¿Es Google Analytics ilegal en la UE?
Utilizar Google Analytics de forma legalmente compatible sigue siendo posible en Europa. Aquí le explicamos cómo.
A principios de 2022, los organismos de control de la privacidad austriacos y franceses declararon que el uso de Google Analytics es ilegal para las empresas europeas debido a las violaciones de la privacidad. Ahora, las autoridades noruegas y danesas de protección de datoshan explicado cómo las empresas pueden seguir utilizando Google Analytics de forma legalmente compatible.
La Autoridad de Protección de Datos noruega explica:
“A partir de las decisiones de nuestros colegas europeos, hemos examinado más de cerca la herramienta y la configuración específica que se puede utilizar si se quiere usar Google Analytics. Ha sido especialmente relevante ya que, a raíz de la primera decisión de Austria, Google ha empezado a poner a disposición ajustes adicionales en relación con la información que se puede recoger a través de la herramienta. Sin embargo, la conclusión sigue siendo que la herramienta no puede utilizarse legalmente”.
Entonces, ¿es Google Analytics ilegal en Europa?
Sí, y no. Es ilegal que las empresas europeas utilicen Google Analytics “tal cual”. Aplicando medidas técnicas como la seudonimización todavía es posible utilizar Google Analytics en cumplimiento del GDPR.
¿Cómo utilizar GA de acuerdo con el GDPR?
Una posible medida técnica que debe tenerse en cuenta al utilizar Google Analytics es la seudonimización. El GDPR europeo exige que Google no pueda averiguar los datos de quién están viendo. Esto incluye las direcciones IP de las personas, pero también otra información que permita sacar conclusiones sobre la identidad de una persona.
Para limpiar los datos antes de enviarlos a Google, las empresas europeas deben enviarlos a través de un proxy inverso.
La CNIL francesaofrece instrucciones detalladas sobre cómo enviar los datos analíticos a Google a través de un proxy.
Sin embargo, es más fácil decirlo que hacerlo. La solución descrita por la CNIL -Comisión Nacional de Informática y Libertades- es un enrevesado lío técnico.
La idea es que, en lugar de enviar todo el tráfico de Google Analytics a los servidores de Google directamente, las empresas puedan pasarlo a través de un servidor que controlen y que esté situado en la UE.
Para cumplir con los requisitos de privacidad del GDPR, las empresas de la UE también deben eliminar de los datos cualquier información personal identificable.
En particular, la recomendación de la CNIL también establece que es necesario depurar todos los parámetros de consulta UTM, es decir, los identificadores de campaña. Este requisito hace que el uso de Google Analytics no tenga sentido. ¿Por qué iba a utilizar una empresa Google Analytics si no puede usar los datos para saber qué campaña publicitaria está funcionando bien y cuál no?
Afortunadamente, hay un montón de alternativas a Google Analytics con sede en Europa, por ejemplo Matomo, Piwik, Plausible o Econda.
Decisiones austriacas y francesas
Tras la sentencia austriaca emitida en febrero de 2022, el organismo de control de la privacidad de Francia, la CNIL, también ha declarado que Google Analytics incumple el GDPR y, por tanto, debe ser prohibido. La CNIL publicó un comunicado:
“La CNIL, en colaboración con sus homólogos europeos, ha analizado las condiciones en las que los datos recogidos a través de este servicio [Google Analytics] se transfieren a Estados Unidos. La CNIL considera que estas transferencias son ilegales y ordena al administrador de un sitio web francés que cumpla con el GDPR y, si es necesario, deje de utilizar este servicio en las condiciones actuales.”
Escudo de privacidad invalidado
Cuando se invalidó la legislación del Escudo de Privacidad en 2020, esto tuvo consecuencias de gran alcance para los servicios en línea estadounidenses que operan en Europa: Ya no se les permitía transferir datos de ciudadanos europeos a Estados Unidos, ya que esto haría que los datos de los ciudadanos europeos fueran vulnerables a la vigilancia masiva estadounidense, una clara violación del GDPR europeo.
Sin embargo, la industria tecnológica de Silicon Valley ignoró en gran medida la sentencia. Esto ha llevado ahora a la sentencia que prohíbe Google Analytics en Europa. NOYB dice:
“Mientras que esto (=invalidación del Escudo de Privacidad) envió ondas de choque a través de la industria tecnológica, los proveedores estadounidenses y los exportadores de datos de la UE han ignorado en gran medida el caso. Al igual que Microsoft, Facebook o Amazon, Google se ha apoyado en las llamadas “cláusulas contractuales estándar” para continuar con las transferencias de datos y calmar a sus socios comerciales europeos.”
Ahora, la Autoridad Austriaca de Protección de Datos da el mismo golpe que el tribunal europeo al declarar inválido el Escudo de Privacidad: Ha decidido que el uso de Google Analytics es ilegal ya que viola el Reglamento General de Protección de Datos (GDPR). Google está “sometido a la vigilancia de los servicios de inteligencia de Estados Unidos y se le puede ordenar que les revele datos de ciudadanos europeos”. Por lo tanto, los datos de los ciudadanos europeos no pueden ser transferidos al otro lado del Atlántico.
Decisión original del tribunal austriaco.
Traducción automática de la decisión original.
