Conoce Atico34 - Solicita presupuesto
GoogleLOPDGDD & RGPDPágina web

¿Infringe Google Analytics el RGPD?

Es la pregunta que desde que, a principios de 2022, la autoridad de control austriaca declarase que el uso de Google Analytics infringe el RGPD, se hacen muchas organizaciones que utilizan esta herramienta para medir las audiencias de sus páginas web y conocer el comportamiento de sus usuarios en ellas. En las siguientes líneas trataremos de dar respuesta a esta cuestión sobre el uso de Google Analytics y RGPD.

¿Si mi página web usa Google Analytics incumple el RGPD?

Son muchas las páginas web que utilizan Google Analytics, desde páginas de ecommerce, pasando por las de empresas, hasta las páginas personales de usuarios particulares; todas ellas recurren a esta herramienta de medición para conocer diferentes aspectos del comportamiento de los visitantes y usuarios en sus sitios online.

Ya sea a través de las cookies informáticas o del pixel tracking, Google Analytics permite a los administradores de la página web conocer una amplia variedad de información respecto a sus visitantes y sus usuarios, como puede ser el tiempo que pasan en un artículo, los enlaces en los que hacen clic, desde dónde provienen y hacia dónde salen una vez abandonan la página, qué recorrido siguen antes de hacer una compra o suscribirse, etc. Datos e información valiosa y útil para establecer o mejorar estrategias de marketing digital.

Pese a que, por defecto, Google Analytics no cumple con el RGPD y sus requisitos, hasta ahora, las páginas web que lo usan, han podido adaptarlo activando la anonimización de la IP y siendo muy meticulosos con la descripción de las cookies empleadas por la herramienta, asegurándose así de que las cookies de Google Analytics cumplen el RGPD.

Sin embargo, tras los pronunciamientos de las autoridades de control de Austria y Francia y del propio Supervisor Europeo de Protección de Datos (SEPD), que vamos a ver en los siguientes puntos, el uso de Google Analytics podría contravenir el RGPD.

tarifas proteccion datos

Las autoridades de control de Austria y Francia dicen que Google Analytics infringe el RGPD

En enero de 2022, la DSB, la Autoridad de Protección de Datos de Austria, declaró ilegal el uso de Google Analytics al entender que este infringe el RGPD. Esta resolución surge tras la tramitación de algunas de las 101 quejas presentadas por la ONG austriaca Noyb a diferentes autoridades de control de protección de datos de la UE y del EEE (Espacio Económico Europeo) y determina que el uso de la dirección IP y los identificadores en los datos de las cookies de Google Analytics incluyen datos personales de los visitantes y usuarios de páginas web, lo que obliga a cumplir con los requisitos del RGPD al usar Google Analytics.

A principios de febrero de 2022, el CNIL francés también sentenció que el uso de Google Analytics incumple las exigencias del RGPD. La autoridad de control francesa dijo que Analytics otorga un identificador único a cada visitante de la web. Este identificador, que ya se considera dato personal, junto a los datos asociados al mismo, se transfieren a EE. UU., donde las garantías en cuanto a protección de datos no son comparables a las del RGPD y, por tanto, se consideran transferencias ilegales.

Tanto la DSB como el CNIL emplazaron a las empresas que fueron denunciadas por el uso de Google Analytics, a dejar de usar esta herramienta para la medición de audiencias y sustituirla por una que sí cumpla con los requisitos establecidos para el uso de cookies en el RGPD.

La resolución del SEPD respecto a las cookies de Google Analytics

También en enero de 2022, el SEPD emitió una resolución relacionada con el uso de las cookies de Google Analytics. En este caso, la resolución estableció que el propio Parlamento Europeo habría vulnerado el RGPD en la página web que había creado para pedir citas de test para el Covid-19.

La página web en cuestión se contrató a la empresa Ecolog y ya en 2021 provocó que seis eurodiputados, junto a Noyb, presentaran quejas sobre la protección de la privacidad de esta web, puesto que encontraron cookies de rastreo de terceros y avisos de cookies confusos. La política de privacidad de la web no mencionaba las cookies de Google Analytics ni las de Stripe, por lo que incumplía el RGPD en varios aspectos.

El SEPD llevó a cabo una investigación y llegó a la conclusión de que el Parlamento Europeo había cometido varias infracciones en materia de protección de datos, lo que sirvió para imponerle una amonestación (no económica, pero sí que obliga a solucionar esos problemas en el plazo de un mes).

