Utilizar Google Analytics sin anonimizar, cifrar o sin solicitar el consentimiento es ilegal al incumplir el Reglamento Europeo de Protección de Datos Personales, aunque no es cierto que Bruselas lo haya vetado, tal y como se ha dicho en algún medio. ¿Podemos decir entonces que Google Analytics es, casi, inviable legalmente? ¿Google Analytics incumple la Ley de protección de datos?
El 5 de enero de 2022, el Supervisor Europeo de Protección de Datos dictó resolución de amonestación al Parlamento Europeo por diversas infracciones, algunas de las cuales relacionadas con el uso de analítica de datos de navegación mediante la herramienta en la nube Google Analytics.
El EDPS, por sus siglas en Inglés, es una autoridad de supervisión en materia de protección de datos para el ámbito europeo equivalente, en algunos aspectos, a nuestra autoridad de control nacional, la Agencia Española de Protección de Datos.
UCELAY ABOGADOS especialistas en protección de datos personales en Madrid
Entre las infracciones comprobadas se encontraría el hecho de que el uso de Google Analytics supondría una transferencia internacional de datos personales a los Estados Unidos de América que no reuniría los requisitos legales para estimarse jurídicamente segura desde una perspectiva del derecho a la protección de los datos personales.
En este sentido, recordemos que la información recabada por las herramientas de analítica constituye información personal, esto es, son datos personales ya que, a partir de los mismos, se pueden identificar a sus titulares de forma directa o indirecta. Así lo reitera el propio EDPS al decir, en primer lugar, que las cookies de seguimiento, como las de Stripe y las de Google Analytics, se consideran datos personales, incluso si los parámetros tradicionales de identidad de los usuarios rastreados son desconocidos o han sido eliminados por el rastreador después de su recogida. Todos los registros que contengan identificadores que puedan utilizarse para identificar a los usuarios se consideran datos personales con arreglo al Reglamento y deben tratarse y protegerse como tales.
Google Analytics incumple la Ley de protección de datos.
Por otra parte, debemos entender qué es una transferencia internacional de datos personales, pues es un concepto legal y su significado y alcance son distintos a los comúnmente se entienden.
Así, de acuerdo al artículo 44 y siguientes del RGPD, una transferencia de datos personales es internacional si el flujo de datos se produce entre países no incluidos en el espacio UE (Es decir, los de la UE más Liechtenstein, Islandia y Noruega), de modo que entre los países de dicho espacio se opera como si fueran transferencias nacionales realmente y son internacionales las que salen de dicho territorio definido legalmente.
A su vez, una transferencia internacional no puede realizarse en cualquier caso sino solamente en los supuestos autorizados legalmente. Es decir, en ciertas situaciones jurídicas.
De manera resumida, para que un exportador de datos personales, es decir, el emisor de la transferencia de datos, normalmente un responsable de tratamiento, pueda realizar por sí mismo una transferencia internacional de datos es preciso que, bien el país de destino haya sido reconocido previamente por la UE con un nivel adecuado de protección legal; bien que, subsidiariamente, el país u organización de destino, el importador de datos, acredite medidas adecuadas suficientes, ya fueran técnicas o legales.
Debido a que la UE nunca ha reconocido a los EEUU como un país con adecuado nivel de protección debido a sus leyes de espionaje sobre las comunicaciones, se recurrió a la opción legal alternativa (Art. 46 del RGPD) de diseñar instrumentos legales intergubernamentales que pudieran constituir medidas adecuadas legalmente suficientes, es decir, adoptándolos como la solución subsidiaria mencionada. Primero fué el instrumento de Puerto Seguro (Safe Harbour) que años después se estimó insuficiente y fué sustituido por un nuevo instrumento, el de Escudo de Privacidad (Privacy Shield).
Sin embargo, el Privacy Shield , vigente durante años, fue declarada finalmente inválida por los tribunales europeos en la denominada sentencia Scrhrems II dictada por el TJUE.
Este tribunal declaró inválido el Escudo de Privacidad por razones análogas a las que presumiblemente se estimaron para no considerar a los EE. UU. como país con nivel adecuado de protección, esto es, por debido a que sus leyes de espionaje sobre las comunicaciones permiten a las autoridades de los USA requerir cualquier información a las organizaciones privadas o públicas del país sobre ciudadanos nacionales o extranjeros.
Efectivamente, en la sentencia Schrems II, el Tribunal de Justicia consideró que el nivel de protección de los datos personales en EE.UU. era problemático en vista de la falta de proporcionalidad causada por los programas de vigilancia masiva basados en el artículo 702 de la Ley de Vigilancia de la Inteligencia Extranjera y en la Orden Ejecutiva 12333, leídos conjuntamente con la Directiva Política Presidencial y la falta de recursos efectivos en EE.UU. esencialmente equivalentes a los exigidos por el artículo de la Carta. En consecuencia, el SEPD considera que las transferencias de datos personales a los Estados Unidos sólo pueden tener lugar si están enmarcadas por medidas complementarias eficaces para garantizar un nivel de protección esencialmente equivalente para los datos personales transferidos.
