Protección de Datos rechaza elaborar un informe sobre si las cookies de Google Analytics suponen transferencias ilegales de datos a EEUU porque ya está tramitando varias denuncias

La Agencia Española de Protección de Datos ha rechazado emitir un informe jurídico sobre si las cookies de Google Analytics suponen o no una transferencia de datos a Estados Unidos, algo que podría ser ilegal atendiendo la sentencia Schrems II de verano de 2020.

Aquella sentencia, que falló el Tribunal de Justicia de la Unión Europea hace casi ya dos años, invalidaba el Privacy Shield, el marco jurídico que amparaba la transferencia de datos de ciudadanos europeos a EEUU. La razón es que EEUU no ofrecía, a juicio del TJUE, las mismas garantías en el tratamiento de datos de los usuarios que sí ofrece Bruselas.

El fallo llegó después de una demanda que interpuso la asociación None of Your Business (noyb), liderada por el propio Max Schrems. Después de que esta se conociera, noyb interpuso más de un centenar de denuncias a empresas de toda Europa ante las distintas agencias de protección de datos de los países miembros, exigiendo que retirasen las cookies de Google o Facebook de sus páginas.

Es precisamente a esas denuncias el motivo al que la AEPD se ha agarrado para justificar la no confección de ese informe jurídico. En un escrito al que ha tenido acceso Business Insider España, la agencia, todavía liderada por Mar España, señala que "en virtud de las denuncias recibidas se está tramitando el correspondiente procedimiento por posible vulneración de la normativa de protección de datos".

Vodafone, CaixaBank, BBVA, Mercadona o Telefónica: Protección de Datos ha recaudado más de 31 millones de euros de las 9 empresas que más ha multado en 2021

En ese sentido, "se está actuando de manera coordinada con el resto de autoridades europeas". Hasta el momento, que decayese el marco Privacy Shield solo ha servido para que casi dos años después los organismos de protección de datos europeos hayan comenzado a pronunciarse sobre este tema.

Primero llegó el Supervisor Europeo de Protección de Datos. El EDPS (por sus siglas en inglés) apercibió al Parlamento Europeo al entender que había instalado Google Analytics en una de sus páginas externas. Fue la propia noyb la que presentó esa denuncia. La plataforma que lidera Schrems aduce que con el envío de datos a EEUU, los servicios secretos norteamericanos pueden acceder a información de ciudadanos europeos.

Poco después llegó el propio organismo austriaco de protección de datos, y hace apenas unos días hizo lo propio el CNIL, el homólogo de la AEPD en Francia. De momento, quien no se ha pronunciado es el Comité Europeo de Protección de Datos, EDPB: el organismo que reúne a todas las agencias nacionales.

Fue un delegado en protección de datos español, Gonzalo Oliver, quien remitió un escrito a la AEPD animándola a pronunciarse sobre este tema. Sin embargo, la AEPD lo rechaza al tiempo que recuerda que ya tiene procedimientos abiertos. En España, noyb presentó denuncias contra empresas como Freepik, eDreams, Airbnb o la Real Academia Española.

En sus escritos a la AEPD, noyb aducía que las páginas de dichas compañías incluían cookies o de Google Analytics o de Facebook Connect, un servicio similar.

6 factores que amenazan realmente el futuro de Meta, matriz de Facebook, más allá de su improbable salida de Europa

De hecho, tanto Google como Facebook han animado en las últimas semanas a Washington y a Bruselas a llegar a un entendimiento que permita la configuración de un nuevo marco jurídico que ampare la transferencia de estos datos a EEUU. Las grandes tecnológicas suelen ser estadounidenses y el impedimento de enviar datos personales para tratarlos allí les supone un impedimento.

Al mismo tiempo, especialistas han cuestionado que Google no pueda levantar centros de datos en el Viejo Continente (ya cuenta con algunos) para poder tratar esos datos personales en suelo europeo. Esta posibilidad sería más complicada en el caso de Facebook, ya que la compañía, ahora conocida como Meta, provee de redes sociales en las que usuarios a uno y al otro lado del Atlántico pueden comunicarse.

El dilema es profundo. Ninguna tecnológica puede garantizar, por mucho que digan lo contrario, que los servicios secretos estadounidenses no le exigirán acceder a datos personales de ciudadanos europeos en sus redes sociales. La legislación norteamericana ampara a agencias como la NSA a ello.

Fruto de esta controversia, Facebook reconoció en su reciente comunicación al regulador del mercado de valores estadounidense, la SEC, que en caso de no alcanzarse un nuevo acuerdo entre Washington y Bruselas, sus plataformas (Facebook o Instagram) podrían verse obligadas a dejar de prestar sus servicios en la Unión Europea.