Más presión para Protección de Datos: piden que diga si Google Analytics vulnera la ley

La Agencia Española de Protección de Datos (AEPD) tiene varias pelotas en el tejado. A las denuncias por el uso de Google Analytics en empresas como eDreams, Airbnb o la Real Academia Española (RAE) se suma ahora una petición formal para que este organismo elabore un informe jurídico que resuelva en quién recae la responsabilidad cuando se utiliza Google Analytics, si en la empresa que la utiliza o en el propio servicio del buscador norteamericano.

Además, el texto pide que se detalle si utilizar cookies de Google Analytics supone o no una transferencia de datos a Estados Unidos, así como saber si los datos se guardan en las sedes de Google en Europa o en Estados Unidos. Esta petición ha corrido a cargo de Gonzalo Oliver Martín, asesor jurídico en materia de Privacidad y Protección de Datos en Ozonia Consultores, quien envió ayer la carta a la Agencia Española de Protección de Datos con el fin de poner fin a la inseguridad jurídica que sufren muchas empresas respecto a la decisión tomada por el supervisor europeo.

Hace solo tres días el supervisor europeo de Protección de Datos (European Data Protection Supervisor, EDPS) apercibió al Parlamento Europeo por utilizar Google Analytics tras una denuncia de NOYB (None Of Your Business, No es Asunto Tuyo traducido al español). La resolución refleja que el Parlamento Europeo violó la ley de protección de datos en su sitio web de pruebas covid al usar la herramienta del buscador, utilizada para conocer el comportamiento de los usuarios en las páginas web.

La resolución recoge que el servicio de análisis de tráfico de Internet del buscador norteamericano envía información a Estados Unidos. Se trata de algo que vulnera el Reglamento General de Protección de Datos (RGPD) porque Estados Unidos no es considerado un país seguro para el tratamiento de información.

Ahora toca resolver la ecuación en España, donde las webs ministeriales utilizan la herramienta del servidor norteamericano, tal y como publicó Vozpópuli. La Agencia Española de Protección de Datos tendrá que resolver lo que sucede cuando se utiliza Google Analytics y Facebook Connect en España. Algo que se debería conocer pronto, bien cuando se pronuncie sobre las denuncias en España -también interpuestas por NOYB-, bien porque realice el informe jurídico que le acaban de solicitar.

La presión sobre la Agencia Española de Protección de Datos va in crescendo. Ayer las agencias de Protección de Datos de Austria y Alemania se pronunciaron al respecto. La autoridad austríaca considera que el uso de proveedores de Estados Unidos viola las leyes comunitarias de protección de datos. El motivo es que las empresas estadounidenses están obligadas por ley a entregar sus contenidos a las autoridades de ese país, lo que permite el acceso a datos de ciudadanos comunitarios. Alemania dio un paso más allá y aseguró que "el uso de Google Analytics pronto será prohibido". Dos decisiones alineadas con lo que dictaminó Europa.

La AEPD no puede sancionar a Google

"Por todo lo expuesto anteriormente, y en virtud a las funciones y poderes otorgados por el Reglamento General de Protección de Datos a las autoridades de control, solicito a la Agencia Española de Protección de Datos la emisión de un Informe Jurídico que aclare el uso y utilización de las cookies de Google Analytics ante el pronunciamiento del Supervisor Europeo de Protección de Datos en la denuncia 2020-1013", refleja el documento enviado por Gonzalo Oliver a la Agencia Española de Protección de Datos.

Además, el texto refleja que "la Agencia Española de Protección de Datos no es la autoridad competente para poder fiscalizar, investigar y sancionar a Google, ya que ésta, tiene su sede en Irlanda por lo que la
autoridad competente sería la Data Protection Commissioner. La autoridad de control de España tampoco es competente en determinados supuestos respecto de la observancia de los requisitos contenidos en la normativa de servicios de la sociedad de la información", y concluye que "la Agencia Española de Protección de Datos es incompetente en las reclamaciones respecto a las ‘cookies’ “en base al artículo 3 de la Ley 34/2002, de servicios de la sociedad de la información y comercio electrónico (LSSI), entre cuyos supuestos no se encuentran los relativos a la instalación de recuperación de datos en el terminal del usuario (‘cookies’)”.