Breaking news
Read our blog to learn why privacy matters. And don't forget to get an encrypted mailbox yourself!

Google Analytics declarado ilegal en la UE.

Ahora que Google Analytics es ilegal, ¿protegerá Alphabet mejor los datos de los europeos para cumplir con el GDPR?

2022-03-21
Google Analytics now banned in EUurope
Max Schrems, el abogado que demandó con éxito a Facebook por violación de la privacidad de los ciudadanos europeos, se ha anotado otra victoria, esta vez contra Google: En dos sentencias judiciales históricas, la autoridad de protección de datos de Austria, así como el organismo de control de la privacidad de Francia, han determinado que el uso de Google Analytics es ilegal en los sitios web europeos.

Tras la sentencia austriaca emitida en febrero, el organismo de control de la privacidad de Francia, la CNIL, también ha declarado que Google Analytics incumple el GDPR y, por tanto, debe ser prohibido. La CNIL publicó un comunicado:

"La CNIL, en colaboración con sus homólogos europeos, ha analizado las condiciones en las que los datos recogidos a través de este servicio [Google Analytics] se transfieren a Estados Unidos. La CNIL considera que estas transferencias son ilegales y ordena al administrador de un sitio web francés que cumpla con el GDPR y, si es necesario, que deje de utilizar este servicio en las condiciones actuales."

Google Analytics es ilegal en Europa

Google Analytics illegal in Europe.

Cuando la legislación del Escudo de Privacidad fue invalidada en 2020, esto tuvo consecuencias de gran alcance para los servicios en línea estadounidenses que operan en Europa: Ya no se les permitía transferir datos de ciudadanos europeos a Estados Unidos, ya que esto haría que los datos de los ciudadanos europeos fueran vulnerables a la vigilancia masiva estadounidense, una clara violación del GDPR europeo.

Sin embargo, la industria tecnológica de Silicon Valley ignoró en gran medida la sentencia. Esto ha llevado ahora a la sentencia que prohíbe Google Analytics en Europa. NOYB dice:

"Mientras que esto (=invalidación del Escudo de Privacidad) envió ondas de choque a través de la industria tecnológica, los proveedores estadounidenses y los exportadores de datos de la UE han ignorado en gran medida el caso. Al igual que Microsoft, Facebook o Amazon, Google se ha apoyado en las llamadas "cláusulas contractuales estándar" para continuar con las transferencias de datos y calmar a sus socios comerciales europeos."

Ahora, la Autoridad Austriaca de Protección de Datos da el mismo golpe que el tribunal europeo al declarar inválido el Escudo de Privacidad: Ha decidido que el uso de Google Analytics es ilegal ya que viola el Reglamento General de Protección de Datos (GDPR). Google está "sometido a la vigilancia de los servicios de inteligencia de Estados Unidos y se le puede ordenar que les revele datos de ciudadanos europeos". Por tanto, los datos de los ciudadanos europeos no pueden ser transferidos al otro lado del Atlántico.

Decisión original del tribunal austriaco.

Traducción automática de la decisiónoriginal.

¿De qué trata el caso judicial?

El 14 de agosto de 2020, un usuario de Google había accedido a un sitio web austriaco sobre temas de salud. Este sitio web utilizaba Google Analytics, y los datos sobre el usuario se transmitieron a Google en Estados Unidos. Basándose en estos datos, Google pudo deducir quién era.

El 18 de agosto de 2020, el usuario de Google se quejó ante la autoridad austriaca de protección de datos con la ayuda de la organización de protección de datos NOYB.

Ahora, el tribunal austriaco ha declarado esta transferencia de datos de Google Analytics como ilegal en Europa.

La cuestión que se plantea es que, debido a la ley estadounidense CLOUD Act, las autoridades de EE.UU. pueden exigir datos personales a Google, Facebook y otros proveedores estadounidenses, incluso cuando operan fuera de EE.UU., por ejemplo en Europa.