Google analytics

¿Por qué infringe ahora Google Analytics el RGPD?

Esta polémica de Google y los datos personales, así como la de Google Analytics y la privacidad y Google Analytics y RGPD, no son algo nuevo y vienen ya de lejos, en concreto, desde 2015, cuando el TJUE tumbó el primer acuerdo entre la UE y EE. UU. para la transferencia de datos personales, Safe Harbor.

Nos referimos a la sentencia «Schrems I», llamada así por el abogado que está al frente de Noyb y quien está llevando a cabo estas denuncias. Cinco años después, en 2020, el TJUE volvía a tumbar otro acuerdo más, Privacy Shield, en la sentencia «Schrems II», de manera que las transferencias de datos personales de la UE a EE. UU. quedaban a merced de las cláusulas contractuales tipo (CCE) aprobadas por la Comisión Europea y la correspondiente autoridad de control.

Además, como hemos señalado más arriba, Noyb presentó esas 101 denuncias contra diferentes empresas en los 27 Estados miembros y otros países del EEE, contra el uso de Google Analytics y que son el origen de las sentencias austriaca y alemana.

Los acuerdos entre la UE y terceros países para la transferencia de datos personales de ciudadanos europeos, reconocen que el nivel y exigencia en la protección de datos de esos terceros países es similar a los del RGPD. Hasta la caída del Privacy Shield, esto era así entre la UE y EE. UU.

La razón detrás de esa caída es que la legislación estadounidense permite a organizaciones de seguridad como la NSA o el FBI pedir y acceder a las bases de datos personales de las empresas de EE. UU., incluso si los datos son de ciudadanos europeos, sin necesidad de una orden judicial. Algo que el RGPD no permite.

Aunque Google asegura que nunca se ha dado esa situación, lo cierto es que el TJUE entiende que existe esa posibilidad y los datos recabados por Analytics y transferidos a sus servidores en EE. UU. pueden usarse para identificar usuarios. Esa es la razón principal que esgrime el TJUE para la anulación tanto de Safe Harbor como de Privacy Shield.

¿Qué dice la AEPD sobre el uso de Google Analytics y el RGPD?

La Agencia Española de Protección de Datos (AEPD) todavía no se ha pronunciado respecto al uso de Google Analytics y el RGPD.

Preguntada por ello, la AEPD ha rechazado emitir un informe jurídico sobre las cookies de Analytics y si estas suponen o no una transferencia de datos personales a EE. UU. El argumento esgrimido por la Agencia es que actualmente está tramitando varias denuncias respecto al uso de Analytics en diferentes páginas web (las ya citadas 101 denuncias de Noyb y que en España afectan a empresas como Airbnb, Freepik o la Real Academia Española).

¿Cuál es la previsión de cara al cumplimiento del RGPD para Google Analytics?

Los servicios de Google para empresas, entre los que se encuentra Analytics, han quedado, una vez más, en la cuerda floja del RGPD.

El Comité Europeo de Protección de Datos (EDPB) todavía no se ha pronunciado al respecto, pero sí existe un grupo de trabajo europeo que está trabajando en determinar si el uso de Google Analytics vulnera el RGPD y pronunciarse al respecto. Es muy posible que esa respuesta siga la línea ya establecida por la DSB y el CNIL y declaré que el uso de Google Analytics infringe el RGPD.

Además, también se está a la espera de que la Comisión de Protección de Datos de Irlanda (país en las que empresas como Google y Facebook tienen su sede en Europa) se pronuncie al respecto de las transferencias de datos entre la UE y EE. UU., especialmente en lo que se refiere al uso de las CCE.

Si finalmente el resto de autoridades de control o el propio EDPB declaran que Google Analytics infringe el RGPD, ni Google ni otras empresas estadounidenses que traten datos de ciudadanos de la UE y el EEE, podrán seguir transfiriendo datos a EE. UU. y puede que obligue a las páginas web que emplean actualmente Analytics a dejar de usarlo, si esas transferencias se siguen produciendo.

La solución para este problema podría pasar por que Google instalará servidores dentro de la UE (algo más complejo de lo que en apariencia podría parecer) o por que la UE y EE. UU. lleguen a un nuevo acuerdo para la transferencia de datos entre ambas zonas y que diera seguridad jurídica a todos las empresas y organizaciones implicadas. Sin embargo, este acuerdo se encuentra en un fase inicial.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.