La CNIL de Francia dictamina que Google Analytics viola el RGPD

Actualización: En junio de 2022, la CNIL publicó una FAQ sobre Google Analytics indicando que los sitios web tienen solo un mes para cumplir y eliminar Google Analytics. La CNIL confirmó que ninguna configuración de Google Analytics puede satisfacer los requisitos de Schrems II, y ninguna medida complementaria puede hacerlo conforme.

Tras una resolución similar de la autoridad de protección de datos austriaca en enero de 2022, la autoridad francesa de protección de datos, CNIL, determinó que Google Analytics no es conforme con el RGPD. La resolución encontró que Google Analytics no protege adecuadamente los datos de los visitantes de la UE frente a la vigilancia estadounidense.

La conclusión central: transferir datos de la UE a EE. UU. a través de Google Analytics es inseguro, está insuficientemente regulado y no ofrece una protección adecuada para los ciudadanos de la UE y sus datos personales.

"EE. UU. no supera esta prueba crítica de equivalencia debido a que tiene leyes de vigilancia amplias que no proporcionan a los ciudadanos no estadounidenses ninguna forma de saber si sus datos están siendo adquiridos, cómo se están utilizando o de buscar reparación por cualquier uso indebido." (Fuente: TechCrunch)

Google declinó comentar sobre la decisión y no ha actualizado su software para lograr el cumplimiento del RGPD.

La CNIL recomienda que los operadores de sitios web cambien a herramientas de analítica alternativas que no involucren transferencias de datos fuera de la UE.

Qué significa esto para los propietarios de sitios web

Las herramientas de analítica centradas en la privacidad que procesan todos los datos de visitantes de la UE exclusivamente en servidores con sede en la UE califican como alternativas conformes con el RGPD. Las empresas con sede en países con decisiones de adecuación del RGPD (como Canadá) pueden trabajar con empresas de la UE sin transferir datos personales a infraestructura controlada por EE. UU.

Con 101 quejas presentadas en toda la UE tras la decisión de Schrems II, parecen inevitables resoluciones adicionales de las autoridades de protección de datos contra Google Analytics. Esta tendencia también sugiere que cualquier software que procese datos en servidores controlados por EE. UU. podría enfrentar un escrutinio similar.

El verdadero coste de la analítica "gratuita"

Google Analytics se utiliza en aproximadamente el 85% de internet porque parecía ser un software gratuito. El coste real de pagar por la analítica con datos en lugar de dinero ahora se está haciendo evidente. Arriesgar multas regulatorias y quejas de cumplimiento puede no valer el precio de cero dólares.

Los operadores de sitios web deberían evaluar si sus herramientas de analítica actuales los exponen a responsabilidad legal y considerar migrar a soluciones que prioricen el cumplimiento del RGPD por diseño.