A continuación, el supervisor recuerda que a falta de una decisión de adecuación para las transferencias a, entre otros destinos, los Estados Unidos, los responsables y los encargados del tratamiento sólo pueden transferir datos personales a un tercer país si se ofrecen las garantías adecuadas, y a condición de que los derechos de los interesados sean exigibles y los recursos legales efectivos para los interesados.
Y que dichas salvaguardias pueden estar previstas en las cláusulas contractuales tipo (CCT) o en otro instrumento de transferencia. El instrumento de transferencia al que se recurra debe garantizar que los interesados cuyos datos personales se transfieran a un tercer país en virtud de dicho instrumento de transferencia gocen de un nivel de protección en ese tercer país que sea esencialmente equivalente al garantizado en la UE por la legislación de protección de datos de la UE, leída a la luz de la Carta.
Y advierte que, sin embargo, el uso de las CEC u otra herramienta de transferencia (por ejemplo, cláusulas contractuales ad hoc) no sustituye la evaluación individual caso por caso que un IUE, como responsable del tratamiento, debe llevar a cabo, de conformidad con la sentencia Schrems II, para determinar si, en el contexto de la transferencia específica, el tercer país de destino ofrece a los datos transferidos un nivel de protección esencialmente equivalente al de la UE. El IUE, en su caso en colaboración con el importador de datos en el tercer país, debe llevar a cabo esta evaluación de la eficacia de las garantías propuestas antes de que se realice cualquier transferencia o se reanude una transferencia suspendida.
Cuando el nivel de protección esencialmente equivalente para los datos transferidos no esté efectivamente garantizado, porque la legislación o la práctica del tercer país impidan la eficacia de las salvaguardias apropiadas contenidas en los CEC utilizados para las transferencias u otro instrumento de transferencia*, se *deberán aplicar medidas contractuales, técnicas y organizativas para complementar eficazmente las salvaguardias del instrumento de transferencia, cuando sea necesario junto con el importador de datos.
Debido a que ninguna de las medidas de naturaleza jurídica intentandas nunca reunieron las garantías necesarias, las medidas legales se consideraron obstáculos insalvables para realizar transferencias.
Cabe entonces la posibilidad de considerar si podría salvarse el obstáculo recurriendo a medidas técnicas u organizativas que hicieran posible una transferencia legal de datos personales.
En relación con las medidas técnicas, cabría plantear, al menos, dos opciones posibles, bien la anomización, bien el cifrado de la información personal.
La anonimización supone reducir la información a un nivel en el que deje de ser personal, es decir, deje de poder identificar a un individuo y no resulte reversible la reidentificación. Este proceso es muy exigente y, como veremos, a menudo se confunde con la seudonimización de datos que es un proceso de mera disociación que, por su mecánica, permite aplicar mecánicas de reversión para reidentificar a los individuos a partir de la información disponible.
El cifrado, por su parte, supone someter la información personal a técnicas de encriptación de modo que solamente mediante un sistema de claves sea posible desentrañar la información personal. Estas técnicas pueden llegar a ser enormemente robustas, pero también se enfrentan con sus propios desafíos ya que el cifrado a cierta fecha puede ser robusto, pero dejar de serlo en una fecha posterior gracias a una técnica más potente de descifrado como, por ejemplo, aplicando la computación cuántica al proceso.
En el caso analizado por el supervisor europeo, ninguna de estas dos medidas parece que tuvieron lugar por cuanto no se mencionan en su resolución, por lo que, junto al resto de razones expuestas, el EDPS concluye que la analítica de Google Analytics y Stripe no cumplirían los requisitos para considerar válidas las transmisiones de datos a los Estados Unidos. Y la misma lógica debe aplicarse para cualquier herramienta SAAS que transfieran datos personales a dicho país en las mismas circunstancias (Como se ha declarado análogamente con relación al uso de Mailchimp, por ejemplo).
Cabe preguntarse si la resolución habría sido distinta en caso de que el responsable del tratamiento hubiera anonimizado los datos personales mediante la configuración que Google habilita para ello. La respuesta debe ser negativa porque, pese a la calificación utilizada por Google, realmente, no es una técnica de anonimización sino de seudonimización, por lo que los datos transferidos permitirían identificar a los individuos y, por ello, el tratamiento no quedaría excluido del régimen legal de transferencias antedicho.
Sin embargo, aún sería posible realizar transferencias internacionales si concurrieran los requisitos de alguno de los supuestos excepcionales previstos en el artículo 49 del RGPD. En concreto, el primero de ellos referido al consentimiento. Es decir, por regla general, si el responsable recaba el consentimiento de cada individuo es posible realizar la transferencia internacional de sus datos personales a un país con nivel de protección no adecuado.
