Uso de Google Analytics ilegalizado por la autoridad de protección de datos de Austria

Publicado: 2022-01-22
Uso de Google Analytics ilegalizado por la autoridad de protección de datos de Austria

La Autoridad de Protección de Datos de Austria (Datenschutzbehorde) falló a favor de la organización sin fines de lucro NOYB, en un caso histórico contra el uso de Google Analytics en netdoctor.at, un operador de sitios web de Austria.

Si bien aún no es vinculante, la decisión puede brindar un impulso a los defensores de la privacidad en Europa que buscan responsabilizar a las empresas tecnológicas hambrientas de datos por el manejo de la información personal de las personas.

NOYB es una organización sin fines de lucro dedicada a los derechos de privacidad en Europa, dirigida por Max Schrems (el hombre que desafió con éxito el uso de acuerdos de transferencia de datos por parte de Facebook).

Esta es la primera decisión de las 101 quejas modelo de NOYB presentadas en respuesta a la sentencia Schrems II del TJUE (que había invalidado el Escudo de Privacidad). Las 101 quejas sugieren que las empresas europeas continúan compartiendo datos de visitantes con grandes empresas tecnológicas y no ofrecen un nivel adecuado de protección a sus usuarios. Entonces, si bien esta decisión es la primera de su tipo, probablemente no será la última.

El Consejo Europeo de Protección de Datos (EDPB) estableció un grupo de trabajo en 2021 para investigar la situación y garantizar una estrecha coordinación entre todas las Autoridades Europeas de Protección de Datos.

Como resultado, se espera que se aceleren las acciones regulatorias presentadas por las DPA en otros estados miembros de la UE (por ejemplo, la Autoridad holandesa de protección de datos (Autoriteit Persoonsgegevens).

¿Qué incluye la decisión?

La DPA sostuvo en la decisión lo siguiente:

Aplicabilidad del RGPD

Como leges speciales , los requisitos aplicables de la Directiva 2002/58/EC (directiva de privacidad electrónica), rebautizada como Ley de protección de datos de telecomunicaciones y telemedios (TTDSG 2021) en Austria, tienen prioridad sobre el RGPD (Reglamento general de protección de datos).

La Directiva de privacidad electrónica, por otro lado, no tiene disposiciones para la transferencia de datos personales a otros países, por lo que el Capítulo V del RGPD se aplica en este caso.

Los datos transmitidos a través de GA son datos personales

La Autoridad de Protección de Datos de Austria cree que al combinar la gran cantidad de datos transmitidos, es teóricamente concebible relacionar los datos transferidos con una persona física. Como resultado, se puede establecer un vínculo con una persona (consulte el artículo 4 (1) del RGPD) y se aplica el RGPD.

En este sentido, vale la pena señalar que la DPA cree que la función de anonimización de Google Analytics es insuficiente para cambiar la dirección IP y otros identificadores fuera del alcance del RGPD. Debido al gran volumen de datos de la UE transmitidos, la dirección IP no es relevante para la categorización de los datos como datos personales según el RGPD.

El operador del sitio web es el controlador de datos

Vale la pena señalar que la DPA de Austria solo analizó las actividades de procesamiento de datos hasta que se transfirieron con éxito a Google. La autoridad no hace ningún comentario sobre el procesamiento de datos posterior de Google.

La transferencia de datos a EE. UU. no cumple con el RGPD

El Escudo de privacidad UE-EE. UU. fue declarado ilegal por el Tribunal de Justicia de la Unión Europea en un veredicto del 16 de julio de 2020 (Schrems II).

Como resultado, el artículo 45 del RGPD ya no era aplicable como medio de transmisión de datos, y la DPA no creía que existiera una "excepción para casos específicos" (en particular porque no se obtuvo el consentimiento en el caso dado ).

Las "protecciones adecuadas", tal como se definen en el Artículo 46 del RGPD, es el mecanismo de transferencia legal final. Las cláusulas contractuales estándar (SCC, por sus siglas en inglés) pueden servir como salvaguardas apropiadas según el artículo 46 (2) (c) del RGPD. El propietario del sitio web había firmado SCC "antiguos" (versión 2010/87/EU) con Google en el asunto en cuestión. (En junio de 2021, se publicó un conjunto revisado de SCC).

