Tras las declaraciones de varias autoridades de control sobre que el uso de Google Analytics infringe el RGPD en 2022 y 2023, las anulaciones de los dos acuerdos para la transferencia de datos entre EE. UU. y la UE y, finalmente, la aprobación y entrada en vigor del reciente del EU-US Data Privacy Framework (o Marco de Privacidad UE-EEUU), es normal preguntarse otra vez si Google Analytics cumple el RGPD. En las siguientes líneas analizaremos la cuestión sobre el uso de Google Analytics y RGPD.
Son muchas las páginas web que utilizan Google Analytics, desde páginas de ecommerce, pasando por las de empresas, hasta las páginas personales de usuarios particulares; todas ellas recurren a esta herramienta de medición para conocer diferentes aspectos del comportamiento de los visitantes y usuarios en sus sitios online.
Ya sea a través de las cookies informáticas o del pixel tracking, Google Analytics permite a los administradores de la página web conocer una amplia variedad de información respecto a sus visitantes y sus usuarios, como puede ser el tiempo que pasan en un artículo, los enlaces en los que hacen clic, desde dónde provienen y hacia dónde salen una vez abandonan la página, qué recorrido siguen antes de hacer una compra o suscribirse, etc. Datos e información valiosa y útil para establecer o mejorar estrategias de marketing digital.
Las dudas respecto al cumplimiento de Analytics del RGPD siempre han estado muy presentes, puesto que los datos que recaba esta herramienta son transferidos a servidores en EE. UU. que, hasta hace poco, no tenía consideración de país con un nivel de cumplimiento similar y equiparable a la UE en materia de protección de datos, debido, principalmente, a la capacidad que otorga la ley estadounidense a las agencias de seguridad para solicitar y acceder a datos personales tratados por sus empresas.
Ese hecho fue el que, fundamentalmente, provocó la caída de los dos acuerdos que había firmados entre EE. UU. y la UE para la transferencia de datos personales de ciudadanos europeos, Safe Harbor y Privacy Shield, anulados por sendas sentencias del TJUE en 2015 y 2020, respectivamente (Sentencias Schrems I y II).
Con la caída de Privacy Shield, la asociación sin ánimo de lucro Noyb presentó 101 denuncias contra diferentes empresas en 27 Estados miembros y otros países del Espacio Económico Europeo (EEE), contra el uso de Google Analytics, ya que esta asociación entiende que la herramienta contraviene el RGPD.
Por su parte, Google siempre ha defendido que ellos nunca han cedido datos personales a estas agencias y que los datos que transfieren a sus servidores en EE. UU. no pueden usarse para identificar usuarios concretos, ya que aplica medidas para anonimizar las IP y otra información. Sin embargo, de cara al RGPD, Analytics sí que recopila información personal identificable, en concreto, identificadores persistentes como la ID de cliente, la ID de usuario y la dirección IP, que son rastreadas y almacenadas en Google Analytics.
En este artículo hablamos de:
¿Cómo recopila datos Google Analytics?
Google Analytics registra el comportamiento del usuario y la información sobre los visitantes de una página web a través de cookies y hits, para ello recurre a tres fuentes:
- Solicitud HTTP del usuario
- Información del navegador/sistema del usuario, del que extrae información sobre el navegador y el dispositivo usado, de manera que puede saber qué navegador usamos, desde dónde llegamos y nuestra preferencia de idioma.
- Cookies propias instaladas en el navegador para el que crea un ClientID generado de manera aleatoria, que le permite obtener información de la sesión del usuario.
Para enviar estos datos, se crea una imagen GIF de un solo píxel, que se procesa y se puede visualizar en la cuenta de Google Analytics.
¿Infringe Google Analytics el RGPD?
La polémica de Google y los datos personales que recaba y transfiere Google Analytics, cómo hemos visto, no es nueva y a lo largo del tiempo Google Analytics, sus cookies y el RGPD han protagonizado diferentes momentos de cumplimiento e incumplimiento.
Actualmente, Google Analytics 4 (GA4) no infringe el RGPD, puesto que desde julio de 2023 está en efecto el Marco de Privacidad UE-EEUU, el nuevo acuerdo firmado entre la UE y EE. UU., la decisión de adecuación que hace legales las transferencias de datos entre países europeos y EE. UU., al entender que existe un nivel de protección de datos similar. Este acuerdo establece, además, que las empresas estadounidenses deben adherirse al mismo y cumplir las obligaciones recogidas en él para ser certificadas por la FTC o el Departamento del Transporte de EE. UU. Google está adherida ya a este Marco normativo.
