Las transferencias internacionales de datos personales son habituales en la analítica de datos de navegación web y en apps. En este sentido, Google Analytics ha acaparado gran parte de la atención por los recientes pronunciamientos de diversas autoridades de control de datos personales europeas acerca de la ilegalidad de su uso mientras no exista un instrumento legal UE – EEUU que las ampare.
Sin embargo, pese a su evidente importancia cuantitativa y cualitativa, el caso de Google Analytics puede ser como el de los árboles que impiden ver el bosque completo de la propia Google y de prácticamente cualquier proveedor de servicios en la nube que ofrezca servicios a ciudadanos de la UE porque la problemática de las transferencias internacionales de datos va más allá de esta herramienta.
Centrándonos primero en Google y en su rico ecosistema de aplicaciones, es claro que este gatekeeper obtiene sus mayores rentabilidades del brokerage de datos personales esencialmente destinados a la publicidad, aunque no puedan descartarse otras aplicaciones de uso.
El caso es que ni Google Analytics, ni Google Adsense o Adwords, como aplicaciones que recogen datos de forma más evidente, son las únicas herramientas que recogen y trazan perfiles de usuario mediante datos personales, sino que existen otras muchas pues las herramientas en la nube de Google son como una navaja suiza para desarrolladores, agencias de marketing, usuarios y otros.
Efectivamente, existen múltiples servicios de Google que recogen datos personales y los transfieren internacionalmente a los EEUU, pese a que pueda resultar inadvertido habitualmente (lo cual ya constituye en sí mismo un riesgo y un signo de que hacen falta análisis legales de los servicios en la nube previos siempre) porque su funcionalidad principal no parece tan relacionada con la información personal. Sin embargo, una reciente resolución de la autoridad de protección de datos danesa ha permitido dar a conocer esta problemática.
Hablamos de servicios que utiliza cualquier sociedad limitada y emprendedores para gestionar sus negocios, pero también muchas otras organizaciones, tales como el de reCaptcha para controlar el spam; el uso de sistemas de bases de datos como Firebase; la utilización del servidor de Google Fonts para las tipografías de las páginas web; los Google Maps embebidos en las aplicaciones; los paquetes ofimáticos (versión gratuita); el correo electrónico (versión gratuita); chats de texto; voz y vídeo; traductor de texto, así como tantas otras aplicaciones cuyas transferencias de datos resultan inadvertidas.
Por otra parte, estarían todos los servicios en la nube que se prestan desde servidores situados en los Estados Unidos, país sin nivel adecuado de protección, como pueden ser gestores de proyectos y tareas; calendarios; backups; infraestructura de servidores o aplicaciones de video cotidianas como Zoom o Webex (usadas por los Juzgados, pese a su inconveniencia); scripts de comentarios como Facebook; Disqus; chats empresariales; envío de comunicaciones comerciales como Mailchimp; CDN’s; VPN’s; aplicaciones de Wordpress como Jetpack, etc.
En definitiva, dado que las transferencias internacionales de datos personales a los Estados Unidos siguen siendo ilegales, no se trata solamente de Google Analytics, sino de cualquier funcionalidad o servicio que, funcionando en la nube, realice transferencias a dicho país.
Este tipo de aspectos, como decimos, suelen pasar inadvertidos. Es fundamental que las organizaciones que son responsables de tratamientos de datos (prácticamente todas) revisen proveedor a proveedor las características de sus servicios en la nube para determinar cuáles superan el baremo legal y cuáles no lo hacen. En este aspecto, puede ser de interés contar con asesoramiento de protección de datos con experiencia previa en el análisis jurídico, ya que lo que se pone en riesgo es un derecho fundamental de las personas que, además, puede generar sanciones relevantes ya que el Reglamento Europeo de Protección de Datos Personales obliga a realizar un análisis previo de riesgos de cada actividad que implique procesamiento de información personal.