¿De qué trata el caso judicial?
El 14 de agosto de 2020, un usuario de Google había accedido a un sitio web austriaco sobre temas de salud. Este sitio web utilizaba Google Analytics, y los datos sobre el usuario se transmitieron a Google en Estados Unidos. Basándose en estos datos, Google pudo deducir quién era.
El 18 de agosto de 2020, el usuario de Google se quejó ante la autoridad austriaca de protección de datos con la ayuda de la organización de protección de datos NOYB.
Ahora, el tribunal austriaco ha declarado esta transferencia de datos de Google Analytics como ilegal en Europa.
Datos no protegidos adecuadamente
El problema es que, debido a la ley estadounidense CLOUD Act, las autoridades de EE.UU. pueden exigir datos personales a Google, Facebook y otros proveedores de EE.UU., incluso cuando operan fuera de EE.UU., por ejemplo en Europa.
Así, Google no puede ofrecer un nivel de protección adecuado en virtud del artículo 44 del GDPR, lo que supone una clara violación de las garantías europeas de protección de datos. Las cláusulas contractuales estándar invocadas por el operador del sitio web no ayudan, como reconoció en 2020 el Tribunal de Justicia de las Comunidades Europeas (TJCE) en su decisión sobre el “Escudo de Privacidad” (Schrems II).
No es necesario probar el abuso de datos
El factor decisivo para la valoración jurídica del uso de Google Analytics no es si una agencia de inteligencia estadounidense obtuvo realmente los datos o si Google identificó realmente al usuario. El mero hecho de que esto fuera teóricamente posible ya constituía una violación del GDPR.
Sin embargo, los usuarios de Google pueden configurar sus cuentas de Google para evitar que Google evalúe en detalle su uso de sitios web de terceros. Pero el hecho de que esta función exista es una prueba de que Google es capaz de fusionar los datos de uso con el individuo.
El mayor éxito de NOYB
Esta sentencia es uno de los mayores éxitos de la organización de protección de datos NOYB hasta la fecha. Por ello, la NOYB y Max Schrems están muy contentos con la decisión del tribunal austriaco:
“Se trata de una decisión muy detallada y sólida. La conclusión es: Las empresas ya no pueden utilizar los servicios en la nube estadounidenses en Europa. Hace ya un año y medio que el Tribunal de Justicia lo confirmó por segunda vez, así que ya es más que hora de que la ley se cumpla también”.
Esta sentencia es la primera de las 101 demandas presentadas por la organización sin ánimo de lucro NOYB de Schrems en la mayoría de los Estados miembros de la Unión Europea.
Ahora se espera que caigan decisiones similares sobre la prohibición de Google Analytics en Alemania, los Países Bajos y otros estados miembros de la UE.
¿Retirar Google Analytics?
Tutanota -como servicio de correo electrónico seguro que se centra en la privacidad de los usuarios- nunca ha utilizado Google Analytics.
Pero ahora, muchas empresas en Europa deben preguntarse si deben eliminar Google Analytics de sus sitios web o arriesgarse a una sanción por violar el GDPR.
A largo plazo, habrá dos opciones: O Estados Unidos cambia sus leyes de vigilancia para reforzar sus negocios tecnológicos, o los proveedores estadounidenses tendrán que alojar los datos de los usuarios europeos en Europa.
La Autoridad Holandesa de Datos Personales (AP) -donde aún están pendientes dos decisiones sobre el uso de Google Analytics- ha actualizado ahora sus propias orientaciones sobre la “configuración de Google Analytics que respeta la privacidad”.
Con la actualización, la AP ha emitido una advertencia:
“Por favor, tenga en cuenta que el uso de Google Analytics podría dejar de estar permitido en breve”.
Aunque las autoridades de protección de datos danesas y noruegas explican ahora cómo se puede utilizar Google Analytics de forma legalmente compatible en Europa, la solución presentada no es viable debido a su increíble complejidad.
Conclusión
Aunque las empresas tecnológicas de Silicon Valley encontrarán la forma de seguir ofreciendo sus servicios en Europa -de una forma u otra-, el enfoque que han adoptado tras la invalidación del Escudo de Privacidad debe hacer saltar varias alarmas a las empresas europeas:
Como empresa europea, ya no es posible confiar los datos sensibles de los usuarios a empresas como Google, que ignoran deliberadamente la legislación europea en materia de privacidad y se arriesgan a imponer cuantiosas multas a sus clientes empresariales europeos.
Las multas contra el sitio web de salud austriaco en el caso comentado aún no se han decidido, pero en el peor de los casos, la multa es de 20 millones de euros o el 4% de las ventas anuales.
Dado que la privacidad es cada vez más importante para los consumidores de todo el mundo, es un paso lógico para cualquier empresa europea elegir servicios que se centren en la protección de la privacidad de sus usuarios.
Las alternativas europeas a Google Analytics son Matomo, Piwik, Plausible o Econda, por nombrar algunas.
Si quieres sustituir otros servicios de Google, consulta nuestra guía para recuperar tu privacidad en Internet con muchas alternativas a Google.
Una gran alternativa a Gmail, por ejemplo, es Tutanota, el proveedor alemán de correo electrónico seguro que cumple plenamente con el GDPR 😉 .