Así, Google no puede ofrecer un nivel de protección adecuado en virtud del artículo 44 del GDPR, lo que supone una clara violación de las garantías europeas de protección de datos. Las cláusulas contractuales estándar invocadas por el operador del sitio web no ayudan, como reconoció en 2020 el Tribunal de Justicia de las Comunidades Europeas (TJCE) en su decisión sobre el "Escudo de Privacidad" (Schrems II).

El factor decisivo para la valoración jurídica del uso de Google Analytics no es si una agencia de inteligencia estadounidense obtuvo realmente los datos o si Google identificó realmente al usuario. El mero hecho de que esto fuera teóricamente posible ya constituía una violación del GDPR.

Sin embargo, los usuarios de Google pueden configurar sus cuentas de Google para evitar que Google evalúe en detalle su uso de sitios web de terceros. Pero el hecho de que esta función exista es una prueba de que Google es capaz de fusionar los datos de uso con el individuo.

El mayor éxito de NOYB

Esta sentencia es uno de los mayores éxitos de la organización de protección de datos NOYB hasta la fecha. Por ello, la NOYB y Max Schrems están muy contentos con la decisión del tribunal austriaco:

"Se trata de una decisión muy detallada y sólida. La conclusión es: Las empresas ya no pueden utilizar los servicios en la nube estadounidenses en Europa. Hace ya un año y medio que el Tribunal de Justicia lo confirmó por segunda vez, así que ya es más que hora de que se aplique la ley".

Esta sentencia es la primera de las 101 demandas presentadas por la organización sin ánimo de lucro NOYB de Schrems en la mayoría de los Estados miembros de la Unión Europea.

Ahora se espera que caigan decisiones similares sobre la prohibición de Google Analytics en Alemania, los Países Bajos y otros estados miembros de la UE.

¿Retirar Google Analytics?

Tutanota, como servicio de correo electrónico seguro que se centra en la privacidad de los usuarios, nunca ha utilizado Google Analytics.

Pero ahora, muchas empresas en Europa deben preguntarse si deben eliminar Google Analytics de sus sitios web o arriesgarse a una sanción por violar el GDPR.

A largo plazo, habrá dos opciones: O Estados Unidos cambia sus leyes de vigilancia para reforzar sus negocios tecnológicos, o los proveedores estadounidenses tendrán que alojar los datos de los usuarios europeos en Europa.

La Autoridad Holandesa de Datos Personales (AP) -donde aún están pendientes dos decisiones sobre el uso de Google Analytics- ha actualizado ahora sus propias orientaciones sobre la "configuración de Google Analytics que respeta la privacidad".

Con la actualización, la AP ha emitido una advertencia:

"Por favor, tenga en cuenta que el uso de Google Analytics podría dejar de estar permitido en breve".

La Autoridad Holandesa de Datos Personales tiene previsto decidir sobre los casos pendientes de Google Analytics a principios de 2022. Entonces la AP emitirá una declaración clara sobre si el uso de Google Analytics es ilegal en Europa o no.

Conclusión

Aunque las empresas tecnológicas de Silicon Valley encontrarán la manera de seguir ofreciendo sus servicios en Europa -de una forma u otra-, el enfoque que han adoptado tras la invalidación del Escudo de Privacidad debe hacer saltar varias alarmas a las empresas europeas:

Como empresa europea, ya no es posible confiar los datos sensibles de los usuarios a empresas como Google, que ignoran deliberadamente la legislación europea en materia de privacidad y se arriesgan a imponer cuantiosas multas a sus clientes empresariales europeos.

Las multas contra el sitio web de salud austriaco en el caso discutido no se han decidido todavía, pero seguiremos el desarrollo de cerca.

Por el contrario, y dado que la privacidad es cada vez más importante para los consumidores de todo el mundo, es un paso lógico para cualquier empresa europea elegir servicios que se centren en la protección de la privacidad de sus usuarios.

Tutanota, por ejemplo, es un proveedor alemán de correo electrónico seguro que cumple plenamente con el GDPR.


Recomendación de lectura: Guía rápida para recuperar tu privacidad online con muchas alternativas de Google.

CARGAR COMENTARIOS