Pero, teniendo en cuenta que Noyb volverá a llevar al TJUE el Marco de Privacidad UE-EEUU, no está de más repasar las ocasiones más recientes en las que se declaró que Google Analytics infringía el RGPD (porque según Noyb, el acuerdo actual adolece de los mismos problemas y carencias que los dos anteriores).
Según las autoridades de control de Austria y Francia
En enero de 2022, la DSB, la Autoridad de Protección de Datos de Austria, declaró ilegal el uso de Google Analytics al entender que este infringe el RGPD. Esta resolución, que surgió tras la tramitación de algunas de las 101 quejas de Noyb que mencionamos más arriba, determina que el uso de la dirección IP y los identificadores en los datos de las cookies de Google Analytics incluyen datos personales de los visitantes y usuarios de páginas web, lo que obliga a cumplir con los requisitos del RGPD al usar Google Analytics.
A principios de febrero de 2022, el CNIL francés también sentenció que el uso de Google Analytics incumple las exigencias del RGPD. La autoridad de control francesa dijo que Analytics otorga un identificador único a cada visitante de la web. Este identificador, que ya se considera dato personal, junto a los datos asociados al mismo, se transfieren a EE. UU., donde las garantías en cuanto a protección de datos no son comparables a las del RGPD y, por tanto, se consideran transferencias ilegales.
Tanto la DSB como el CNIL emplazaron a las empresas que fueron denunciadas por el uso de Google Analytics, a dejar de usar esta herramienta para la medición de audiencias y sustituirla por una que sí cumpla con los requisitos establecidos para el uso de cookies en el RGPD.
También en enero de 2022, el SEPD emitió una resolución relacionada con el uso de las cookies de Google Analytics. En este caso, la resolución estableció que el propio Parlamento Europeo habría vulnerado el RGPD en la página web que había creado para pedir citas de test para el Covid-19.
La página web en cuestión se contrató a la empresa Ecolog y ya en 2021 provocó que seis eurodiputados, junto a Noyb, presentaran quejas sobre la protección de la privacidad de esta web, puesto que encontraron cookies de rastreo de terceros y avisos de cookies confusos. La política de privacidad de la web no mencionaba las cookies de Google Analytics ni las de Stripe, por lo que incumplía el RGPD en varios aspectos.
El SEPD llevó a cabo una investigación y llegó a la conclusión de que el Parlamento Europeo había cometido varias infracciones en materia de protección de datos, lo que sirvió para imponerle una amonestación (no económica, pero sí que obliga a solucionar esos problemas en el plazo de un mes).
Según la AEPD
Lo cierto es que la AEPD sobre Google Analytics no ha llegado a pronunciarse. Fue preguntada por ello tras las resoluciones de las autoridades austriaca y francesa, pero la AEPD rechazó emitir un informe jurídico sobre las cookies de Analytics y si estas suponían o no una transferencia de datos personales a EE. UU.
El argumento esgrimido por la Agencia fue que en ese momento se estaban tramitando varias denuncias respecto al uso de Analytics en diferentes páginas web (las ya citadas 101 denuncias de Noyb y que en España afectan a empresas como Airbnb, Freepik o la Real Academia Española).
¿Qué ha hecho Google para garantizar el cumplimiento del RGPD en el futuro?
Con la entrada en vigor del Marco de Privacidad UE-EEUU, Google solo ha tenido que solicitar la certificación para adherirse al documento, comprometiéndose a cumplir con las condiciones y obligaciones establecidas en esta, para poder transferir los datos personales que recaba Analytics de ciudadanos de la UE y el EEE a EE. UU.
Esto no quiere decir que Google no haya tomado y aplicado medidas para garantizar el cumplimiento del RGPD en el pasado y de cara al futuro, como decíamos, se pueden anonimizar las IP, pero además se puede eliminar la información de usuarios individuales, establecer plazos de tiempo para las cookies de Analytics, restringir el procesamiento de datos de menores de edad, así como recordar a quienes usan esta herramienta que ellos son los responsables del tratamiento y quiénes deben aplicar las medidas correspondientes para recabar y registrar el consentimiento de los interesados para el uso de las cookies de Analytics y reflejarlo en su política de privacidad y política de cookies.
En definitiva, respecto a Google Analytics y RGPD, por el momento podemos decir que la herramienta cumple con el Reglamento y que las páginas pueden seguir usándola, recordando que deben informar sobre las cookies que emplea y su finalidad en su política de cookies y permitir que los usuarios acepten o no su uso.