Terremoto en las empresas porque Google Analytics vulnera la normativa europea

Terremoto en el ámbito de las empresas y de las entidades públicas que utilizan Google Analytics en sus páginas web a raíz de una decisión de Bruselas. El Supervisor Europeo de Protección de Datos, cuya misión es garantizar que las instituciones comunitarias respetan el derecho a la intimidad de los ciudadanos, amonestó en enero al Parlamento Europeo por vulnerar su propia normativa al usar esta herramienta de analítica digital de la multinacional estadounidense.

Los hechos se remontan al contrato que la institución comunitaria hizo durante la pandemia con una empresa para la realización de pruebas de detección de Covid a los europarlamentarios y al resto de trabajadores de la Cámara. Para ello, debían registrarse en una web administrada por la compañía, aunque controlada por el Parlamento, que usaba cookies de Google Analytics y del proveedor de pagos estadounidense Stripe. Los datos personales recabados eran transferidos a EE UU, pero sin garantizar un nivel suficiente de protección.

Como consecuencia, el Parlamento Europeo ha sido apercibido por infringir el Reglamento General de Protección de Datos. Aunque el supervisor europeo no le ha impuesto una sanción económica porque no es competente para ello, sí le ha obligado a cumplir la normativa vigente. En concreto, a “actualizar sus avisos para proporcionar toda la información relativa al tratamiento de datos personales”.

Una decisión que puede tener efectos prácticos en España ya que “cualquier web que utilice cookies que tratan información personal y cuyos datos son transferidos a EE UU, como las de Google Analytics, estaría cometiendo una infracción en materia de protección de datos”, explica Samuel Parra, abogado de la consultora de privacidad Égida. Y ello porque el país no tiene, actualmente, el nivel de protección que exige la legislación comunitaria.

Así, por ejemplo, mientras que “el Reglamento Europeo de Protección de Datos no menciona la palabra vender en ninguno de sus 99 artículos, la Ley de Privacidad del Consumidor de California, que se aplica en Silicon Valley (sede de Google), se refiere más de 34 veces a la venta de datos en sus 21 apartados”, señala el abogado Efrén Díaz, responsable del área de Tecnología del Bufete Mas y Calvet. Por ello, “esta decisión de amonestación puede ser un referente para que instituciones y empresas apliquen la normativa de forma más rigurosa, a través de un cumplimiento efectivo, y no sólo formal o literario” de sus preceptos.

La autoridad española

Pese a ello, la Agencia Española de Protección de Datos, que se encuentra inmersa en el proceso de selección para designar a los cargos de director y adjunto a la dirección, todavía no se ha pronunciado al respecto. Sí lo han hecho recientemente las autoridades de protección de datos de Austria o Alemania, que han resuelto que el uso de Google Analytics viola el Reglamento General de Protección de Datos. Y se espera que próximamente lo hagan otros países del Viejo Continente.

Ahora bien, si finalmente la decisión del supervisor europeo crea un precedente en España, el responsable de infringir la normativa comunitaria por transferir, mediante Google Analytics, datos personales a EE UU sin las suficientes garantías “sería el editor de la web” en cuestión, señala David Ferrete, gerente del área de Privacidad, Riesgo y Cumplimiento del bufete Ecix Group. Y ello por ser el “encargado de obtener el consentimiento y de informar sobre el uso de las cookies” a los usuarios. No obstante, también “podría serlo Google si realizase actividades de tratamiento ulteriores con fines propios” sobre esa información personal.

Así pues, a las empresas españolas solo les quedarían dos opciones: “alojar los datos en servidores localizados fuera de EE UU o establecer las garantías y medidas técnicas suficientes para cumplir con los estándares del Reglamento General de Protección de Datos”, explica Paloma Bru, socia responsable de Tecnología del bufete Pinsent Masons en Madrid. Sin embargo, “esta segunda opción parece poco viable dadas las prerrogativas con las que cuenta la administración estadounidense para el acceso a la información en base a la actual normativa de vigilancia y seguridad nacional”.