Skip to content

¿Qué está pasando con Google Analytics? A cargo de Pablo García-Girón Pérez

AD 31/2022

¿Qué está pasando con Google Analytics?

Resumen

El presente artículo surge como necesidad de aportar luz ante las recientes noticias sobre el cuestionamiento que las autoridades de control europeas en materia de protección de datos están llevando a cabo contra el servicio de Google Analytics.

En este sentido, en el apartado I. Introducción, el autor lleva a cabo una presentación del contexto que ha conducido a la situación de inseguridad jurídica tanto para los clientes de Google Analytics como para los usuarios de aquellas páginas web que se encuentren utilizando dicho servicio.

En el apartado II. Problemática de las transferencias internacionales de datos a los EEUU, el autor presenta el recorrido que ha tenido la regulación sobre las transferencias internacionales de datos en los últimos años, así como el impacto que han supuesto, fundamentalmente, las cuestiones planteadas por Max Schrems ante el TJUE para conducirnos al escenario en el que nos encontramos. Sin estos cambios, no estaríamos hoy hablando de esto.

En el apartado III. “Un tiro entre un millón” Austria revuelve el avispero y Francia pone la puntilla, se sitúa el nudo gordiano que ha puesto en el disparadero la relación que hay en los movimientos de datos entre el Espacio Económico Europeo (EEE) y los Estados Unidos de Norteamérica (EEUU), analizando la posición de las autoridades de control de Austria, Francia y Holanda, en función de los pronunciamientos que han llevado a cabo hasta el momento en que se redactó el presente artículo.

En el apartado IV. La solución holandesa, el autor explica la posición que ha tomado la autoridad holandesa frente a la resolución austriaca, y explica con qué actitud deberíamos afrontar esa propuesta.

En el apartado V. Conclusiones, el autor establece una serie de conclusiones, o consecuencias, según se mire, sobre el escenario que nos hemos encontrado tras los pronunciamientos de las distintas autoridades europeas.

Finalmente, el apartado VI. Referencias, presenta los recursos legales e informativos que han sido utilizados en la elaboración del presente artículo.

Abstract

This article arises as a need to shed light on the recent news about the questioning that the European control authorities in terms of data protection are carrying out against the Google Analytics service.

In this sense, in section I. Introduction, the author presents the context that has led to the situation of legal insecurity both for Google Analytics clients and for users of those web pages that are using said service. .

In section II. Problems of international data transfers to the US, the author presents the course that the regulation on international data transfers has had in recent years, as well as the impact that, fundamentally, the questions raised by Max Schrems before the CJEU to lead us to the stage in which we find ourselves. Without these changes, we would not be talking about this today.

In section III. «One shot in a million» Austria stirs up the hornet’s nest and France puts the lace, the Gordian knot is located that has triggered the relationship between data movements between the European Economic Area (EEA) and the United States of America. North America (USA), analyzing the position of the control authorities of Austria, France and the Netherlands, based on the pronouncements they have made up to the time this article was written.

In section IV. The Dutch solution, the author explains the position that the Dutch authority has taken against the Austrian resolution, and explains with what attitude we should face this proposal.

In section V. Conclusions, the author establishes a series of conclusions, or consequences, depending on how you look at it, on the scenario that we have found after the pronouncements of the different European authorities.

Finally, section VI. References, presents the legal and informative resources that have been used in the preparation of this article.

Palabras clave

Google, Analytics, RGPD, protección de datos, cesiones, transferencias internacionales de datos, Schrems I y II, cookies, CNIL, AEPD, DSB.

Key Words

Google, Analytics, GDPR, data protection, transfers, international data transfers, Schrems I and II, cookies, CNIL, AEPD, DSB.

Índice

I. Introducción. II. Problemática de las transferencias internacionales de datos a los EEUU. III. “Un tiro entre un millón” Austria revuelve el avispero y Francia pone la puntilla. IV. La solución holandesa. V. Conclusiones. VI. Referencias.

