Google Analytics declarado ilegal en la UE.

Max Schrems, el abogado que demandó con éxito a Facebook por violaciones de la privacidad de ciudadanos europeos, obtuvo otra victoria, esta vez contra Google: en un fallo judicial histórico, la autoridad de protección de datos de Austria determinó que el uso de Google Analytics es ilegal en sitios web europeos.

Google Analytics ilegal en Europa

Cuando se invalidó la legislación del Escudo de privacidad en 2020, esto tuvo consecuencias de gran alcance para los servicios en línea de EE. UU. que operan en Europa: ya no se les permitía transferir datos de ciudadanos europeos a EE. UU., ya que esto haría que los datos de ciudadanos europeos fueran vulnerables a la masa estadounidense vigilancia: una clara violación del GDPR europeo.

Sin embargo, la industria tecnológica de Silicon Valley ignoró en gran medida el fallo. NOYB dice:

«Si bien esto (invalidación del Escudo de privacidad) conmocionó a la industria tecnológica, los proveedores de EE. UU. y los exportadores de datos de la UE han ignorado en gran medida el caso. Al igual que Microsoft, Facebook o Amazon, Google se ha basado en las llamadas «Cláusulas de contrato estándar». para continuar con las transferencias de datos y calmar a sus socios comerciales europeos».

Ahora, la Autoridad de Protección de Datos de Austria toca la misma fibra que el tribunal europeo al declarar inválido el Escudo de Privacidad: ha decidido que el uso de Google Analytics viola el Reglamento General de Protección de Datos (GDPR). Google está «sujeto a la vigilancia de los servicios de inteligencia estadounidenses y se le puede ordenar que les revele datos de ciudadanos europeos». Por tanto, los datos de los ciudadanos europeos no podrán ser transferidos al otro lado del Atlántico.

Decisión original del tribunal austriaco .

¿De qué se trató el caso?

El 14 de agosto de 2020, un usuario de Google había accedido a un sitio web austriaco sobre temas de salud. Este sitio web utilizaba Google Analytics y los datos sobre el usuario se transmitían a Google. Con base en estos datos, Google pudo deducir quién era él o ella.

El 18 de agosto de 2020, el usuario de Google se quejó ante la autoridad de protección de datos de Austria con la ayuda de la organización de protección de datos NOYB.

Ahora, el tribunal austriaco ha declarado ilegal esta transferencia de datos.

El problema en cuestión es que, debido a la Ley CLOUD estadounidense, las autoridades de EE. UU. pueden exigir datos personales de Google, Facebook y otros proveedores de EE. UU., incluso cuando operan fuera de EE. UU., por ejemplo, en Europa.

Por lo tanto, Google no puede proporcionar un nivel adecuado de protección en virtud del artículo 44 del RGPD, una clara violación de las garantías europeas de protección de datos. Las cláusulas contractuales estándar invocadas por el operador del sitio web no ayudan, como reconoció en 2020 el Tribunal de Justicia de las Comunidades Europeas (TJCE) en su decisión sobre el «Escudo de privacidad» (Schrems II).

El factor decisivo para la evaluación legal del uso de Google Analytics no es si una agencia de inteligencia estadounidense realmente obtuvo los datos o si Google realmente identificó al usuario. El mero hecho de que esto fuera teóricamente posible ya era una violación del RGPD.

Sin embargo, los usuarios de Google pueden realizar una configuración en sus cuentas de Google para evitar que Google evalúe su uso de sitios web de terceros en detalle. Pero que esta función exista es una prueba de que Google puede fusionar los datos de uso con el individuo.

Mayor éxito de NOYB

Esta sentencia es uno de los mayores éxitos de la organización de protección de datos NOYB hasta la fecha. En consecuencia, NOYB y Max Schrems están muy contentos con la decisión del tribunal austriaco:

«Esta es una decisión muy detallada y sólida. La conclusión es: las empresas ya no pueden usar los servicios en la nube de EE. UU. en Europa. Han pasado 1,5 años desde que el Tribunal de Justicia confirmó esto por segunda vez, por lo que es más que tiempo». que la ley también se cumpla”.

Este fallo es el primero de 101 demandas de NOYB en la mayoría de los estados miembros de la Unión Europea. Ahora se espera que decisiones similares caigan en Alemania, los Países Bajos y otros estados miembros de la UE.

¿Quitar Google Analytics?

Pero ahora, muchas empresas en Europa deben preguntarse si deberían eliminar Google Analytics de sus sitios web o arriesgarse a recibir una sanción por violar el GPRD.

A la larga, habrá dos opciones: o EE. UU. cambia sus leyes de vigilancia para fortalecer sus negocios tecnológicos, o los proveedores estadounidenses tendrán que alojar datos de usuarios europeos en Europa.

La Autoridad Holandesa de Datos Personales (AP), donde aún están pendientes dos decisiones sobre el uso de Google Analytics, ha actualizado su propia guía sobre la «configuración amigable con la privacidad de Google Analytics».

Con la actualización, la AP ha emitido una advertencia:

«Tenga en cuenta: es posible que pronto ya no se permita el uso de Google Analytics».

La Autoridad Holandesa de Datos Personales planea decidir sobre los casos pendientes de Google Analytics a principios de 2022. Luego, la AP emitirá una declaración clara sobre si el uso de Google Analytics es ilegal en Europa o no.

Conclusión

Si bien las empresas tecnológicas de Silicon Valley encontrarán la manera de seguir ofreciendo sus servicios en Europa, de una forma u otra, el enfoque que adoptaron después de la invalidación del Escudo de privacidad debe generar varias señales de alerta para las empresas europeas:

Como empresa europea, ya no es posible confiar datos confidenciales de los usuarios a empresas como Google, que ignoran deliberadamente la legislación europea sobre privacidad y se arriesgan a multas considerables para sus clientes comerciales europeos. (Las multas contra el sitio web de salud de Austria en el caso discutido aún no se han decidido, pero seguiremos de cerca el desarrollo).

Por el contrario, y dado que la privacidad es cada vez más importante para los consumidores de todo el mundo, es un paso lógico para cualquier empresa europea elegir servicios que se centren en proteger la privacidad de sus usuarios.

Fuente: tuanota.com