En anteriores publicaciones expusimos la problemática de las transferencias internacionales de datos personales y, en particular, las relativas al uso de la herramienta de medición, Google Analytics.
Con fecha 7 de junio de 2022, la CNIL, la autoridad de control de Francia, que es el organismo supervisor de la aplicación de la normativa de protección de datos personales en dicho país, se ha pronunciado acerca de ciertas cuestiones relativas al uso de la herramienta de Google Analytics, concluyendo que su utilización, a actual fecha, es prácticamente inviable debido a su falta de cumplimiento de la legislación aplicable.
De entre las cuestiones sobre las que se ha pronunciado la CNIL, destacamos algunos puntos por resultar los más diferenciales o relevantes.
El proyecto de acuerdo entre los EEUU y la UE: La CNIL deja claro que la declaración conjunta de la Comisión Europea y los Estados Unidos que tuvo lugar en marzo de 2022 sobre una futura decisión destinada a proporcionar un marco satisfactorio para los flujos de datos a los Estados Unidos es únicamente solo un anuncio político y que no es suficiente para constituir un marco legal en el que las organizaciones puedan basarse para transferir los datos a Estados Unidos.
Sobre si se puede ajustar la configuración de Google Analytics para cumplir la ley: La CNIL se manifiesta de forma rotunda en sentido negativo y afirma expresamente que Google Analytics no dispone de suficientes opciones técnicas de configuración para validar las transferencias.
La relatividad de la ubicación de los datos en territorio europeo: A requerimiento de la CNIL, Google afirmó que todos los datos recopilados a través de Google Analytics estaban alojados en Estados Unidos. Pero, incluso aunque no fuera así, la CNIL plantea como un riesgo a valorar el uso de soluciones tecnológicas sujetas a jurisdicciones no europeas aunque sus servidores estén en espacio UE ya que se aprecia que dichas empresas pueden verse obligadas por sus leyes nacionales a revelar datos personales alojados en servidores ubicados en la Unión Europea. Lo que parece estar afirmando sutilmente la CNIL es que los proveedores estadounidenses no son fiables, ni siquiera, aunque demuestren tener sus servidores en suelo europeo porque no se sabe qué hacen después con los datos.
Aunque el cifrado no es garantía suficiente por defecto, podría llegar a serlo si la configuración cumpliera ciertas condiciones como:
- Que el importador no debería ser quien cifre en origen los datos;
- Que el importador no debería tener las llaves de cifrado de los datos;
La solución para usar Google Analytics legalmente, según la CNIL, podría consistir en utilizar un proxy para transferir y anonimizar los datos antes de su envío, si cumpliera ciertas garantías muy estrictas como:
- La ausencia de transferencia de la dirección IP a los servidores de la herramienta de medición;
- La sustitución del identificador de usuario por el servidor proxy;
- La eliminación de la información del sitio de referencia externa al sitio;
- La eliminación de cualquier parámetro contenido en las URL recopiladas (por ejemplo, UTM y parámetros de URL que permiten el enrutamiento interno del sitio);
- El reprocesamiento de la información que puede participar en la generación de una huella digital, como los ‘agentes de usuario’, para eliminar las configuraciones más raras que pueden conducir a la reidentificación;
- La ausencia de cualquier colección de identificadores entre sitios;
- La supresión de cualquier otro dato que pueda dar lugar a la reidentificación.
El consentimiento a la transferencia no es válido al no tratarse de una transferencia puntual: El consentimiento explícito de los interesados es una de las posibles excepciones previstas en determinados casos específicos por el artículo 49 del RGPD, sin embargo, como indica el Consejo Europeo de Protección de Datos en sus directrices, estas excepciones: a) solo pueden utilizarse para transferencias no sistemáticas; b) no pueden constituir una solución duradera y a largo plazo; y c) el uso de una excepción no puede convertirse en la regla general. Es decir, el consentimiento que se facilita al aceptar las cookies de analítica de Google Analytics no sería adecuado para validar la transferencia vía consentimiento.
Las herramientas de analítica de datos anteriormente validadas por la CNIL no lo fueron en el aspecto de la perspectiva de transferencia internacional de datos: es decir la autoridad de control francesa, que ha analizado y dado el visto bueno a múltiples herramientas de analítica, advierte que dichos análisis no tuvieron en cuenta si dichas herramientas realizaban transferencias internacionales, por lo que de seleccionar una de ellas se requeriría estudiar dicho aspecto antes de su implementación, pudiendo darse por buenos los demás aspectos siguiendo las pautas de la CNIL para la herramienta que se elija.
Por lo tanto, mientras no exista un acuerdo marco nuevo entre los EEUU y la UE, cualquier herramienta en la nube, sea de analítica o no, que desee utilizar el responsable del tratamiento, si no se superan los obstáculos prácticamente insalvables que existen actualmente, debiendo optarse irremediablemente, en tal caso, por una solución alternativa.
El cumplimiento normativo de protección de datos se ha vuelto crucial en el actual proceso de transformación digital y el uso de herramientas en la nube debe ser cuidadosamente analizado desde una perspectiva jurídica, por lo que si desea saber más información sobre la solución para usar Google Analytics legalmente o está interesado en contar con un servicio de asesoramiento en protección de datos personales suficientemente cualificado puede consultar con Ucelay abogados.