I.- Introducción

No vamos a descubrir ningún secreto al lector si apuntamos que el gigante norteamericano Google es una empresa dedicada al despliegue de una serie de servicios destinados al usuario, generalmente gratuitos, o supuestamente gratuitos. El motivo de esta matización es que, como “el mago blanco es ladino”, Google encuentra una contraprestación indirecta para el uso de sus servicios en los datos que como consumidores proveemos, muchas veces, sin ser realmente conscientes de ello.

Entre otros, en el año 2005 puso a disposición de los usuarios el servicio denominado Google Analytics, el cual supone otorgar al cliente que lo ha contratado la capacidad para el estudio de los comportamientos que los usuarios tienen sobre su página web. Concretamente, permite conocer la audiencia, comportamiento dentro de la página web (recursos utilizados, visitados, elementos sobre los que el usuario ha cliqueado, etc.) así como las conversiones que se llevan a cabo en el sitio web.

En definitiva, Google Analytics es una herramienta que permite desarrollar técnicas de analítica de datos, de forma que se ofrezca información sobre el tráfico de una página web de forma agrupada, extrayendo conclusiones útiles para el administrador de dicho sitio web. No cabe duda de que ha sido un elemento importante para que organizaciones con escasos recursos puedan desarrollar una labor de marketing en línea más elaborada de la que podrían desplegar con sus propios recursos.

Sin embargo, un cruzado, que demuestra la teoría de que no todos los héroes llevan a capa, ha surgido en el horizonte del gigante tecnológico dispuesto a hacerle tambalearse en sus cimientos: Max Schrems. Más concretamente, Schrems ha fundado la organización sin ánimo de lucro NOYB para defender la privacidad y protección de datos de los ciudadanos europeos. Para ello, ha llevado a cabo la iniciativa bautizada como “los 101 dálmatas”, o lo que se concreta en la interposición de 101 denuncias contra Google Analytics por vulnerar el RGPD, alrededor de las principales autoridades de control europeas.

II.- Problemática de las transferencias internacionales de datos a los EEUU

Tal y como comentamos el mes pasado en este mismo foro, los casos Schrems I y II han cambiado las reglas del juego en lo que a la realización de transferencias internacionales de datos se refiere, especialmente, aplicado al caso en que queramos enviar datos personales a los Estados Unidos de América.

Haciendo un breve recordatorio, se conoce como “Schrem I” a la resolución del Tribunal de Justicia de la Unión Europea respecto del Caso Facebook, que condujo a la invalidación de la decisión de adecuación denominada “Puerto Seguro”, que validaba los intercambios de datos entre el Espacio Económico Europeo y los Estados Unidos. El motivo que provoca esa invalidez reside en que las empresas adheridas a dicho acuerdo no estaban realizando tratamientos de datos en términos equivalentes de seguridad con el marco de protección europeo.

Esta decisión supuso una convulsión entre las multinacionales europeas y norteamericanas que el propio Roy Blatty habría incluido en su melancólico monólogo de las puertas Tannhauser de haberlo vivido. Pero no acababa aquí la cosa.

Años después de la anulación del Acuerdo de Puerto Seguro, la Comisión Europea se puso manos a la obra para elaborar un nuevo acuerdo que supusiera un nuevo paradigma en las relaciones entre el EEE-USA en lo que a la protección de datos personales se refiere. Sin embargo, como era de esperar, el nuevo acuerdo, denominado “Escudo de Privacidad”, suponía una vuelta al mismo espíritu que ha caracterizado esta relación en el pasado.

Hay que entender que, culturalmente, los Estados Unidos nunca han sentido como propia la preocupación por la privacidad e intimidad personal. Más aún si tenemos en cuenta el cambio de paradigma que supusieron los atentados del 11 de septiembre de 2001 que cambiaron el mundo a todos los niveles. La sociedad norteamericana afrontó un debate donde se les exigió elegir entre la seguridad y su libertad, a la que no tuvieron muchas dudas en renunciar. No tenemos que olvidar que el derecho a la protección de datos personales es un derecho fundamental que tiene una estrecha relación con la libertad individual que cada uno tenemos para poder desarrollarnos como las personas que realmente somos. Esto es importante para entender el enorme choque, cultural y jurídico, que supone armonizar estas relaciones.

