Terremoto en las empresas porque Google Analytics vulnera la normativa europea

Bruselas amonestó en enero al Europarlamento por violar su propio reglamento; una decisión que compromete ahora a las páginas web

Sitio web de búsqueda en Internet de Google. getty
Sitio web de búsqueda en Internet de Google. getty

Terremoto en el ámbito de las empresas y de las entidades públicas que utilizan Google Analytics en sus páginas web a raíz de una decisión de Bruselas. El Supervisor Europeo de Protección de Datos, cuya misión es garantizar que las instituciones comunitarias respetan el derecho a la intimidad de los ciudadanos, amonestó en enero al Parlamento Europeo por vulnerar su propia normativa al usar esta herramienta de analítica digital de la multinacional estadounidense.

Los hechos se remontan al contrato que la institución comunitaria hizo durante la pandemia con una empresa para la realización de pruebas de detección de Covid a los europarlamentarios y al resto de trabajadores de la Cámara. Para ello, debían registrarse en una web administrada por la compañía, aunque controlada por el Parlamento, que usaba cookies de Google Analytics y del proveedor de pagos estadounidense Stripe. Los datos personales recabados eran transferidos a EE UU, pero sin garantizar un nivel suficiente de protección.

Como consecuencia, el Parlamento Europeo ha sido apercibido por infringir el Reglamento General de Protección de Datos. Aunque el supervisor europeo no le ha impuesto una sanción económica porque no es competente para ello, sí le ha obligado a cumplir la normativa vigente. En concreto, a “actualizar sus avisos para proporcionar toda la información relativa al tratamiento de datos personales”.

Una decisión que puede tener efectos prácticos en España ya que “cualquier web que utilice cookies que tratan información personal y cuyos datos son transferidos a EE UU, como las de Google Analytics, estaría cometiendo una infracción en materia de protección de datos”, explica Samuel Parra, abogado de la consultora de privacidad Égida. Y ello porque el país no tiene, actualmente, el nivel de protección que exige la legislación comunitaria.

Así, por ejemplo, mientras que “el Reglamento Europeo de Protección de Datos no menciona la palabra vender en ninguno de sus 99 artículos, la Ley de Privacidad del Consumidor de California, que se aplica en Silicon Valley (sede de Google), se refiere más de 34 veces a la venta de datos en sus 21 apartados”, señala el abogado Efrén Díaz, responsable del área de Tecnología del Bufete Mas y Calvet. Por ello, “esta decisión de amonestación puede ser un referente para que instituciones y empresas apliquen la normativa de forma más rigurosa, a través de un cumplimiento efectivo, y no sólo formal o literario” de sus preceptos.

La autoridad española

Pese a ello, la Agencia Española de Protección de Datos, que se encuentra inmersa en el proceso de selección para designar a los cargos de director y adjunto a la dirección, todavía no se ha pronunciado al respecto. Sí lo han hecho recientemente las autoridades de protección de datos de Austria o Alemania, que han resuelto que el uso de Google Analytics viola el Reglamento General de Protección de Datos. Y se espera que próximamente lo hagan otros países del Viejo Continente.

Ahora bien, si finalmente la decisión del supervisor europeo crea un precedente en España, el responsable de infringir la normativa comunitaria por transferir, mediante Google Analytics, datos personales a EE UU sin las suficientes garantías “sería el editor de la web” en cuestión, señala David Ferrete, gerente del área de Privacidad, Riesgo y Cumplimiento del bufete Ecix Group. Y ello por ser el “encargado de obtener el consentimiento y de informar sobre el uso de las cookies” a los usuarios. No obstante, también “podría serlo Google si realizase actividades de tratamiento ulteriores con fines propios” sobre esa información personal.

Así pues, a las empresas españolas solo les quedarían dos opciones: “alojar los datos en servidores localizados fuera de EE UU o establecer las garantías y medidas técnicas suficientes para cumplir con los estándares del Reglamento General de Protección de Datos”, explica Paloma Bru, socia responsable de Tecnología del bufete Pinsent Masons en Madrid. Sin embargo, “esta segunda opción parece poco viable dadas las prerrogativas con las que cuenta la administración estadounidense para el acceso a la información en base a la actual normativa de vigilancia y seguridad nacional”.

La decisión del supervisor europeo

Pleno del Parlamento Europeo. Bloomberg News
Pleno del Parlamento Europeo. Bloomberg News

Reclamación.  El origen de la decisión del Supervisor Europeo de Protección de Datos se remonta a una reclamación de Noyb, la organización austriaca de activistas en defensa de la privacidad, contra el Parlamento Europeo. En nombre de seis eurodiputados, denunció que el sitio web de pruebas de covid usaba banners de cookies engañosos, avisos de protección de datos vagos y poco claros y la transferencia ilegal de datos a los Estados Unidos.

Schrems II. La decisión es una de las primeras que aplica las directrices de la histórica sentencia Schrems II del Tribunal de Justicia de la Unión Europea de 2020. La resolución invalidó el escudo de protección de la privacidad (Privacy Shield) entre la Unión y EE UU por no cumplir los estándares normativos comunitarios. Así, los sitios web deben abstenerse de transferir datos personales a los EE UU cuando no pueda garantizarse un nivel adecuado de protección.

Pruebas. El supervisor europeo confirmó que “el Parlamento no había proporcionado ninguna documentación, prueba u otra información sobre las medidas existentes para garantizar un nivel de protección esencialmente equivalente (al europeo) en los datos personales transferidos a los EE UU”.

Normas
Entra en El País para participar