Piden a Protección de Datos que aclare si el uso de las cookies de Google Analytics conlleva una transferencia de datos a EEUU, lo que vulneraría el RGPD

Max Schrems, el activista por la privacidad austriaco que acaba de ganarle la batalla legal a EEUU.
Max Schrems, el activista por la privacidad austriaco que acaba de ganarle la batalla legal a EEUU.
  • Las recientes resoluciones del EDPS europeo o de la autoridad de protección de datos austríaca hacen estallar la inseguridad jurídica ante los usuarios de Google Analytics.
  • Un especialista ha elevado un escrito a la Agencia Española de Protección de Datos instándola a que haga un informe jurídico que aclare esta problemática.
  • Descubre más historias en Business Insider España.

Noyb, una plataforma en defensa de la privacidad de los internautas europeos, ha logrado que el Supervisor Europeo de Protección de Datos (EDPS) aperciba al Parlamento Europeo por alojar una página web con cookies de Google Analytics. La razón: Noyb entiende que esas cookies suponían de facto una transferencia internacional de datos personales.

El presidente de Noyb es el austríaco Max Schrems. Su activismo le ha convertido en una auténtica pesadilla para grandes tecnológicas como Facebook, e incluso su apellido bautiza dos sentencias del Tribunal de Justicia de la Unión Europea sobre las que se ha amparado el EDPS para cerrar el caso contra la Eurocámara.

Es la última de estas dos, la sentencia Schrems-II (de verano de 2020) la que hacía caer el Privacy Shield. Este Privacy Shield no era otra cosa que un acuerdo entre EEUU y Bruselas para garantizar la transferencia de datos personales de los usuarios, algo para lo que el Reglamento General de Protección de Datos exige suma minuciosidad.

El Supervisor Europeo de Protección de Datos fue electo con un proceso similar al que ahora desata una guerra política en España y que podría prolongarse meses

Sin embargo, en Schrems-II el Tribunal de Justicia de la UE consideraba que el nivel de protección de datos personales en EEUU era problemático y no era proporcional a la protección que sí se garantiza en el Viejo Continente. A tenor del fallo judicial, Noyb inició procedimientos contra más de 100 empresas europeas ante las autoridades de protección de datos de distintos países miembros.

Las primeras resoluciones se han conocido esta semana. La primera, del EDPS, contra la propia Eurocámara. La segunda, este miércoles, de la autoridad de protección de datos austríaca, que dictaminó que Google Analytics viola el RGPD, como detalla la plataforma Noyb en su web y recogen medios como la agencia Efe.

Esta última detalla que en el proceso ante la autoridad de control austríaca, Google admitió que "todos los datos recogidos a través de Google Analytics (...) se alojan en EEUU".

De ser así, y de cundir este ejemplo al resto de autoridades de protección de datos europeas, la aplicación de la sentencia Schrems-II tendría finalmente un efecto "en el mundo real", como reivindica el propio Schrems en un comunicado de su organización, al tiempo que generaría mucha inseguridad jurídica, opina Gonzalo Oliver Martín.

Gonzalo Oliver es asesor jurídico en materia de Protección de Datos, Privacidad y Ciberseguridad, trabaja en OZONIA Consultores y es socio de la Asociación Española de Delegados de Protección de Datos (aeDPD). Este mismo miércoles elevó un escrito a la propia Agencia Española de Protección de Datos instándola a emitir un informe jurídico sobre este tema.

La AEPD tendrá que pronunciarse

Protección de Datos, aunque ahora está inmersa en el proceso de selección para su primera Presidencia (que sustituirá a la interina directora general, Mar España, en las próximas semanas), tendrá que emitir un informe jurídico. Gonzalo Oliver tiene muchas dudas en torno a esta controversia, y no es el único incapaz de dar una respuesta clara y contundente a una sencilla pregunta:

¿Transfiere datos Google a EEUU cuando recoge las cookies de Analytics?

Analytics es una herramienta de métrica de audiencias que permite a los responsables de distintos sitios web comprobar cuántos usuarios (y audiencias) entran en sus portales y cómo interactúan con él. Vozpópuli señaló que el Gobierno de España estaría inclumpliendo la Schrems-II porque, al igual que el Parlamento Europeo, utiliza Analytics en sus páginas.