El resultado de lo que comento es la sentencia “Schrem II” por la que el TJUE invalida la Decisión del Escudo de Privacidad en julio de 2020.

El resultado de esta jurisprudencia ha sido el siguiente:

  • No tenemos una decisión de adecuación para enviar datos a los EEUU.
  • La jurisprudencia del TJUE advierte que las cláusulas tipo de la Comisión Europea y las autoridades de control no son válidas para el caso de los EEUU, por ser ineficientes.
  • No se pueden llevar a cabo transferencias internacionales de datos a los EEUU sin garantías adecuadas de protección.

Por tanto, enviar datos personales a los EEUU se ha convertido en un verdadero quebradero de cabeza, que pasa por la aplicación de técnicas de cifrado y anonimización, o incluso la suscripción de acuerdos privados donde las organizaciones norteamericanas se obligar a respetar la normativa europea.

Pero, ¿es realmente posible que una organización sujeta a la competencia de tribunales norteamericanos pueda garantizar que cumplirá con la normativa europea en vigor? Volviendo al tema cultural, y fundamentalmente jurídico, de la idiosincrasia norteamericana, no parece que esto sea muy factible en la práctica.

Tenemos que tener en cuenta la existencia de un paquete de normas que la administración Bush aprobó tras los atentados del 11-S, con la Patriot Act a la cabeza, donde se le daba enormes competencias al Estado Federal, especialmente a la National Security Agency, para garantizar la “protección” de los ciudadanos norteamericanos. Esto se traduce en una enorme facilidad para acceder a la información de organizaciones radicadas en los EEUU para investigar posibles casos de terrorismo.

Esto es importante para el caso que nos ocupa, ya que supone que las autoridades norteamericanas puedan solicitar, mediante requerimientos oficiales, el acceso a servicios de alojamiento de datos cuyos servidores se encuentren en los EEUU, lo que afecta directamente a los distintos servicios que ofrece Google.

III. “Un tiro entre un millón”: Austria revuelve el avispero y Francia da la puntilla

Es malo acostumbrarse a un ecosistema homogéneo, porque uno tiende a volverse ajeno al cambio. Especialmente cuando vemos procesos donde se revuelven las cosas para dejarlas como estaban, aquello de “cambiar para que nada cambie”.

Es por ello que, al igual que Luke cuando debe enfrentarse al disparo único contra la Estrella de la Muerte, pocos esperábamos que la presión ante la falta de cumplimiento sobre los principios europeos de protección de datos que los EEUU estaban demostrando respecto de su normativa federal (fundamentalmente, ya que hay algunas excepciones a nivel estatal como en California, como la Ley de privacidad de los consumidores de California (‘CCPA’), y alguna ley que protege los datos de los estudiantes), fuese a crecer desde otros vectores de ataque. Habíamos visto antes caer no sólo una decisión de adecuación sobre las transferencias de datos a los EEUU, sino dos decisiones de adecuación, por lo que no parecía que tardase en llegar el tercer parche para que el tráfico comercial transoceánico siguiese en marcha.

Pues bien, no sólo no ha llegado un tercer acuerdo que funcione como decisión de adecuación, sino que en las últimas semanas hemos sido testigos de dos autoridades europeas de control nacional que han dictado resoluciones cuestionando la legalidad del servicio Google Analytics, bajo los estándares del RGPD.

No sólo ello, también hemos sido conscientes de la existencia de reclamaciones ante autoridades de control frente a un total de 101 empresas repartidas entre 30 países[1]. También en España la AEPD tiene una denuncia sobre su mesa.

