La presunta anonimización de Google Analytics es seudonimización, por lo que no cumpliría con los requerimientos de anomización de datos personales regulado en el Reglamento Europeo de Protección de Datos, ni con el baremo que el Consejo Europeo de Protección de Datos (EPS anteriormente, denominado Grupo de Trabajo del Artículo 29) estableció para considerar existente y efectiva la anonimización. Efectivamente, el artículo 4 del RGPD, apartado 5, define legalmente el concepto de «seudonimización» al decir que por tal se entiende el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. En cuanto al concepto de anonimizar datos, este no se regula legalmente en dicho precepto, pero se hace referencia a él a lo largo del resto del articulado del RGPD. Concretamente, hay una en el considerando 28 del RGPD al establecer que ni los principios de protección de datos, ni el resto de la normativa, deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. Debido a que la anonimización de datos personales se presenta como una vía para escapar de la aplicación de la normativa sobre protección de datos personales, al mismo tiempo que es una medida de seguridad adicional, no es de extrañar que Google ofrezca la presunta anonimización en el trazado de datos a través de su herramienta Google Analytics, pues, de ese modo, el usuario y el popular buscador resultarían aparentemente más cumplidores. En este sentido, Google Analytics tiene una función que denomina anonimización de IP o Enmascaramiento de IP y pese a lo que el término pudiera sugerir no se trataría, en rigor, de una anonimización de datos real. Efectivamente, en sus términos y condiciones (a fecha de enero de 2022) Google declara que cuando un cliente de Analytics solicita la anonimización de la dirección IP, Analytics anonimiza la dirección tan pronto como es técnicamente posible. Este último matiz ya indica que Google no parece comprometerse ni garantizar la anonimización del todo. Al avanzar en su documentación Google afirma que la función de anonimización de IP de Analytics establece el último octeto de las direcciones IP de los usuarios IPv4 y los últimos 80 bits de las direcciones IPv6 en ceros en la memoria poco después de ser enviados a Google Analytics y que, en este caso, la dirección IP completa nunca se escribe en el disco. Nuevamente, las afirmaciones de Google no parecen garantizar la anonimización puesto que, por un lado, parece incompleta y, por el otro, afirma producirse tras enviarse a Google, es decir, que la anonimización no se produce antes del envío y, por tanto, se produce un envío con datos sin anonimizar, aunque sea por unos instantes. La conexión a Internet se realiza mediante lo que se llama «dirección IP» que es una secuencia parecida a esta: 101.102.103.104. Las IP pueden cambiar a lo largo del tiempo, pero, a menudo, se mantiene igual a lo largo de los años. En todo caso, la IP es un dato personal y significa que puede utilizarse para ayudar a identificar a un usuario en Internet. El proceso que lleva a cabo Google para anonimizar consiste en que cuando un ordenador se comunica con Google Analytics y le pide que habilite la anonimización de la IP, antes de que Google la almacene, se elimina la última parte de esa serie de números que se sustituye por un 0. Por ejemplo, si la IP fuera 101.102.103.104, tendría este aspecto después del proceso de anonimización de Google 101.102.103.0 Como puede observarse, dado que solamente se elimina una fracción que está en el rango de 0 a 255, Google solo necesita estimar 256 variaciones para recuperar la dirección IP «anonimizada». 256 variaciones son muy pocas en términos tecnológicos y dado que no todas las direcciones relacionadas están necesariamente en uso; que Google seguramente tendrá información adicional junto a la IP como el sistema operativo, el dispositivo, etc., la combinación de datos para reidentificar al usuario se vuelve accesible porque la muestra cada vez es menor. A ello se une que, según parece, incluso con la IP parcial, Google puede hacer una estimación aproximada de la ubicación física pues su propia documentación indica que *las dimensiones geográficas se derivan posteriormente de las direcciones IP anonimizadas*. Ciertamente, en el caso de las direcciones IPv6 se eliminan los últimos 80 bits de datos, lo que haría algo más laboriosa la reidentificación. Sin embargo, actualmente la mayoría de las IP son IPv4, por lo que el riesgo legal sigue siendo alto.
MÁS INFORMACIÓN SOBRE CONTRATOS | DESPACHO DE ABOGADOS ESPECIALISTAS EN PROTECCIÓN DE DATOS EN MADRID
Google estaría induciendo con una terminología engañosa a adoptar una pauta que no permitiría excluir la aplicación del Reglamento General de Protección de Datos PersonalesSi a lo anterior añadimos el reciente estudio llevado a cabo por Nature, en el que apunta a que, en ciertos contextos al menos, sólo harían falta 15 datos para que el 99,98% de las personas sean identificables en una base de datos de 7 millones de personas, vemos que el riesgo es real. Efectivamente, quince atributos de datos pueden parecer muchos, pero no lo son. El informe hace referencia a la filtración de la base de datos de Experian, que estaba supuestamente «anonimizada» y contenía 248 puntos de datos sobre 120 millones de estadounidenses. Esto es relevante porque existen muchos implementadores de analítica de datos que no tienen conocimientos técnicos y legales suficientes para examinar la efectividad de la configuración dispuesta por Google. En este sentido, Google estaría induciendo con una terminología engañosa a adoptar una pauta que no permitiría excluir la aplicación del Reglamento General de Protección de Datos Personales (RGPD) y, por ello mismo, y dado que los EE. UU. no son un país con adecuado nivel de protección, no se pueden utilizar ni este ni otros servicios de Google ya que supondría realizar una transferencia internacional de datos ilegal.
MÁS INFORMACIÓN SOBRE CONTRATOS | DESPACHO DE ABOGADOS ESPECIALISTAS EN PROTECCIÓN DE DATOS EN MADRID
