La futura actividad de Google en Europa se enfrenta a un futuro incierto. Más allá de la Ley de Servicios Digitales y la Ley de Mercados Digitales que prepara la Comisión Europea, distintos países miembros están tomando medidas contra algunos servicios de la multinacional tecnológica. Primero Austria, y ahora Francia, han determinado que el uso de Google Analytics incumple el Reglamento General de la Protección de Datos. Un movimiento al que podrían sumarse más naciones y que comprometería las perspectivas del negocio de Google en el continente.
La decisión se remonta a la invalidez del Privacy Shield por el TJUE en julio de 2020
Las decisiones tomadas por las autoridades de protección de datos de ambos países se remontan al 16 julio de 2020, cuando el Tribunal de Justicia de la Unión Europea declaró inválido el acuerdo “Privacy Shield” (Escudo de privacidad) de 2016, y por tanto, determinando que la transferencia de datos personales a Estados Unidos viola el RGPD al no garantizar un nivel de protección adecuado. La sentencia, que se dio a conocer bajo el nombre “Schrems II”, reflejaba el riesgo de que los servicios de inteligencia estadounidenses accedieran a datos personales transferidos a Estados Unidos si las transferencias no estaban debidamente reguladas.
Austria y Francia contra Google Analytics
Apoyándose en ello, en enero de este año la Autoridad de Protección de Datos de Austria (Datenschutzbehörde o DSB) declaró ilegal el uso de Google Analytics al infringir el RGPD, a raíz de 101 quejas presentadas por la ONG austriaca de protección de datos Noyb en varios países miembros y otros pertenecientes al Espacio Económico Europeo. El organismo determinó que el uso de la dirección IP así como identificadores en los datos de las cookies incluyen información personal de los visitantes de los sitios web y que, por tanto, la transferencia de estos datos queda bajo el ámbito de aplicación del RGPD de la Union Europea.
En esta línea, la semana pasada Francia se sumó a la decisión tomada por Austria, y la Commission Nationale de Línformatique et des Libertés (CNIL) ha determinado que el uso de Google Analytics incumple el Reglamento de Protección de Datos. “El CNIL, en cooperación con sus homólogos europeos, analizó las condiciones en las que los datos recopilados mediante el uso de Google Analytics se transfirieron a los Estados Unidos y los riesgos en los que se incurrió para las personas afectadas”, ha compartido el organismo en un comunicado.
Según explican desde el CNIL, en una posición alineada con su homólogo austriaco, Google Analytics es un servicio que pueden integrar sitios web, como los sitios de venta en línea, para medir el número de visitas de los usuarios de Internet. En este contexto, se asigna un identificador único a cada visitante. Este identificador (que constituye datos personales) y los datos asociados son transferidos por Google a los Estados Unidos. A este respecto, considera que estas transferencias son ilegales ya que no se encuentran suficientemente reguladas.
Noticias Relacionadas
Google presenta Topics, la propuesta de Privacy Sandbox que sustituirá a FLoC
{"id":22056,"titular":"Google presenta Topics, la propuesta de Privacy Sandbox que sustituirá a FLoC","prefijo":"actualidad","slug":"google-presenta-topics-propuesta-privacy-sandbox","image":"http://www.reasonwhy.es/media/cache/noticia_relacionada/media/library/google-topics.jpg","path":"/actualidad/google-presenta-topics-propuesta-privacy-sandbox"}“Aunque Google ha adoptado medidas adicionales para regular las transferencias de datos en el contexto de la funcionalidad de Google Analytics, estas no son suficientes para excluir la accesibilidad de estos datos para los servicios de inteligencia estadounidenses”, comenta el organismo. “Por lo tanto, existe un riesgo para los usuarios de sitios web franceses que utilizan este servicio y cuyos datos se exportan”. Concretamente, el CNIL establece que las transferencias se llevan a cabo en violación del artículo 44 del RGPD.
El CNIL ha ordenado al administrador del sitio web sobre el que se presentó la queja y que ha dado pie a la decisión, “a cumplir con el Reglamento y, si es necesario, dejando de usar la funcionalidad de Google Analytics en las condiciones actuales o utilizando una herramienta que no implique una transferencia fuera de la Unión Europea”. Tiene un mes de plazo para ello. Además, la autoridad francesa recomienda que las herramientas de análisis y medición de audiencia en sitios web solo se utilicen para producir datos estadísticos anónimos, “lo que permite una exención del consentimiento si el controlador de datos garantiza que no hay transferencias ilegales”.
A este respecto, el CNIL ha lanzado un programa de evaluación para determinar qué soluciones están exentas de dicho consentimiento y extenderá la investigación a otras herramientas utilizadas por sitios que resultan en la transferencia de datos de usuarios de internet europeos a los Estados Unidos.
Google apuesta por establecer un nuevo acuerdo entre la Unión Europea y Estados Unidos
La respuesta de Google
Aunque Google todavía no se ha pronunciado respecto a la decisión de Francia, desde que Austria compartió su postura, la compañía tecnológica ha llevado a cabo una serie de comunicados en los que ha tratado de plasmar sus políticas sobre transparencia y protección de datos. En un post en su blog oficial el pasado 19 de enero, Kent Walker, Presidente de Asuntos Globales y Director Legal de Google y Alphabet, señalaba que era un buen momento para establecer un nuevo marco de datos entre la Unión Europea y Estados Unidos.
“Google ha ofrecido servicios relacionados con Analytics a empresas globales durante más de 15 años y en todo ese tiempo nunca ha recibido el tipo de demanda sobre la que especuló la DPA. Y no esperamos recibir uno porque es poco probable que tal demanda caiga dentro del alcance limitado de la ley relevante”, ha señalado. Destaca, además, que el fallo del Tribunal de Justicia de la Unión Europea de julio de 2020 no impuso un estándar inflexible bajo el cual la mera exposición de datos a otro gobierno requiera detener el movimiento global de datos. “Estamos convencidos de que las amplias medidas complementarias que ofrecemos a nuestros clientes garantizan la protección práctica y eficaz de los datos a cualquier nivel razonable”.
En este sentido, asegura que las empresas tanto en Europa como en los EE. UU. esperan que la Comisión Europea y el Departamento de Comercio de los EE. UU. finalicen rápidamente un acuerdo sucesor del Escudo de privacidad que resuelva estos problemas. “Un marco duradero, que proporcione estabilidad a las empresas que ofrecen servicios valiosos en Europa, ayudará a todos, en un momento crítico para nuestras economías”; ha explicado Walker. “Un nuevo marco reforzará la relación transatlántica, garantizará la estabilidad del comercio, ayudará a las empresas de todos los tamaños a participar en la economía digital global y evitará interrupciones potencialmente graves de las cadenas de suministro”.