Y ¿qué es lo que dicen estas reclamaciones? Fundamentalmente, se está cuestionando el uso del servicio Google Analytics en las páginas web de estas organizaciones, por los siguientes motivos:

  • Entienden que este servicio está sujeto a las Condiciones para el tratamiento de datos de Google Ads, que forman parte de las Condiciones del Servicio de Google Analytics, donde Google se califica a sí mismo como encargado del Responsable del tratamiento, quien sería la titular del sitio web que se está visitando por el usuario. Además, el apartado 10 de las condiciones de Google Ads explica que el Responsable del tratamiento acepta que Google almacene y trate datos personales en los Estados Unidos, o en cualquier otro país en el que Google o cualquiera de sus subprocesadores tengan instalaciones.
  • La parte reclamante realiza un acceso al sitio web de la institución reclamada, donde Google lleva a cabo el tratamiento de dirección IP del usuario visitante, y de los datos que las cookies han recabado (pautas de comportamiento del usuario, elecciones que ha realizado en la web, etc).
  • La reclamante aporta evidencia por la que, parece ser, estos datos son transferidos a Google.
  • La decisión de adecuación sobre las transferencias de datos a los EEUU ha sido invalidada, por tanto, la transferencia de los datos que ha realizado Google es contraria al RGPD.

Por tanto, el motivo principal, la transferencia internacional de datos, está defendido con bastante solidez por los acontecimientos que ya explicamos en un artículo anterior sobre esta misma temática “Transferencias internacionales de datos a la luz de los casos Schrems I y II”, que también puede leerse en el portal de los compañeros de A Definitivas.

Sin embargo, se pone sobre la mesa otra circunstancia que hay que valorar cuidadosamente como es el régimen de vigilancia que las agencias de inteligencia de los EEUU imponen sobre empresas como Google, calificadas de “proveedores de servicios electrónicos”. En este sentido, la normativa de los EEUU establece que este tipo de empresas están sujetos a un régimen especial por el cual las agencias norteamericanas de vigilancia pueden acceder a la información que almacenan en sus servidores[2]. Esto, a nivel RGPD, supone la pérdida de la confidencialidad de los datos de los titulares, en lo que se acaba produciendo una comunicación ilícita o cesión de datos.

Por tanto, las inquietudes que existen detrás de uso del servicio Google Analytics ya no se centran sólo en la posibilidad de que se materialice una transferencia internacional de datos ilícita, sino en la, más que probable, circunstancia de una cesión de los datos que pondría en riesgo los derechos y libertades de los titulares de los datos.

Hay que tener en cuenta que los proveedores de servicios norteamericanos, y los exportadores de datos europeos, han vivido con una cierta tranquilidad al remitirse a las “cláusulas contractuales tipo” para amparar estos movimientos de datos. Esto ha sido así, al menos, hasta que hemos conocido cómo lo han valorado las autoridades nacionales austriaca y francesa de protección de datos en diversos pronunciamientos:

Resolución de la DSB de Austria

La DSB austriaca conoce en 2021 una de las 101 reclamaciones recibidas contra la actividad de Google Analytics, decidiendo resolver que el servicio prestado por el gigante norteamericano es contrario al RGPD. Destacan dos puntos fundamentales para tirar la argumentación que Google lleva a cabo desde sus condiciones de uso del servicio:

  • En sus condiciones de uso, Google explica que aplica lo que denomina como TOMs (por sus siglas en inglés de medidas técnicas y organizativas “Technical and Organizational Measures”) que pueden llegar a ser de tipo físico, como el vallado del perímetro alrededor de sus servidores, como de tipo lógico. En este sentido, Google defiende que aplica mecanismos de ofuscación sobre las direcciones IP de los usuarios que acceden a las páginas web de sus clientes, motivo por el que no se puede producir una identificación de esas personas, y razón principal por la que Google entiende que, al no haber datos personales, no debería estar sujeto al RGPD. Pues bien, la DSB desmonta[3] el mecanismo técnico por el que se lleva a cabo esa ofuscación de datos para entender que es un mecanismo débil, motivo por el que los datos son reidentificables y, por tanto, al haber datos personales de usuarios europeos, también hay autoridad del RGPD.
  • En segundo lugar, la DSB desestima que las TOMs alegadas por Google sean una medida efectiva contra el régimen legal norteamericano de vigilancia al que se encuentran sometidos los proveedores de servicios como es Google en este caso.

