La confusión entre anonimización y seudonimización, el caso de Google Analytics

La presunta anonimización de Google Analytics es seudonimización, por lo que no cumpliría con los requerimientos de anomización de datos personales regulado en el Reglamento Europeo de Protección de Datos, ni con el baremo que el Consejo Europeo de Protección de Datos (EDPS, anteriormente, denominado Grupo de Trabajo del Artículo 29) estableció para considerar existente y efectiva la anonimización.

Efectivamente, el artículo 4 del RGPD, apartado 5, define legalmente el concepto de «seudonimización» al decir que por tal se entiende el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

En cuanto al concepto de anonimizar datos, este no se regula legalmente en dicho precepto, pero se hace referencia a él a lo largo del resto del articulado del RGPD. Concretamente, hay una en el considerando 28 del RGPD al establecer que ni los principios de protección de datos, ni el resto de la normativa, deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo.

Debido a que la anonimización de datos personales se presenta como una vía para escapar de la aplicación de la normativa sobre protección de datos personales, al mismo tiempo que es una medida de seguridad adicional, no es de extrañar que Google ofrezca la presunta anonimización en el trazado de datos a través de su herramienta Google Analytics, pues, de ese modo, el usuario y el popular buscador resultarían aparentemente más cumplidores.

En este sentido, Google Analytics tiene una función que denomina anonimización de IP o Enmascaramiento de IP y pese a lo que el término pudiera sugerir no se trataría, en rigor, de una anonimización de datos real.

Efectivamente, en sus términos y condiciones (a fecha de enero de 2022) Google declara que cuando un cliente de Analytics solicita la anonimización de la dirección IP, Analytics anonimiza la dirección tan pronto como es técnicamente posible. Este último matiz ya indica que Google no parece comprometerse ni garantizar la anonimización del todo.

Al avanzar en su documentación Google afirma que la función de anonimización de IP de Analytics establece el último octeto de las direcciones IP de los usuarios IPv4 y los últimos 80 bits de las direcciones IPv6 en ceros en la memoria poco después de ser enviados a Google Analytics y que, en este caso, la dirección IP completa nunca se escribe en el disco. Nuevamente, las afirmaciones de Google no parecen garantizar la anonimización puesto que, por un lado, parece incompleta y, por el otro, afirma producirse tras enviarse a Google, es decir, que la anonimización no se produce antes del envío y, por tanto, se produce un envío con datos sin anonimizar, aunque sea por unos instantes.

La conexión a Internet se realiza mediante lo que se llama «dirección IP» que es una secuencia parecida a esta: 101.102.103.104. Las IP pueden cambiar a lo largo del tiempo, pero, a menudo, se mantiene igual a lo largo de los años. En todo caso, la IP es un dato personal y significa que puede utilizarse para ayudar a identificar a un usuario en Internet.

El proceso que lleva a cabo Google para anonimizar consiste en que cuando un ordenador se comunica con Google Analytics y le pide que habilite la anonimización de la IP, antes de que Google la almacene, se elimina la última parte de esa serie de números que se sustituye por un 0. Por ejemplo, si la IP fuera 101.102.103.104, tras el proceso de anonimización se quedaría en 101.102.103.0

En el caso de las direcciones IPv4, solo se eliminan 4 elementos y siempre es la última fracción que, además, está en el rango de 0 a 255. Como se puede observar, a Google solo le hace falta calcular 256 variaciones para recuperar la dirección IP «anonimizada» para reidentificar al titular. 256 variaciones son muy pocas en términos tecnológicos y dado que no todas las direcciones relacionadas están necesariamente en uso; que Google seguramente tendrá información adicional junto a la IP como el sistema operativo, el dispositivo, etc., la combinación de datos para reidentificar al usuario se vuelve accesible porque la muestra cada vez es menor para lograrlo y los sistemas de Google disponen de potencia e inteligencia artificial sobrada para llevarlo a cabo con facilidad.

A ello se une que, según parece, incluso con la IP parcial, Google reconoce que puede hacer una estimación aproximada de la ubicación física pues su propia documentación indica que las dimensiones geográficas se derivan posteriormente de las direcciones IP anonimizadas, información que también le permitiría reducir la muestra.

Ciertamente, en el caso de las direcciones IPv6, se eliminan, en cambio, los últimos 80 bits de datos lo que haría algo más laboriosa la reidentificación, aunque no imposible considerando las formidables potencias de cálculo de los sistemas de Google. En todo caso, actualmente la mayoría de las IP son IPv4, por lo que el riesgo legal sigue siendo alto.

En definitiva, a la vista de las propias afirmaciones de Google sobre anonimización se concluye que realmente utiliza técnicas de seudonimización y no serían suficientes para su validación legal

Google estaría utilizando una terminología engañosa induciendo la idea de que se u tecnología excluye la aplicación del Reglamento General de Protección de Datos Personales

Esto es relevante porque existen muchos implementadores de analítica de datos que no tienen conocimientos técnicos y legales suficientes para examinar la efectividad de la configuración dispuesta por Google. En este sentido, Google estaría induciendo con una terminología engañosa a adoptar una pauta que no permitiría excluir la aplicación del Reglamento General de Protección de Datos Personales (RGPD) y, por ello mismo, y dado que los EE. UU. no son un país con adecuado nivel de protección, no se pueden utilizar ni este ni otros servicios de Google ya que supondría realizar una transferencia internacional de datos ilegal.


MÁS INFORMACIÓN SOBRE ASESORAMIENTO DE PROTECCIÓN DE DATOS PERSONALES EN LA CONTRATACIÓN O USO DE SERVICIOS EN LA NUBE | DESPACHO DE ABOGADOS ESPECIALISTAS EN PROTECCIÓN DE DATOS EN MADRID

PIDA CITA

Explíquenos su caso

    Información básica de protección sobre datos personales: Le informamos de que el Responsable del Tratamiento de los datos que nos facilita es Ucelay Abogados, S.L.P. y se tratan con el fin de atender su consulta o petición de servicios jurídicos, por lo que la legitimación deriva de su usted como interesado. Los datos solo cederán a terceros directamente si existe amparo legal para ello o en caso de Encargados de Tratamiento; en otros casos, le solicitaríamos consentimiento previo y expreso. Tiene derecho a saber si se tratan sus datos y a acceder, rectificar, oponerse, portar, limitar su tratamiento y a no ser objeto de decisiones automatizadas, así como a suprimirlos y cancelarlos en los casos legales, y puede ejercitarlos dirigiendo su solicitud a protecciondedatos@ucelay.es. Los conservamos por los plazos legales y contractuales aplicables según cada caso. Puede acceder a información más amplia sobre privacidad en https://ucelay.es/aviso-de-privacidad/