Ahora bien, el consentimiento tiene que cumplir, por su parte, varias condiciones:
- Que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta;
- Que lo haya hecho tras haber sido informado de los posibles riesgos para él de dichas transferencias debido a la ausencia de una decisión de adecuación y de garantías adecuadas; (es decir, que el titular de los datos también debería informar de los riesgos específicos derivados del hecho de que sus datos serán transferidos a un país que no ofrece una protección adecuada y que no se aplican garantías adecuadas destinadas a garantizar la protección de los datos). Por ejemplo, informando específicamente al interesado que el país de destino posee legislación que permite a sus autoridades exigir la entrega de información personal sobre el interesado al importador de datos sujetándose únicamente a su legislación interna, no la europea.
Ante esta última posibilidad, recabar el consentimiento expreso y previo del interesado para realizar la transferencia internacional, surge la interrogante sobre si los paneles de administración de cookies cumplen, a estos efectos, con los indicados requisitos de prestación del consentimiento y poder considerar válida la transferencia. La respuesta, entendemos, dependerá de cómo se implemente dicho panel de cookies. En la inmensa mayoría de los casos será inválido porque se tratará de panales de cookies múltiples propias y ajenas; requerirá el consentimiento junto a otros por otras cookies y otros destinatarios de datos. En cambio, podría considerarse válido si se utilizara una forma de recogida del consentimiento y cookies específica para las analíticas que impliquen transferencia internacional de datos personales, de modo que se requiera solo con este fin, para dicho destinatario importador y con advertencia de los riesgos antedichos.
Esta opción, en general, no será pragmática de implementar y no hará viable su utilización en la mayor parte de los casos de uso porque entorpece la navegación y dificulta la accesibilidad. Además, se enfrenta a la dificultad de poder acreditar posteriormente que el consentimiento se ha obtenido, si bien, es cierto, que a veces se considera acreditado si se muestra la manera en cómo está implementada la solicitud de consentimiento, aunque, en cambio, la demostración de la obtención del consentimiento concreto de un individuo no esté al alcance (al tratarse de metadatos generalmente).
Finalmente, incluso asumiendo como válida la transferencia internacional en los términos descritos, aún habría que superar un desafío legal adicional de querer llevarse a cabo. Nos referimos a la proporcionalidad del tratamiento pues esta se configura como un principio rector en materia del derecho de protección de datos personales que obliga al responsable del tratamiento a emplear siempre los medios menos invasivos para la privacidad del individuo. Cuando existen alternativas menos invasivas con los derechos de los interesados, el responsable debe adoptarlas y descartar la solución que había diseñado. En este caso, en el mercado existen múltiples alternativas de analítica de datos en forma de scripts y SAAS, por lo que, aún siendo posible transferir internacionalmente los datos mediante Google Analytics, pese a todo, no sería viable por no resultar acorde con el principio de proporcionalidad al existir alternativas menos invasivas que pueden utilizarse.
Por otra parte, recordemos que Google Analytics no se utiliza solamente en relación a páginas web, pues también se utilizan en aplicaciones Android y en múltiples sistemas del Internet de las Cosas (IoT) que se apoyan en dicha herramienta, por lo que el responsable del tratamiento debe considerarlo en todos los elementos posibles donde esté implementado y, a cuyo efecto, le resultará de utilidad disponer de los registros de inventario de software correspondientes y proveedores.
Alternativas a Google Analytics
Ante la necesidad de tener que utilizar herramientas de analítica de datos para obtener información de utilidad en la web corporativa, la aplicación correspondiente o el dispositivo conectado, el responsable del tratamiento puede plantearse el uso de herramientas alternativas privativas o de código libre que le ofrezcan resultados equivalentes.
La elección de la herramienta deberá partir de las concretas necesidades identificadas. En unos casos, bastará un mero plugin para conocer las métricas de número de visitas que tiene un contenido, por ejemplo. En otros casos, en cambio, será precisa una herramienta con métricas más cualificadas o cuantiosas.
Algunas de las herramientas alternativas de código libre que podrían recomendarse serían Plausible, OWA y Matomo (Usada por algunas instituciones de la Unión Europea, por ejemplo) que son open source y cuentan con la opción de ser auto alojadas o de utilizarse en régimen SAAS sin transferencia internacional de datos.
Las ventajas del uso de código libre para estos fines son múltiples, pero, entre ellas, podemos considerar algunas razones técnicas como la transparencia del código; motivos de oportunidad como recibir soporte y mantenimiento comunitario o ventajas legales como sería garantizar la ubicación y el control mediante el auto alojamiento en servidores propios, como posibles medidas técnicas y organizativas acreditables por el responsable del tratamiento (Artículo 25 del RGPD).
Entre los plugins de analítica para WordPress podemos encontrar algunos sencillos como el plugin Koko.
¿Necesitas algún servicio? Somos ABOGADOS ESPECIALISTAS EN NUEVAS TECNOLOGÍAS
