¿Qué está pasando con Google Analytics y el RGPD?
En los últimos meses se ha hablado mucho sobre la legalidad de Google Analytics respecto al Reglamento General de Protección de Datos (RGPD). Inicialmente, este debate surge con una resolución de la autoridad de control austríaca (Datenschutz behörde) avivado posteriormente por la reciente decisión de la Commission nationale de l’informatique et des libertés (CNIL), la autoridad de control francesa, de considerar que Google Analytics no cumple con el RGPD.
Para entender todo este revuelo es necesario tener unas nociones básicas sobre el RGPD, en concreto, sobre las denominadas transferencias internacionales de datos personales. Además, se debe hacer una pequeña recapitulación que permita entender el contexto jurídico actual sobre estas.
¿Qué son las transferencias internacionales de datos personales?
Las transferencias internacionales de datos son aquellos tratamientos de datos personales realizados fuera del Espacio Económico Europeo, es decir, los datos personales son enviados a un tercer país u organización internacional fuera del territorio de los países de la Unión Europea, Islandia, Liechtenstein o Noruega. A este respecto, el capítulo V del RGPD establece toda una serie de instrumentos jurídicos que permiten que las transferencias internacionales sean legítimas y conformes con el RGPD.
Uno de dichos instrumentos jurídicos son las decisiones de adecuación de la Comisión Europea reconociendo que el tercer país o la organización internacional receptora de los datos puede garantizar un nivel de protección similar al que establece el RGPD.
En el caso de las transferencias de datos a Estados Unidos, estas se basaban en la Decisión de adecuación 2016/1250, también conocida como el Escudo de Privacidad (Privacy Shield). Por tanto, toda entidad estadounidense que fuera a tratar datos personales de ciudadanos de la Unión Europea debía estar adscrita al Escudo de Privacidad para que la transferencia se considerase adecuada y que cumplía con todas las garantías legales.
Sin embargo, en julio de 2020 el Tribunal de Justicia de la Unión Europea fallaba a favor de NOYB, la ONG del activista austríaco Max Schrems, e invalidaba el Escudo de Privacidad. En la sentencia se argumentaba que el Escudo de Privacidad no garantizaba un nivel adecuado de protección para los ciudadanos europeos existiendo un riesgo de injerencia en sus derechos fundamentales por los siguientes motivos:
- El reconocimiento de la prevalencia de la legislación estadounidense relativa a la seguridad nacional y el interés público. El gobierno y las agencias de seguridad de Estados Unidos pueden acceder a todos los datos personales de los ciudadanos europeos que recaben las empresas americanas.
- El acceso y la utilización de la información por las autoridades estadounidenses no cumple con el principio de proporcionalidad ya que los programas de vigilancia estadounidense no se limitan a la información estrictamente necesaria.
- La figura del Defensor del Pueblo recogida en el Escudo de Privacidad no ofrece a las personas físicas garantías equivalentes a las exigidas en el Derecho europeo ya que no se garantiza la independencia de este ni la existencia de un marco normativo que le permita adoptar decisiones vinculantes respecto a los servicios de inteligencia estadounidenses.
En definitiva, se considera que el Escudo de Privacidad no evita que los ciudadanos europeos vean su intimidad amenazada por agencias de seguridad americanas dado que las empresas tienen la obligación de facilitarles la información personal que hayan recabado cuando así se lo requieran.
¿Y cómo afecta todo esto a Google Analytics?
Google Analytics es un servicio gratuito que se puede integrar en las páginas webs permitiendo medir y analizar el número de visitas que recibe. A priori, mide el tráfico de la web manejando información meramente estadística que puede incluir algunos datos de los usuarios tales como edad, género, intereses, idioma, ubicación y tipo de dispositivo utilizado para visitar la web.
Según Google, no se rastrea ni perfila a las personas a través de Internet y las entidades que lo utilizan controlan los datos que se recopilan. Sin embargo, en la resolución de la Datenschutz behörde se indica que a través de este servicio se recaba como mínimo la dirección IP del usuario, además de que ciertas cookies como «_ga» o «cid» (Client ID) y «_gid» (ID de usuario) contienen números de identificación únicos de Google Analytics y se almacenan en el dispositivo o en el navegador del usuario a fin de poder distinguir cuándo un usuario es un visitante recurrente o nuevo.
El hecho de que se asigne un identificador único a un usuario ya supone que tenga la consideración de dato personal por permitir su identificación. Por tanto, si el usuario ha consentido el uso de las cookies, Google puede rastrear y recabar sus datos personales que transfiere a Estados Unidos, además de realizar perfiles de sus usuarios. Una transferencia internacional de datos que vulnera el artículo 44 y siguientes del RGPD ya que actualmente no está legitimada por ninguno de los instrumentos jurídicos establecidos en ellos.
¿Qué se puede hacer ante esta situación?
En España, la Agencia Española de Protección de Datos (AEPD) aún no se ha pronunciado sobre el uso de Google Analytics por lo que no disponemos de pautas al respecto. Sin embargo, la decisión del CNIL recoge algunas medidas que se pueden adoptar como base para una correcta utilización de Google Analytics, tales como:
- Adoptar medidas para que los identificadores únicos no permitan identificar al usuario.
- Anonimizar las direcciones IP antes de transferir los datos a Estados Unidos.
- Establecer mecanismos de seudonimización de los identificadores únicos que se utilizan. En concreto, sería necesario excluir del tratamiento los campos que en combinación con los identificadores únicos permiten que Google pueda identificar al usuario o que disponga de la información necesaria para hacerlo mediante su individualización o singularización.
- Cifrar los datos transferidos. Para que esta medida sea válida, sería necesario que el Responsable del Tratamiento explicase con detalle las características y el alcance de esta medida, además de que Google no conservase las claves de cifrado.
- Obtener el consentimiento explícito e informado del usuario, según los requisitos exigidos en el artículo 49.1 a del RGP.
Estas son algunas de las medidas a adoptar por el Responsable del Tratamiento, si bien la CNIL también le pone deberes a Google al considerar que el protocolo que aplicado por esta para gestionar las solicitudes que recibe de las agencias de inteligencia es ineficaz, ya que se limita a describir el análisis que realiza de la legalidad de cada solicitud.
Por su parte, Google dispone de la funcionalidad Consent Mode que permite configurar Google Analytics sin cookies, es decir, se puede establecer que el usuario que visita la web se deba registrar sin cookies. En este caso, no se recabarían datos de seguimiento que permitan identificar al usuario y los datos se utilizarían para modelar el comportamiento de forma global, mientras que sí se enviaría la información completa cuando el usuario preste su consentimiento para el uso de las cookies.
En cualquier caso, no hay que descartar estudiar otras opciones e incluso otras herramientas, por ejemplo, de proveedores europeos. Con toda probabilidad este tema continúe en el candelero los próximos meses debido a las diversas quejas, en concreto 101, que NOYB ha presentado ante las autoridades de control de los distintos Estados miembros de la Unión Europea con la intención de que la sentencia del Tribunal de Justicia Europeo se cumpla en la práctica.
Amaya Reguilón Espinosa
Delegada de Protección de Datos
Asseco Spain Group