Es importante realizar algunos matices:

  • Se trata de una “resolución parcial”, lo que quiere decir que la resolución de la autoridad de control austriaca no ha confrontado a las dos partes, en lo que se conoce en el sistema austríaco como un procedimiento de ejecución “público”, por lo que no implica una sanción potencial a Google hasta que la propia DSB termine de resolver la cuestión, lo que supone que la importancia del pronunciamiento tenga tanta potencia como el Philadelphia light, lo compras, pero no sabe igual.
  • Asimismo, tal y como lo comenta Jorge García Herrero[4], existen dudas de que esto pueda suponer una sanción contra aquellas empresas u organizaciones que hayan contratado los servicios que presta Google Analytics. Está claro que Google está sujeto a un régimen que no cumple con lo previsto por el RGPD, agravado para la falta de una decisión de adecuación sobre los movimientos de datos a los EEUU, pero esto no quiere decir que pueda extenderse esa responsabilidad a un usuario de dicho servicio. En este sentido, habrá que ver cómo interpretan el juego de roles del RGPD donde Google se autodenomina encargado del tratamiento frente al responsable, que sería el usuario que ha contratado el servicio y quien debería responder ante posibles responsabilidades en materia de protección de datos. Desde luego, para la DSB austriaca, esto no es así. El motivo es que resulta imprescindible que diferenciemos los roles en función de quién está realizando el tratamiento concreto, y con qué finalidad. Si mi encargado se dedica a jugar a los espías con Michael Caine haciendo de Harry Palmer con mis datos, entonces habrá que dirimir la responsabilidad que éste realmente tiene.

El tema no es baladí, ya que, en el caso en que se llegase a una sanción, el RGPD prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global, aunque es cierto que la norma prevé que los ordenamientos nacionales puedan tener competencias respecto de la matización de infracciones, aplicación de sanciones, agravantes y eximentes.

Por tanto, y muy en resumen, la autoridad austriaca ha entendido que Google no está aplicando medidas suficientes para garantizar los datos, lo que supone que se están produciendo transferencias internacionales ilícitas, y una posible vulneración de la confidencialidad de los datos.

Nota de prensa de la CNIL francesa

El 10 de febrero de este año la autoridad de protección de datos francesa (CNIL por las siglas de Commission Nationale de l´informatique et des libertés) emitió una nota de prensa explicando que ha conocido el caso de la mano de una de las 101 reclamaciones interpuestas por NOYB. Un caso sobre el que ha fallado estar de acuerdo con la reclamante, y declarar que las transferencias internacionales de Google a los EEUU son ilegales.

Nuevamente, como ya ocurrió en el caso de Austria, la CNIL da por hecho que el identificador único asociado a cada visitante de una web que utilice Analytics, supone un dato de carácter personal. Por mucho que Google pueda argumentar en contra de este hecho, hay que tener en cuenta que ya supone la segunda vez que una autoridad administrativa tira por tierra el mecanismo de ofuscación que Google utiliza sobre los datos de los usuarios que trata su servicio Analytics, lo que es revelador de cara al cariz que pueden tomar el resto de agencias europeas.

Además, la CNIL hace suyos los planteamientos del TJUE en Schrems II respecto del riesgo que suponen las agencias de inteligencia norteamericanas para estos datos, que se encuentran almacenados en servidores propiedad de proveedores sujetos a un estricto régimen de vigilancia en los EEUU, tal y como hemos visto en apartados anteriores del artículo.

Por último, también la CNIL considera insuficientes las TOMs aplicadas por Google para mitigar el riesgo que supone la transferencia internacional de datos a los EEUU, dado que estas medidas no pueden enfrentarse a una solicitud de acceso por las agencias norteamericanas de inteligencia.

Por tanto, como no puede ser de otra manera, la CNIL concluye que sólo aportando garantías adecuadas se podrá realizar una transferencia internacional de datos a los EEUU, suceso que no se está dando en el caso Analytics.

Un matiz importante de la actuación francesa es que aquí sí tenemos consecuencias para el usuario de los servicios de Google, por cuanto la CNIL exhorta al cliente de Analytics a legalizar el tratamiento de datos con base en el RGPD, incluso cesando en el uso del servicio de Analytics si esto fuese necesario, o utilizando otra herramienta que no implique el incumplimiento de las disposiciones del RGPD.