Sin embargo, esta herramienta también está presente en un sinfín de páginas de empresas de marketing, en tiendas electrónicas, y en la práctica totalidad de los medios de comunicación españoles.

En su resolución, el Supervisor Europeo de Protección de Datos tan solo apercibía al Parlamento Europeo porque se trata de una institución pública. Pero si los organismos de protección de datos siguen su ejemplo, las sanciones económicas por vulnerar el RGPD podrían acabar llegando a las empresas de distintos estados miembros.

Que los electos a presidir la AEPD sean finalmente los mismos acordados por PSOE y PP sería algo que "no se comprendería", según el candidato que viene de Bruselas

Noyb, en el más de centenar de denuncias que presentó ante estos organismos de control, incluyó las páginas de compañías españolas como la startup malagueña Freepik e incluso de entidades como la Real Academia Española.

"A mí me extraña mucho que el Reglamento de Protección de Datos se aprobara en 2016, se aplicara en 2018, cayeran los Privacy Shield de la UE con EEUU, ¿y ahora 5 años después se dan cuentas de que se siguen haciendo transferencias internacionales de datos a través de las cookies de Google Analytics?", se pregunta Gonzalo Oliver.

Oliver es el firmante de un escrito que dirigió a la AEPD esta semana para que se pronunciara con un informe jurídico para tratar de salvar la inseguridad que ha suscitado tanto la resolución del EDPS como la posterior resolución de la agencia austríaca. "En caso de investigarse o sancionarse a Google, debería ser la DPC, la agencia irlandesa".

Esto se debe a que Irlanda es el país en el que se asientan las matrices de varias grandes tecnológicas, entre ellas de la propia Google. "Tienen una filial en España, pero está destinada a la venta de servicios", recuerda. Así, la AEPD no sería la autoridad competente para tratar el asunto de estas cookies, pero sí se puede pronunciar para tratar de arrojar algo de luz a esta problemática.

"Otra cosa que a mí me extraña: Google tiene seis servidores en Europa. Esos centros de datos se ubican Irlanda, dos en Países Bajos, Dinamarca, Finlandia y Bélgica". "¿Todas las cookies de empresas de marketing, de medios, todas se van a enviar a EEUU? ¿No hay ninguna que se quede almacenada en los servidores que Google tiene en Europa?".

Más de 40 organizaciones exigen derogar el reconocimiento facial y controlar el uso de la IA en las fronteras de Ceuta y Melilla por los riesgos a los derechos fundamentales

De confirmarse que absolutamente todas las cookies de Google Analytics que usan las administraciones y empresas de toda Europa suponen un traslado de datos personales a EEUU, supondría una hecatombe. Y abriría dos escenarios: uno, en el que la sanción económica la asumiría Google, u otro peor:

Uno en el que la sanción económica iría a las empresas que utilizan esta herramienta de métrica de audiencias, asestando un gravísimo golpe a muchas compañías emergentes que al calor de la pandemia se han animado a digitalizar buena parte de sus negocios.

Sobre la resolución de la autoridad de control austríaca, el propio Schrems, presidente de Noyb, se congratulaba de la misma: "En lugar de adaptar sus servicios al RGPD, muchas empresas estadounidenses han intentado simplemente incluir unas líneas de texto a sus políticas de privacidad, ignorando el fallo del Tribunal de Justicia de la Unión Europea".

Como expone Gonzalo Oliver en su escrito a Protección de Datos: "Muchos responsables del tratamiento se encuentran desorientados ante estas últimas noticias y la decisión tomada por el Supervisor Europeo". Lo seguirán estando hasta que no haya una respuesta.

Otros artículos interesantes:

Demandan a la agencia de protección de datos irlandesa por exigir confidencialidad a uno de los principales denunciantes de Facebook en Europa

"Sus procedimientos fallan y no funcionan": uno de los principales reguladores europeos de protección de datos urge a renovar el RGPD

Sherpa.ai, la empresa española capaz de ofrecer soluciones de inteligencia artificial "sin límites" respetando las leyes de protección de datos

Te recomendamos