Recientemente, la Autoridad Danesa de protección de datos, Datatilsynet (adelante AD) se pronunció sobre Google Analytics siguiendo los pasos de otras autoridades europeas, concretamente la Francesa, la Italiana y la Austriaca. Los pronunciamientos sobre el uso de esta herramienta en materia de privacidad, cada vez es más recurrente el territorio de aplicación del RGPD, por lo que, se espera que en un periodo corto de tiempo la Agencia Española de Protección de Datos exprese su postura.
Google Analytics es una herramienta que sirve para analizar y recopilar estadísticas sobre las interacciones de los usuarios en las páginas web, con el fin de que los propietarios de las mismas puedan optimizar su contenido. El mecanismo funciona en el momento que se asigna a cada usuario un identificador único que genera estadísticas sobre el usuario. No obstante, no solo se toma el identificador único como dato del usuario, sino que se recopila información sobre la interacción del visitante con el sitio web, el tiempo aproximado de la visita, así como datos sobre el navegador del visitante, el sistema operativo, etc.
La controversia se genera principalmente porque el contenido de la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA) y de la Orden Ejecutiva 12 333, como parte del cuerpo normativo estadounidense, no cumplen con los estándares de seguridad que establece el RGPD en materia de protección de los datos de los interesados, que, de acuerdo con el Reglamento de referencia en Europa, es condición sine qua non para la licitud de una transferencia internacional de datos personales.
En Europa, tras la sentencia del Tribunal de Justicia de la Unión Europea en el asunto Schrems II, se concluyó que la transferencia de datos personales a Estados Unidos no garantiza un nivel de seguridad adecuado y que sea equivalente a las medidas adoptadas en la Unión Europea/EEE. Hasta este momento, Google Analytics a pesar de aportar medidas de seguridad, no son suficientes para garantizar un nivel de cumplimiento acorde con el RGPD.
La herramienta ofrece la seudonimización como medida de seguridad, la cual no garantiza plenamente la protección de los datos de los usuarios debido a que los servidores estadounidenses implementan firewalls que protegen la infraestructura y registran el tráfico entrante, por lo que pueden referenciarse como datos de Google Analytics y consecuentemente ofrecer información sobre la dirección IP (que en un principio se pseudonimizan).
Esto significa que los datos en cuestión no están efectivamente seudonimizados, ya que se puede obtener acceso a información adicional que permite que los datos de Google Analytics se asignen a una persona física.
La autoridad danesa, sentencia que Google Analytics no cumple con las directrices del RGPD, añadiendo que no cumple con la normativa en materia de transferencias internacionales debido a que Estados Unidos actualmente no cuenta con un nivel de garantías de seguridad adecuado.
Por ello, insta a que las sociedades danesas o extranjeras que operan en el territorio que utilizan Google Analytics, comprueben su cumplimiento en materia de RGPD y, consecuentemente de transferencias internacionales. En caso de que no cumplan, la autoridad exige que las empresas o bien, incluyan medidas adicionales o bien dejen de utilizar la herramienta de Google Analytics.
Desde el primer pronunciamiento en esta materia por parte de la Autoridad Austriaca, Google ha comenzado a poner a su disposición configuraciones adicionales al uso inicial de Google Analytics, que permite que no se recopilen una serie de datos adicionales como datos relacionados con el navegador, el sistema operativo, etc del usuario. Ante esto, esperamos que Google avance hacia un cumplimiento de la normativa y la protección de datos de una forma más transparente.
Una de las medidas técnicas complementarias que propone la autoridad danesa, partiendo del informe emitido por la CNIL (autoridad de protección de datos francesa), es la seudonimización a través de “proxy inverso”. Este sistema se utiliza para reforzar la seguridad de las aplicaciones en puntos estratégicos, de tal forma que las propias compañías puedan decidir que datos se recopilan y cuales se proporcionan a la herramienta de análisis web. El “proxy inverso” deberá garantizar el concepto de seudonimización efectiva, para ello puede acudir a la guía elaborada por el CNIL (Autoridad francesa) en esta materia a través del siguiente ENLACE.
A tenor de esta cuestión, en el mes de marzo de 2022, la Comisión Europea y Estados Unidos proclamaron un nuevo Marco Transatlántico de Privacidad de Datos que permitiría obtener un nivel adecuado de seguridad acorde con el RGPD. Si bien es cierto que actualmente se encuentran en meras líneas en borrador por lo que es el momento de seguir trabajando en que las transferencias internacionales de datos a EE. UU. cuenten con garantías de seguridad adecuadas a las que requiere nuestra normativa en materia de privacidad.
Cuando haya actualizaciones en esta materia, nuestro equipo os comunicará los cambios y los esperados avances para cumplir en todo momento con las normas de protección de datos y la salvaguarda de los derechos de todos los individuos.