Tampoco aquí tenemos una sanción directa contra el cliente que ha contratado los servicios de Google Analytics, pero sí hay un claro aviso para que regularice ese tratamiento que, probablemente, podría resultar en una futura sanción si el exhortado no desiste de la forma en que ha planteado la ejecución de su tratamiento de datos.

IV.- La solución holandesa

Mientras tanto, en enero de este año, la autoridad holandesa de protección de datos ha decidido elaborar un documento de buenas prácticas donde establece una serie de medidas para configurar el servicio de Analytics de tal manera que se produzca una reducción sustancial del riesgo que existen sobre los datos personales tratados.

Mediante esta configuración específica del servicio, Holanda entiende que es posible minimizar el riesgo, pero a tenor de lo visto anteriormente sobre lo que está ocurriendo con el Schrems II y la regulación norteamericana, por mucho que se produzca una configuración más cercana a los estándares de privacidad desde el diseño y por defecto.

Hay que entender que existe una piedra de toque que es muy difícil de salvar: el régimen de responsabilidad que los prestadores de servicios de internet norteamericanos tienen que observar ante requerimientos de información emitidos por las agencias de inteligencia norteamericanas.

Por tanto, parece complicado pensar que una configuración RGPD friendly del Analytics pueda suponer una patente de corso ante una posible sanción por parte de las autoridades de control europeas.

V.- Conclusiones

De acuerdo con lo comentado en el presente artículo, es posible extraer las siguientes conclusiones:

  • Entrar en un juego de transferencias internacionales a los EEUU, actualmente, puede ser el equivalente a mantener un debate en twitter con Pérez Reverte, peligroso. En el punto en que se ha situado la cuestión, lo más seguro para los bolsillos de nuestros clientes puede acercarse a soluciones de anonimización robusta sobre los datos, o el recurso a mecanismos de cifrado donde la clave nunca se encuentre en manos del proveedor.
  • Los clientes que han contratado los servicios de Google Analytics no han sido sancionados por la actitud del proveedor norteamericano…, por ahora.
  • En el caso concreto de los servicios de análisis estadístico con una finalidad comercial, conviene empezar a estudiar las diferentes soluciones europeas, o RGPD friendly, que hay en el mercado para evitar sustos con la protección de datos.

VI.- Referencias

Legales

Para elaborar el artículo se han utilizado las siguientes referencias legales:

  • Reglamento 2016/679 del PE y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
  • Acuerdo de Escudo de Privacidad. Decisión 2016/1250/CE, de 12 de julio de 2016 de la Comisión Europea por la que se crea el Escudo de privacidad.
  • Acuerdo de Puerto Seguro. Decisión 2000/520/CE de la Comisión Europea por el que se declara el nivel adecuado en protección de datos del Puerto Seguro.
  • S. Code.

Jurisprudenciales

Para elaborar el artículo se han utilizado las siguientes referencias jurisprudenciales:

  • Sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-362/14 (Schrems I).
  • Sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-311/18 (Schrems II).
  • Resolución de la autoridad de protección de datos en Austria (DSB): https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf (desgraciadamente, el texto está en alemán, y debe ser traducido al inglés para acceder a un texto con una comprensión razonable).

Recursos electrónicos

Pablo García-Girón Pérez 

 

9 de marzo de 2022


[1] Puede consultarse aquí : https://noyb.eu/en/101-complaints-eu-us-transfers-filed

[2] Concretamente, el artículo 1881(a)(“FISA 702”) del U.S. Code, que pue de consultarse aquí: https://www.law.cornell.edu/uscode/text/50/1881a

[3] Se puede consultar la resolución austriaca, en su traducción al inglés, en el apartado D.2 Rulling point 2.a)b) Identification numbers as “personal data” y siguientes apartados.

[4] Puede consultarse el artículo en https://jorgegarciaherrero.com/google-analytics-es-ilegal/


Pablo garcia giron perez
Pablo García-Girón Pérez 

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.

Deja un comentario

A %d blogueros les gusta esto: