Por que Google Analytics ha sido declarado ilegal bajo el RGPD
Por que Google Analytics ha sido declarado ilegal bajo el RGPD
TL;DR — Respuesta rápida
3 min de lecturaLa autoridad austriaca de proteccion de datos declaro ilegal Google Analytics bajo el RGPD por violaciones en la transferencia de datos UE-EE. UU., con 101 denuncias presentadas en los estados miembros de la UE y resoluciones similares esperadas en toda Europa.
El 13 de enero de 2022, la Autoridad Austriaca de Proteccion de Datos dictamino que el uso continuado de Google Analytics viola el RGPD. Esta decision historica fue el primer resultado de 101 denuncias modelo presentadas por noyb en 2020, una iniciativa del abogado de privacidad Max Schrems. Se esperan resoluciones similares en toda la UE.
"Esperamos que decisiones similares se vayan produciendo gradualmente en la mayoria de los estados miembros de la UE. Hemos presentado 101 denuncias en casi todos los Estados miembros, y las autoridades coordinaron la respuesta." - Max Schrems, abogado de privacidad de la UE y presidente honorario de noyb
Esta resolucion tiene implicaciones que van mucho mas alla de la analitica web. Se aplica a las transferencias de datos UE-EE. UU. en general, lo que significa que la mayoria de los sitios web que actualmente procesan datos personales de la UE en infraestructura en la nube propiedad de empresas estadounidenses estan tecnicamente violando el RGPD.
Tu analitica web esta infringiendo la ley?
La forma mas rapida de evaluar tu exposicion es responder a estas preguntas:
- Tu proveedor de analitica web es una empresa estadounidense?
- Tu proveedor de analitica utiliza servidores web propiedad de un proveedor de nube estadounidense? (Nota: no importa si los servidores estan fisicamente ubicados en la UE. La empresa estadounidense propietaria sigue sujeta a FISA 702 y la Orden Ejecutiva 12.333.)
Si la respuesta a cualquiera de las preguntas es si, tu analitica web podria no ser conforme.
La anonimizacion de IP soluciona el problema?
Desafortunadamente, no. La anonimizacion que realiza Google Analytics ocurre del lado del cliente en el navegador. Incluso si la IP se anonimiza mediante JavaScript antes de enviarse, la direccion IP real sigue transmitiendose en las cabeceras de la solicitud HTTP. Es tecnicamente imposible excluir una direccion IP real de una solicitud HTTP sin usar un proxy o un servicio VPN.
Los banners de consentimiento pueden resolver esto?
Los banners de consentimiento fueron disenados para cookies y mecanismos de rastreo similares. La sentencia Schrems II aborda un problema diferente: la transferencia de datos personales de la UE a infraestructura controlada por EE. UU. Incluso con el consentimiento total del usuario, la transferencia en si puede ser ilegal porque las leyes de vigilancia estadounidenses no proporcionan una proteccion adecuada para los datos de los ciudadanos de la UE.
Algunos argumentan que el consentimiento explicito podria servir como base legal, pero las autoridades de proteccion de datos han sostenido consistentemente que el consentimiento para la vigilancia gubernamental no es un consentimiento valido bajo el RGPD.
Cuales son los riesgos reales?
Se han presentado denuncias en practicamente todos los estados miembros de la UE. Las multas bajo el RGPD pueden alcanzar el 4% de los ingresos anuales globales o 20 millones de euros, lo que sea mayor. Mas alla de las multas, las organizaciones enfrentan dano reputacional y la interrupcion operativa de cambiar herramientas de analitica bajo presion regulatoria.
Cuales son las alternativas?
Los propietarios de sitios web tienen varios caminos a seguir:
- Cambiar a un proveedor de analitica centrado en la privacidad que procese datos de la UE exclusivamente en infraestructura propiedad de la UE. Las empresas con sede en paises con decisiones de adecuacion del RGPD (como Canada) ofrecen proteccion legal adicional.
- Autoalojar la analitica para mantener el control completo sobre el procesamiento y almacenamiento de datos.
- Dejar de recopilar analitica por completo, aunque esto es impracticable para la mayoria de las empresas.
Los requisitos tecnicos clave para el cumplimiento incluyen:
- No transferir datos personales de la UE (direcciones IP, cadenas User-Agent) a servidores propiedad de EE. UU.
- Procesamiento de datos exclusivamente en infraestructura europea propiedad de empresas de la UE
- Anonimizacion adecuada realizada del lado del servidor antes de que los datos toquen servicios fuera de la UE
El panorama general
Esta resolucion senala un cambio fundamental en como los sitios web deben abordar la recopilacion de datos. La era de instalar Google Analytics casualmente y asumir el cumplimiento ha terminado. Los propietarios de sitios web ahora deben evaluar activamente si sus herramientas de analitica generan responsabilidad legal, y muchos necesitaran migrar a alternativas conformes.
El coste de la analitica "gratuita" -- medido en posibles multas, riesgo legal y violaciones de privacidad -- ya no es cero.
¿Te resultó útil este artículo?
¡Cuéntanos qué opinas!
Antes de irte...
Artículos relacionados
La CNIL de Francia dictamina que Google Analytics viola el RGPD
La autoridad francesa de protección de datos CNIL dictaminó que Google Analytics viola el RGPD, dando a los sitios web un mes para cumplir. Esto es lo que necesitas saber.
Autoridades europeas de proteccion de datos y sus resoluciones sobre Google Analytics
Una cronologia de las resoluciones de las APD europeas que determinaron que Google Analytics viola el RGPD, los problemas legales detras de ellas y lo que los propietarios de sitios web deben hacer al respecto.
Google Analytics declarado ilegal en Europa: lo que los propietarios de sitios web deben saber
Las autoridades europeas de proteccion de datos de Austria, Francia, Dinamarca y los Paises Bajos han dictaminado que Google Analytics viola el RGPD. Descubre que significa esto para los operadores de sitios web y que alternativas existen.