Sin embargo, al utilizar Google Analytics, la transferencia de datos no puede depender únicamente de las SCC que se hayan completado. Esto se debe al hecho de que Google está sujeto a las leyes de vigilancia de EE. UU. (FISA 702), y las obligaciones contractuales por sí solas son insuficientes para vincular a las autoridades de una "tercera nación". Solo si se adoptan medidas tecnológicas y organizativas adicionales ("medidas complementarias") para compensar la falta de protección legal en los Estados Unidos, la transferencia de datos es legal. La DPA concluyó que Google no había ofrecido evidencia adecuada de "medidas complementarias" en su conclusión.

Entonces, ¿qué estaba mal en este caso específico?

Del análisis anterior, está claro que en este caso específico, la integración de Google Analytics que tuvo lugar en ese momento (14/08/2020) fue defectuosa:

  • El uso de Google Analytics solo se basó en los SCC obsoletos.
  • No se obtuvo el consentimiento para el procesamiento de datos.
  • La anonimización de la dirección IP no se había activado correctamente.

¿Cómo respondió Google?

La defensa de Google en el proceso y su reacción inicial después no son muy tranquilizadoras.

Google confirma que, de hecho, se intercambian datos personales con los EE. UU. al utilizar Google Analytics porque esto es simplemente necesario para que el servicio funcione correctamente. De manera más general, Google también afirma que hace grandes esfuerzos para que sus servicios sean amigables con la privacidad.

En este caso, en concreto, Google dice que proporciona las necesarias “garantías adicionales”, que se exigen en base a la sentencia Schrems II. Sin embargo, el OSD dictaminó que esas “garantías adicionales” no significan mucho en realidad.

En respuesta, Google no puede hacer mucho más que decir que el usuario puede optar por deshabilitar el "compartir datos de terceros" en su cuenta. Sin embargo, el intercambio de datos de terceros no es el problema legal principal aquí, el problema es el acceso potencial a datos confidenciales por parte del gobierno de los EE. UU. (y, por supuesto, eso no se puede desactivar en ningún lado).

En otras palabras, Google realmente no tiene una respuesta por el momento. Google tiene razón cuando dice que una buena herramienta de análisis debería funcionar a nivel mundial, y uno también puede cuestionar sinceramente si el acceso potencial a los datos analíticos por parte del gobierno de EE. UU. realmente representa una amenaza real para la privacidad del 99% de los sitios web europeos.

¿Qué significa esta decisión para usted?

Si hay algo que sacar de este caso es que ignorar estas sentencias judiciales y continuar usando Google Analytics no es una opción.

Si ejecuta un sitio web en Austria o brinda servicios a los austriacos, debe eliminar Google Analytics de su sitio de inmediato.

También se recomienda encarecidamente que las empresas de los demás Estados miembros de la Unión Europea tomen medidas antes de que las autoridades locales de protección de datos comiencen a dirigirse a más empresas.

Como empresa europea, ya no puede confiar datos confidenciales de los usuarios a empresas como Google, que deliberadamente ignoran la legislación europea sobre privacidad y arriesgan cuantiosas multas para sus clientes empresariales europeos.

Posibles soluciones para seguir usando Google Analytics

Sin embargo, los sitios web de toda Europa no van a dejar de usar Google Analytics de repente.

Hasta que esta decisión sea legalmente vinculante, aún puede usar GA de manera compatible con GDPR siguiendo las medidas más estrictas a continuación:

  1. Aceptar los DPA de Google: para reflejar las versiones actuales de las Cláusulas contractuales estándar, Google ha revisado los Términos de procesamiento de datos de Google para todos los Productos de Google (DPA). En la configuración de Google Analytics, acepte los nuevos DPA de Google (última versión de septiembre de 2021).
  2. Referencia en la normativa de protección de datos a una posible transferencia de datos a terceros países.
  3. Obtener el consentimiento del usuario: “Esto significa que solo puede activar Google Analytics si ha recibido el consentimiento para hacerlo y también puede guardar y proporcionar información al respecto. Una plataforma de gestión de consentimiento (CMP) facilita este proceso.
  4. Utilice la configuración correcta de Google Analytics: ningún dato personal debe fluir a Analytics durante la configuración, de acuerdo con sus prácticas recomendadas. Por lo tanto, debe hacer uso de la anonimización de IP.
  5. Cambie al seguimiento del lado del servidor: el seguimiento del lado del servidor no solo es una solución adecuada para aumentar la vida útil de las cookies propias y evitar algunos bloqueadores de seguimiento, sino que también tiene la opción de adaptar los datos antes de que se envíen a Google Analytics. En términos concretos, esto significa, por ejemplo, que las direcciones IP de los usuarios se eliminan por completo antes de que los datos se envíen a Google Analytics.

