Austria no ha prohibido Google Analytics

Pero el producto no es el objeto de la sentencia; la transferencia de datos, su uso y las medidas de salvaguardia deben ser objeto de escrutinio. Si Google Analytics se considera ilegal, el veredicto también tendrá un impacto inmediato en todos los productos y servicios que transfieren datos fuera de la UE.

Aunque este artículo no pretende ser un asesoramiento jurídico, mi intención es compartir posibles áreas futuras de debate para la transferencia de datos entre la UE y EE.UU., así como medidas inmediatas a tomar a la luz de la reciente decisión de Austria.

Evolución de la normativa sobre privacidad

Entender cómo y por qué requiere una lección de historia. Mucho antes de que el GDPR entrara en vigor, existía el acuerdo "Safe Harbor" entre la UE y EE.UU.. El acuerdo de 2000 permitía a las empresas autocertificar que protegerían los datos de los ciudadanos de la UE si los almacenaban en centros de datos estadounidenses. El acuerdo se mantuvo durante 15 años hasta que fue invalidado por el Tribunal de Justicia de las Comunidades Europeas.

A Safe Harbor le siguió el acuerdo "Privacy Shield" en 2016, que imponía restricciones más estrictas a las empresas estadounidenses a la hora de acceder y transferir datos de ciudadanos de la UE. Pero en 2020, el Escudo de Privacidad corrió la misma suerte a manos del Tribunal de Justicia a través de la resolución C-11/18- coloquialmente llamada "Schrems II", en referencia al abogado austriaco y defensor de los derechos de privacidad Max Schrems.

Schrems comenzó su batalla por la privacidad basándose en el testimonio de Edward Snowden en 2013, en relación con el programa PRISM que dio a la Agencia de Seguridad Nacional de Estados Unidos (NSA) acceso ilimitado a los datos. Schrems argumentó que Facebook ayudó a la NSA, violando los derechos de los ciudadanos de la UE a que sus datos se procesen de forma justa.

En este momento, el principio básico es que cuando los datos personales salen de la UE, la ley viaja con ellos. Es lo que se conoce como transferencia de datos personales a terceros países. Por ejemplo, terceros países pueden ser Estados Unidos, Australia, Reino Unido o cualquier otro lugar fuera de la Unión Europea. Las recientes violaciones del GDPR, por tanto, no son específicas de Google o incluso de los datos alojados en los EE.UU.; es igualmente aplicable a Adobe, Facebook, Amazon y todos los terceros que funcionan como recolectores de datos a través de fronteras geográficas.

¿Qué significa esto para Internet y los datos?

La cuestión que plantea Schrems II (PDF) se aplica fundamentalmente a Internet en su conjunto: la recopilación de datos analíticos utiliza tecnologías básicas de Internet que no difieren de las que se utilizan cuando un navegador carga una imagen. La solicitud de imagen sigue enviando cookies y expone la dirección IP del usuario al punto final de la solicitud.

Aun así, la forma en que se utiliza la analítica y se gestionan los datos requiere atención y respeto a la normativa. Cada vez más, las autoridades de protección de datos (APD) ordenan la suspensión de las transferencias de datos personales a terceros países. En marzo de 21, la APD de Baviera detectó una transferencia ilegal de Alemania a Estados Unidos por parte de MailChimp. Un mes después, la APD portuguesa ordenó la suspensión de la transferencia de datos personales a EE.UU. y otros países fuera de la UE por parte de Cloudflare.

Asegúrese de que sus datos cumplen el GDPR

La forma en que se utiliza Google Analytics siempre ha estado sujeta a escrutinio y regulación. Como resultado, es prudente asegurarse de que toda su recopilación y activación de datos cumple con la normativa más actual. Considere estos pasos básicos como posibles acciones y repítalos al menos cada trimestre:

1. Anonimizar las direcciones IP en Google Analytics. Esto afectará a los informes geográficos, pero es una compensación relativamente pequeña.
2. Asegúrese de que su almacenamiento de datos en la nube se encuentra en la UE. Esta es una oportunidad para revisar todas las ubicaciones de almacenamiento de datos.
3. Asegúrese de que su banner de consentimiento es conforme. Implemente un proceso de análisis automatizado que se ejecute con regularidad para identificar rápidamente la instalación de cookies sin consentimiento.
4. Revise periódicamente sus políticas de cookies y privacidad para comprobar su cumplimiento.

Obtenga asesoramiento jurídico de terceros para garantizar el cumplimiento o resolver cualquier duda que tenga. Un socio de datos como Media.Monks también puede ofrecer asistencia para implementar cambios en Google Analytics y proporcionar soluciones automatizadas para medir y analizar la recopilación de datos con respecto a la funcionalidad del banner de consentimiento.

¿A dónde vamos ahora?

El objeto de la denuncia de la APD de Austria es la transferencia de datos personales a Estados Unidos que carecen de la protección adecuada frente a las autoridades estadounidenses que acceden a ellos. Anteriormente se habían utilizado cláusulas contractuales tipo (CCT) para permitir la transferencia de datos, pero se han planteado dudas sobre la viabilidad de las CCT con respecto a la FISA (PDF). Se han publicado nuevas CEC que exigen medidas suplementarias que van más allá del cifrado, refiriéndose específicamente al escrutinio del régimen jurídico del país de destino. Google mantiene que estas medidas se han cumplido (PDF).

En la actualidad, parece haber dificultades cuando tanto los requisitos de cifrado como los de transparencia parecen contradecirse entre sí. Los CEC revisados o un sucesor de Safe Harbor y Privacy Shield parecen ser la solución preferida por Google, aunque los aspectos prácticos y el calendario de tales soluciones siguen sin estar claros. Hasta entonces, seguir los pasos anteriores para revisar periódicamente el cumplimiento de la normativa contribuirá en gran medida a garantizar que su marca siga gozando de buena reputación.