Transferencias internacionales a través de Google Analytics
“_ga”, “_gat” y “_gid”, probablemente sean las cookies más utilizadas en las páginas web. Estas cookies se instalan por el uso de la herramienta Google Analytics, a través de ellas se analiza la navegación de los usuarios, incluyendo datos relacionados como el idioma, el navegador utilizado, etc.
Hemos comenzado el año con la opinión sobre esta herramienta de dos organismos, por un lado, encontramos la decisión del Comité Europeo de Protección de Datos, y por otro lado encontramos la resolución de la Autoridad de Control de Austria ante la reclamación interpuesta por Noyb.
Por un lado, encontramos la Decisión del Comité, que realiza un análisis de las cookies instaladas durante un período de tiempo determinado en una web del Parlamento Europeo, encontrándose entre ellas las cookies de Google Analytics, y detectando como principal problema la existencia de transferencias internacionales a Estados Unidos. En este caso concreto no queda probado la implantación de medidas de seguridad exigidas por el Reglamento para salvaguardar los derechos de los interesados cuando se realizan transferencias internacionales. Como consecuencia se considera que el banner de cookies no era transparente al no recogerse la información mínima requerida sobre el tratamiento de datos personales realizado.
Además, en la propia Decisión, se considera que los interesados deberían ser informados sobre qué datos personales son transferidos a Estados Unidos, no teniendo tampoco la opción de ejercer el derecho de acceso a esta información al ser desconocida por el propio Responsable del Tratamiento, en este caso el Parlamento.
Sobre este mismo tema, encontramos la resolución de la Autoridad de Control de Austria, centrándose en la transferencia internacional realizada en calidad de Encargado del Tratamiento por Google.
En primer lugar, a través de esta resolución queda confirmada la transferencia internacional a Estados Unidos y el acceso por parte de las autoridades estadounidenses a la información almacenada por Google, demostrándose con la existencia de los informes de transparencia emitidos por la propia compañía como medida de transparencia.
Aunque ya teníamos conocimiento de la prohibición de realizar transferencias internacionales a Estados Unidos tras la Sentencia Schrems, en la resolución de la autoridad austriaca se analizan las distintas vías habilitadas por el Reglamento Europeo de Protección de Datos, eliminando una a una las opciones que habilitarían el uso de la herramienta de Google Analytics:
- Se recuerda que el Privacy Shield queda invalidado tras la Sentencia Schrems.
- Sobre el uso de las garantías implementadas a través de las cláusulas contractuales tipo, no serán aplicables cuando la ley del tercer país permita a las autoridades intervenir en los derechos de los interesados.
- Y sobre la implementación de medidas adicionales, únicamente serán válidas para cubrir lagunas jurídicas del tercer país, pero no cuando exista una normativa que habilite a las autoridades del país al acceso, como el caso de FISA en Estados Unidos. Haciéndose mención concretamente al cifrado como medida (tanto en tránsito como en reposo), que no podrá considerarse que impida el acceso, pues de solicitarse por al autoridad pertinente tendrían que facilitarlo de igual forma.
Por todo esto, la Autoridad de Control Austriaca finalmente considera que el uso de Google Analytics, cuando se haga uso de cualquiera de las vías antes mencionadas, quedará prohibido, al no ser compatible con el cumplimiento del Reglamento Europeo.
Por último, debemos destacar que en relación con este pronunciamiento la Agencia Española de Protección de Datos se ha declarado como no competente al considerarlo como competencia de la Autoridad de Control de Irlanda.
No obstante, debemos añadir que, lo único que parece haberse confirmado, es la existencia de transferencias internacionales a Estados Unidos a través de la herramienta de Google Analytics, por lo que sería necesario un estudio de las bases de legitimación y de las opciones ofrecidas y reguladas en la normativa europea, pareciendo quedar como única base válida, al no haber sido todavía analizada debidamente, el propio consentimiento del interesado, siendo debidamente informado de forma previa.
#cookies, #googleanalytics, #analytics, #google, #schrems, #transferenciainternacional, #protecciondatos, #rgpd, #gdpr, #edps, #aepd
Patricia Guirao Melero
Consultor de Helas Consultores
