Bruselas dice que el uso de Google Analytics vulnera las leyes europeas

El Supervisor Europeo de Protección de Datos (European Data Protection Supervisor, EDPS), organismo encargado de velar por la seguridad de los datos de los europeos -el equivalente en Bruselas a la Agencia Española de Protección de Datos- ha emitido una resolución en la que asegura que el Parlamento Europeo violó la ley de protección de datos en su sitio web de pruebas covid al usar Google Analytics, el servicio de análisis de tráfico de Internet del buscador norteamericano.

Europa sigue aumentando así la presión sobre Google. Hace unas semanas, Bruselas ratificaba la multa de casi 2.500 millones de euros a la tecnológica por abuso de posición dominante.

El EDPS destaca que el uso de Google Analytics y también del proveedor de pagos Stripe (ambas empresas estadounidenses) violan la sentencia 'Schrems II' del Tribunal de Justicia de la Unión Europea (TJUE) sobre las transferencias de datos desde Europa a Estados Unidos.

Este fallo es uno de las primeros decisiones que implementan " Schrems II " y pueden ser la referencia para cientos de otros casos pendientes de resolver por parte de los reguladores.

Transferencia de datos a través de Google Analytics

"El Supervisor europeo no ha hecho sino adoptar una decisión una vez se ha entendido que realmente se produce la transferencia de datos a Estados Unidos. Existe una obligación de garantizar un nivel equivalente de protección en estas transferencias internacionales, y tras la decisión de Schrems II, se ha entendido que este territorio no cumple con los requisitos a la vista de la normativa con la que cuenta", explica Sergio Carrasco Mayans, abogado de Faseconsulting especializado en nuevas tecnologías .

A preguntas de este medio, Google declara que “Google Analytics está centrado en la privacidad por diseño, lo que permite a millones de editores web disponer de herramientas básicas y cotidianas que les ayudan a ofrecer servicios que funcionan para las personas que utilizan sus servicios. Son los clientes, y no Google, los que controlan los datos que se recopilan con estas herramientas gratuitas y el modo en que se utilizan”.

La resolución se publica tras una denuncia presentada hace un año por NOYB (None Of Your Business), una organización sin fines de lucro con sede en Viena, Austria, cofundada por  Max Schrems y dedicada a proteger los derechos digitales de los europeos.

En enero de 2021 NOYB  presentó una queja contra el Parlamento Europeo por un sitio web de pruebas contra el coronavirus. Los problemas que reflejaba esta queja eran anuncios de cookies engañosos, avisos de protección de datos escasos y poco claros y la transferencia ilegal de datos a los Estados Unidos. El EDOS investigó el asunto y amonestó al Parlamento por violar el Reglamento Europeo de Protección de Datos.

Schrems II

NOYB explica en un comunicado que "En el llamado caso 'Schrems II', el TJUE dejó claro que la transferencia de datos personales de la UE a Estados Unidos está sujeta a condiciones muy estrictas. Los sitios web deben abstenerse de transferir datos personales a los Estados Unidos, donde no se pueda garantizar un nivel adecuado de protección de los datos personales. El EDPS confirmó que el sitio web en realidad transfirió datos a Estados Unidos sin garantizar un nivel adecuado de protección de los datos y destacó que el Parlamento no proporcionó documentación, evidencia u otra información sobre las medidas contractuales, técnicas u organizativas vigentes para garantizar un nivel de protección equivalente a los datos personales transferidos a los Estados Unidos en el contexto del uso de cookies en el sitio web".

Mayans concluye que "las instituciones públicas, como es el Parlamento europeo, deben cumplir con un plus a la hora de garantizar los derechos de sus usuarios, tanto en lo referente a la información como a la protección de sus derechos. El uso de herramientas como Analytics actualmente resulta problemático, y muchas entidades aún no son conscientes de los riesgos a que quedan expuestos con su uso".