Francia también considera ilegales las transferencias internacionales de datos a EEUU y cuestiona el modelo de tratamiento de las grandes tecnológicas en Europa

La boya de aterrizaje para el cable submarino Curie de Google. Google Cloud
La boya de aterrizaje para el cable submarino Curie de Google. Google Cloud

Una sentencia del Tribunal de Justicia de la Unión Europea tumbó el Privacy Shield, el marco jurídico que amparaba hasta 2020 las transferencias de datos internacionales desde Europa a Estados Unidos. Ha habido que esperar dos años hasta que las agencias de protección de datos de los distintos estados miembros han comenzado a pronunciarse sobre la materia.

De ahí que Meta volviese a recordar en su informe anual al regulador de los mercados estadounidense, la SEC, que sin un nuevo acuerdo transatlántico que amparase ese flujo de datos se podrían ver obligados a dejar de prestar servicios en el Viejo Continente. Unas palabras que han levantado una auténtica polvareda y que en Bruselas han sido tomadas como una amenaza.

Meta, la matriz de Facebook, tiene otros problemas. Pero la cuestión de las transferencias internacionales de datos no le afecta solo a ella. Afecta, en realidad, a todas las grandes compañías que prestan servicio en Europa y que son originarias de Estados Unidos. En las últimas semanas, varias agencias de protección de datos europeas se han pronunciado sobre Google Analytics.

Facebook no sería la única en irse si se ilegalizan las transferencias de datos a EEUU: por qué este pulso de Europa no es solo contra las tecnológicas, sino también contra Washington

La última ha sido la CNIL, el organismo de control francés. Este jueves la CNIL ha emitido un comunicado que se suma a la agencia de protección de datos austríacay al Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés, la entidad que se encarga de controlar el cumplimiento del Reglamento de Protección de Datos en las instituciones europeas).

En su escrito, la CNIL entiende que esas transferencias de datos son ilegales y ha exigido al gestor de un sitio web francés que cumpla con el Reglamento General de Protección de Datos (RGPD) y "deje de utilizar esta herramienta en las condiciones actuales", refiriéndose a Analytics.

Analytics es la herramienta de métrica de audiencias que ofrece Google, y se trata de un servicio ampliamente desplegado con fines de marketing digital. El EDPS se pronunció porque Analytics estaba presente en un sitio web externo del Parlamento Europeo. Sin embargo, el EDPS no puede sancionar económicamente a las instituciones, pero sí apercibió a la Cámara.

La autoridad de protección de datos austríaca también se pronunció de manera similar. Lo sorprendente es que la que por el momento no se ha pronunciado es la autoridad irlandesa, que es la directamente competente al estar la matriz de Google en Europa en suelo irlandés. Un experto en protección de datos, Gonzalo Oliver, ha instado a la AEPD a pronunciarse.

De momento, el organismo de control español no ha dado respuesta.

Como explicó el abogado y consultor tecnológico Borja Adsuara en un reciente artículo, los grandes proveedores de servicios en la nube sí que han desplegado sus centros de datos en el Viejo Continente para garantizar que los datos de sus clientes se quedan en suelo europeo, y de esta manera cumplir con el RGPD.

Los datos son el petróleo que empresas y gobiernos necesitan, aunque la privacidad ya se ha convertido en un debate global: así hemos llegado hasta aquí

Lo que ocurre con las redes sociales como Facebook es que se trata de una comunicación en dos puntos, por lo que si un usuario habla con un usuario ubicado en Canadá o en EEUU, irremediablemente esas transferencias de datos existirán. De ahí que Google, pero también Meta, vengan presionando desde hace meses a Washington y Bruselas para que alcancen un nuevo acuerdo.

Privacy Shield decayó en 2020, pero no fue el primer marco jurídico que amparaba las transferencias de datos entre Europa y EEUU. El primero se conoció como Safe Harbor y también decayó por una sentencia similar. La razón por la que el TJUE tumbó estos acuerdos es que Estados Unidos no ofrece las mismas garantías en protección de datos a los usuarios que sí ofrece el RGPD.

Con Analytics, ocurre otra cosa. El tratamiento de datos de los usuarios podría hacerse en el Viejo Continente, e incluso Google cuenta con centros de datos en suelo europeo. No obstante, en un reciente comunicado, el gigante del buscador venía a reconocer que esas transferencias de datos a EEUU les resultaban indispensables.

La CNIL francesa entiende que esas transferencias de datos a EEUU con Google Analytics no están "suficientemente reguladas" en la actualidad y considera que falta una "decisión de adecuación" por parte de Washington. Aunque acepta que Google ha adoptado "medidas adicionales" para regular esas transferencias, estas "no son suficientes".

"No son suficientes", continúa, "para excluir la posibilidad de que los servicios de inteligencia estadounidenses accedan a estos datos". "Existe un riesgo para los usuarios del sitio web francés que utiliza esta herramienta y cuyos datos se exportan".

La CNIL se ha pronunciado a raíz de una demanda que Noyb, una plataforma de activistas en defensa por la privacidad liderada por el austríaco Max Schrems, interpuso contra más de 100 empresas europeas (entre ellas, 5 españolas) por usar herramientas como Analytics que conllevarían esas transferencias de datos internacionales.

El propio Schrems se ha congratulado de que la CNIL se haya sumado a la autoridad de protección de datos austríaca, que fue la primera en resolver que esas transferencias de Google eran ilegales.

"Es interesante ver cómo diferentes autoridades europeas de protección de datos van llegando a la misma conclusión: el uso de Google Analytics es ilegal. Hay una fuerza europea y si asumimos que estas decisiones se están coordinando, veremos resoluciones similares", exponía.

De momento, la que tampoco se ha pronunciado por el momento es el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés), el organismo que precisamente coordina a las autoridades de los 27.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.