procesará absolutamente ningún dato personal (véase Seguimiento sin consentimiento)

 

Inscríbete ahora y descansa tranquilo
No necesitará ningún consentimiento legalmente complejo en lo que respecta al seguimiento del tráfico del sitio web