La autoridad francesa de privacidad confirma: no hay forma legal de usar Google Analytics bajo el RGPD
La autoridad francesa de privacidad confirma: no hay forma legal de usar Google Analytics bajo el RGPD
TL;DR — Respuesta rápida
1 min de lecturaLa CNIL confirmó que no existen circunstancias bajo las cuales Google Analytics pueda usarse en cumplimiento con el RGPD, rechazando la anonimización, el cifrado y todas las demás soluciones alternativas propuestas.
La autoridad francesa de protección de datos (CNIL) declaró explícitamente durante una sesión de preguntas y respuestas que el uso de Google Analytics sigue violando el RGPD. De manera más significativa, la autoridad confirmó que no existen circunstancias bajo las cuales este uso se vuelva conforme.
Antecedentes: el impacto de Schrems II
La sentencia Schrems II invalidó el Escudo de Privacidad UE-EE. UU., el mecanismo que había facilitado las transferencias de datos transatlánticas. Bajo la legislación de la UE, las transferencias de datos fuera de la UE requieren salvaguardas adecuadas. Dado que la legislación estadounidense puede obligar a los proveedores de servicios de comunicación electrónica a revelar datos a agencias de inteligencia, el marco existente fue considerado inadecuado. Múltiples autoridades europeas de privacidad dictaminaron posteriormente que el uso de servicios de analítica con sede en EE. UU. viola el RGPD.
La posición de la CNIL
La CNIL confirmó que el acuerdo político anunciado entre la UE y EE. UU. no tiene mérito legal y no puede utilizarse como mecanismo de cumplimiento. La autoridad esperaba que la finalización de cualquier marco legal llevara un tiempo considerable, seguido de inevitables impugnaciones legales.
La CNIL emitió avisos formales a las organizaciones y les dio un mes para cumplir. La autoridad rechazó específicamente todas las soluciones técnicas propuestas por el proveedor de analítica:
Anonimización de datos: Rechazada porque el proveedor no pudo demostrar que la anonimización ocurriera antes de la transferencia de datos a EE. UU.
Identificadores únicos: Rechazados porque los identificadores podían combinarse con otros datos para reidentificar a los usuarios.
Cifrado de datos: Rechazado porque el proveedor retiene las claves de cifrado, manteniendo la capacidad de acceder a los datos personales.
Rastreo de direcciones IP: La autoridad señaló que los servicios que permiten la verificación cruzada de direcciones IP posibilitan rastrear el historial de navegación de los usuarios.
Implicaciones
La resolución se aplica a todas las versiones y configuraciones de la plataforma de analítica, incluyendo la versión más reciente. Con la CNIL declarando inequívocamente que no existe ninguna configuración conforme, la aplicación se vuelve directa. Las organizaciones enfrentan una elección clara: cambiar a alternativas conformes o aceptar el riesgo de acciones regulatorias.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Artículos relacionados
Francia declara ilegal Google Analytics bajo el RGPD: qué significa la decisión de la CNIL
La CNIL francesa dictaminó que Google Analytics viola el RGPD debido a transferencias de datos no autorizadas a EE.UU., dando a las organizaciones un aviso formal para cambiar a alternativas conformes.
Google Analytics enfrenta crecientes desafíos legales en Alemania
Las autoridades alemanas de protección de datos y contratación pública plantean preocupaciones crecientes sobre Google Analytics, sumándose al patrón europeo más amplio de aplicación contra herramientas de analítica con sede en EE.UU.
La autoridad francesa de protección de datos CNIL intensifica las acciones de aplicación
La CNIL ha aumentado significativamente su actividad de aplicación en materia de cookies, transferencias de datos y derechos de los interesados, señalando el fin del período de gracia del RGPD.