Cambiar a otras herramientas de análisis compatibles con la privacidad

Debido a que la privacidad es cada vez más importante para los consumidores de todo el mundo, es un paso lógico para cualquier empresa europea seleccionar servicios que prioricen la protección de la privacidad de sus usuarios.

A continuación presentamos dos de las alternativas más intrigantes a GA en caso de que quieras deshacerte de él por completo.

Plausible

Pruebe Plausible si está buscando una alternativa genuina de la UE a Google Analytics. Son un proyecto autónomo e independiente con sede en Estonia. Su equipo se divide entre Estonia y Bélgica.

Todos los datos de los visitantes que recopilan se almacenan en servidores propiedad de una empresa alemana en Alemania (Hetzner). Para su CDN global, utilizan un proveedor de propiedad eslovena (Bunny).

Más sobre su declaración oficial sobre este caso aquí.

Matomo

Matomo es otra alternativa de GA que vale la pena.

Es una plataforma de análisis web de código abierto diseñada para brindarle capacidades de análisis completas, así como la propiedad completa de los datos.

Matomo comenzó como una alternativa de código abierto a Google Analytics. También proporciona informes importantes sobre los usuarios de su sitio web y sus interacciones con su sitio web, similar a Google Analytics. La parte interesante es que centra la mayor parte de su atención en la propiedad de los datos, por lo que sus datos pueden ser completamente suyos y la privacidad de sus usuarios está protegida.

Más sobre su declaración oficial sobre este caso aquí.

¿Los usuarios de Convert se ven afectados por esta decisión?

Nunca se utilizan ni almacenan datos personales en Convert Experiences. Por lo tanto, sus experiencias y visitantes no se ven afectados por el caso anterior . Además, utilizamos servidores europeos neutrales en carbono para guardar datos de experiencia y variación.

Para mayor transparencia, aquí hay algunas notas adicionales sobre el uso de datos en Convert Experiences:

  • Activado de forma predeterminada
    • ID de cookie de sesión (tiempo de espera de 20 minutos en caché de servidor y cookie). Actualmente, esto se incluye en las cookies de rendimiento en nuestra interpretación de la Directiva GDPR / ePrivacy y las Regulaciones de ePrivacy.
  • Desactivado de forma predeterminada
    • Cuando los clientes activan la segmentación entre navegadores, insertamos una cookie única en la URL para recogerla en el otro dominio (lo que el RGPD podría interpretar como datos personales). Esta función está desactivada de forma predeterminada como parte de nuestra política de "privacidad predeterminada".
    • Cuando el cliente proporciona identificaciones de visitantes únicas para reemplazar las identificaciones de sesión, esto podría interpretarse como datos personales. Esta función está desactivada de forma predeterminada como parte de nuestra política de "privacidad predeterminada".
    • Cuando se utiliza la segmentación geográfica (no activada de forma predeterminada), podemos almacenar el país, la región y la ciudad en CDN o en la memoria caché del servidor para una segmentación correcta.

Las implicaciones de este fallo son de gran alcance y podrían sentar un precedente sobre cómo las empresas utilizan los datos.

Es importante tener en cuenta que esta decisión solo afecta el uso de Google Analytics para empresas austriacas u otras empresas que hacen negocios con una, pero es posible que otros países hagan lo mismo.

Si está utilizando Google Analytics, asegúrese de estar atento a las próximas regulaciones para asegurarse de cumplirlas. NOYB y otros defensores europeos de la privacidad han demostrado que están dispuestos a luchar por los derechos de los usuarios en línea, por lo que podemos esperar más decisiones similares en el futuro.