La autoridad de protección de datos de Austria (Datenschutzbehörde) dictaminó que el uso de Google Analytics viola el Reglamento General de Protección de Datos (GDPR) en una decisión emitida el 13 de enero de 2022. Encontró que al transferir datos personales a los Estados Unidos, esta herramienta viola la sentencia Schrems II que invalidó el Privacy Shield. Este texto facilitó los flujos de datos a través del Atlántico al reconocer que la ley estadounidense ofrecía garantías equivalentes a la ley europea.

Por iniciativa de Noyb
Es una vez más la asociación Noyb la que toma la iniciativa de este procedimiento. Tras la sentencia del Tribunal de Justicia de la Unión Europea, había presentado 101 denuncias ante las autoridades de protección de datos de 30 Estados de la Unión Europea y el Espacio Económico Europeo (EEE). Esto afectó a empresas europeas que transmitían datos personales a Google y Facebook. estas dos empresasadmiten que transfieren datos de europeos a Estados Unidos para su tratamiento (…) Sin embargo, ni Google Analytics ni Facebook Connect son imprescindibles para el funcionamiento de estas páginas web“, explicó Max Schrems, el presidente honorario de Noyb, en ese momento.

En una carta fechada el 9 de abril de 2021, Google explicó que «medidas técnicas y organizativas» se habían tomado para proteger los datos personales de los europeos. Prometió, por ejemplo, evaluar cada solicitud del gobierno para acceder a los datos por parte de un equipo especializado, notificar la solicitud al usuario en cuestión… Sin embargo, la autoridad austriaca duda de que estas medidas son suficientes para evitar que las autoridades estadounidenses accedan a los datos personales de los europeos.

Para Max Schrems, la conclusión es clara: «las empresas ya no pueden utilizar los servicios en la nube de EE. UU. en Europa. Ya ha pasado un año y medio desde que el Tribunal de Justicia lo confirmó, por lo que es hora de que se aplique la ley.«.

¿Hacia una prohibición total de Google Analytics?
La decisión de la autoridad austriaca ya está teniendo consecuencias. La Autoridad Holandesa de Protección de Datos (Autoriteit Persoonsgegevens) ha colocado una nueva advertencia en la página con respecto al funcionamiento de Google Analytics. Es una especie de manual para configurar la herramienta para cumplir con la legislación de protección de datos. «Es posible que pronto ya no se permita el uso de Google Analytics“, podemos leer desde el 13 de enero de 2022 en reacción a la decisión de la autoridad austriaca.


001206752 illustration large


La AP también realiza su propia encuesta sobre el uso de Google Analytics. Sus conclusiones deberían publicarse a principios de año y permitirán saber si la herramienta cumple o no con el RGPD.

Google se defiende
Para defenderse, Russel Ketchum, jefe de producto de Google, escribió una entrada de blog en la que recuerda las ventajas de Google Analytics. “Las organizaciones usan Google Analytics porque eligen hacerlo. Ellos, no Google, controlan qué datos se recopilan y cómo se utilizan”. él se defiende.

El Parlamento Europeo también fue señalado esta semana por el Supervisor Europeo de Protección de Datos (EDPS) por su mal manejo de datos personales. Lo que preocupaba era el uso de cookies asociadas con Google Analytics y Stripe. Al ser dos empresas estadounidenses, los datos recopilados se envían a los Estados Unidos. Sin embargo, el SEPD consideró que el Parlamento no había demostrado que hubiera aplicado las garantías necesarias para garantizar que las transferencias de datos a los Estados Unidos cumplen plenamente la decisión Schrems II.

Varias opciones sobre la mesa
¿Es este el fin de Google Analytics? Según Noyb, hay dos opciones posibles: «o Estados Unidos adapta protecciones básicas para personas extranjeras para respaldar su industria tecnológica, o los proveedores estadounidenses alojan los datos de usuarios no estadounidenses fuera de Estados Unidos.«. El problema es que, incluso alojados en Europa, los datos pueden ser reclamados por las autoridades estadounidenses en virtud de la Ley de la Nube. Lo que importa no es la geolocalización de la información sino la nacionalidad de la empresa que la aloja.

Una tercera opción parece posible: que Google modifique la configuración de privacidad de su herramienta de análisis de tráfico para cumplir con los requisitos de los reguladores europeos. Esta sería la forma más fácil. Porque, como recordatorio, la gran mayoría de los sitios utilizan Google Analytics para medir su audiencia, identificar las partes con mejor desempeño y las páginas más visitadas.

El fin de las herramientas colaborativas americanas en las universidades
¿Qué pasa con todas las demás herramientas ofrecidas por las empresas estadounidenses y ampliamente adoptadas por los jugadores europeos? Sobre este tema, la Comisión Nacional de Informática y Libertades (CNIL) declaró el pasado mes de mayo que era necesario encontrar alternativas a las herramientas colaborativas que publican las empresas estadounidenses en la educación superior y la investigación. «En algunos casos, las transferencias de datos personales a los Estados Unidos en el contexto del uso de ‘suites colaborativas para la educación’“Puede ocurrir, escribió. Sin embargo, los datos procesados ​​por estos establecimientos conciernen a un gran número de usuarios (estudiantes, investigadores, docentes, personal administrativo).

El director interministerial de digital (Dnium), Nadi Bou Hanna, publicó una circular el 15 de septiembre de 2021 afirmando que la oferta de Microsoft 365 (anteriormente Office 365) no era «compatible con la doctrina de la nube en el centro«. Esto requiere que los ministerios y las administraciones usen solo nubes seguras que sean inmunes a las regulaciones fuera de la UE. En su lugar, los ministerios deben usar la solución de nube interna del estado o una oferta que haya recibido la etiqueta «SecNumCloudemitido por la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi). En la actualidad, solo tres empresas, Oodrive, 3DS Outscale, OVHcloud, han recibido este preciado sésamo para algunas de sus actividades.

Ofertas híbridas, ¿la mejor salida?
En Francia, se podría encontrar una salida con futuras soluciones híbridas que permitan a las empresas francesas distribuir soluciones ofrecidas por empresas extranjeras bajo licencia. Así anunciaron Thales y Google Cloud su cooperación, siguiendo los pasos de Microsoft, Orange y Capgemini. Estas ofertas aún no existen en la actualidad. Cédric O, el Secretario de Estado para la transición digital y las comunicaciones electrónicas no había ocultado la complejidad de esta cuestión tanto técnica como jurídicamente. «Pero nuestra voluntad es proteger a los franceses.“, concluyó finalmente durante su entrevista con L’Usine Digitale.