¿Infringe Google Analytics el RGPD? Estado actual de la controversia y proveedores alternativos

En los últimos tiempos, hemos asistido varios pronunciamientos de las autoridades europeas de protección de datos en los cuales se cuestiona el cumplimiento del Reglamento General de Protección de Datos (en adelante “RGPD”), por parte de la herramienta Google Analytics. Los distintos pronunciamientos traen causa en la decisión concerniente al caso <<Schrems II>>, por el cual el TJUE invalidó el “Privacy Shield”, como garante de protección en la realización de transferencias internacionales a EE.UU.

En las siguientes líneas se analizará el estado actual de la controversia a raíz de los diferentes pronunciamientos. 

Decisión del Supervisor Europeo de Protección de Datos

El pasado 5 de enero, el Supervisor Europeo de Protección de Datos (en adelante, EDPS), emitió una decisión por la cual se declaraba que el Parlamento Europeo había infringido el RGPD a través de su página web de pruebas COVID:  http://europarl.ecocare.center .

La decisión del EDPS tiene como origen una reclamación interpuesta por la asociación liderada por el activista austriaco Max Schrems, Noyb; entidad que, a través de la utilización del software “webbkoll” de la organización danesa sin ánimo de lucro Dataskydd, se encontraba en disposición de demostrar la utilización de cookies de Google Analytics y de Stripe en el sitio web analizado, y por consiguiente, la realización de transferencias internacionales de datos a terceros países que no ofrecen un nivel de protección equivalente al de los estados de la Unión (en este caso, EE.UU.)

En la reclamación interpuesta, Noyb destaca que la información otorgada a los usuarios a través de los banners de cookies utilizados era confusa, cambiando en función de la lengua utilizada, y utilizando una definición ambigua respecto a qué se consideraba como cookie esencial. 

El EDPS constata que, a través de la utilización de las cookies de Stripe y de Google Analytics, el Parlamento Europeo estaba realizando transferencias internacionales a EE.UU. Adicionalmente, en sus valoraciones, el EDPS constató que, a pesar de indicar en su web que las citadas transferencias se estaban realizando mediante la utilización de clausulas tipo (en adelante, SCC), tras “Schrems II”, los responsables de tratamiento han de garantizar que se mantiene un nivel de protección equivalente al que establece el RGPD, mediante la aplicación de medidas adicionales; medidas adicionales no demostradas por el Parlamento en sus alegaciones. Por consiguiente, el EDPS considera que el Parlamento no cumplió los requisitos del artículo 46 y del artículo 48, apartado 2, letra b), del RGPD para la realización de transferencias internacionales. 

En lo referente a los banners de cookies utilizados, el EDPS declara que los mismos debían hacer referencia a los tipos de información a la que se accede o se almacena a través de las cookies, así como los fines de dicho acceso o almacenamiento, y que la información transmitida a través del banner debía ser idéntica en todas las versiones lingüísticas. Destaca que se debía haber ofrecido a los usuarios la opción de consentir o no el tratamiento de estas cookies no esenciales (en este caso, analíticas), no debiendo depender el acceso a los servicios y funcionalidades del sitio web de la prestación del citado consentimiento. 

Asimismo, destaca que, en caso de que los datos personales recogidos a través de las cookies se compartan con terceros, como ocurre en este caso con los proveedores de cookies, ha de informarse a los usuarios de este hecho. Por todo ello, el EDPS concluye que los banners utilizados no se ajustan a la definición de consentimiento del artículo 5 de la Directiva ePrivacy y que, además, los citados banners no otorgaban información transparente sobre el tratamiento de datos, incumpliéndose el artículo 14 del RGPD. 

Si bien la decisión constituye un gran hito en materia de privacidad, ha de destacarse que la sanción impuesta toma la forma de requerimiento. No obstante, se trata de la primera decisión que cuestiona la legalidad de las transferencias internacionales realizadas por la utilización de Google Analytics.  

Decisión de la DPA Austriaca

Posteriormente a la decisión del EDPS, si bien la resolución data del 22 de diciembre de 2021, hemos podido tener acceso a la primera resolución al respecto por parte de una autoridad de control nacional, en este caso la autoridad austriaca ("Datenschutzbehörde", en adelante DPA austriaca). La misma trae origen en las 101 reclamaciones modelos presentadas por Noyb a raíz de la decisión de "Schrems II”.

En este caso, la reclamación fue presentada ante el proveedor de una web que utilizaba Google Analytics (siendo este responsable de tratamiento y asimismo, exportador de datos) y ante Google LLC (en su condición de encargado de tratamiento e importador de datos a efectos de transferencias). 

Los reclamantes alegaron que ambas partes estaban violando los arts. 44 y ss. del RGPD a la luz de lo declarado en Schrems II, ya que Google LLC se trata de un proveedor de servicios de comunicaciones electrónicas (en virtud del título 50, artículo 1881, letra b), apartado 4, del USC) y, por lo tanto, se encuentra sujeto a las leyes de vigilancia estadounidenses (entre ellas, la  Foreign Intelligence Surveillance Act, FISA).

Google LLC, en su defensa, argumentó que había implementado las medidas adicionales exigidas tras “Schrems II”. Entre las mismas, Google alegó que trata datos seudonimizados, alegación rechazada por la autoridad de control ya que las ID utilizadas para los usuarios los “hacen distinguibles y direcciables”. En este sentido, la DPA austriaca destaca que la ID de Google Analytics se combina con otros elementos como la cuenta de Google del usuario, por lo que la anonimización de la IP se considera irrelevante.  Por todo ello, se concluye que las citadas medidas adicionales no son efectivas frente a la legislación de vigilancia estadounidense. 

Sin embargo, la DPA austriaca se adhiere al otro argumento esgrimido por Google LLC y, efectivamente, declara que el Capítulo V sólo impone deberes legales a los exportadores de datos (en este caso, el responsable de la web). No obstante, la autoridad declara que llevará a cabo una investigación de oficio respecto a los posibles incumplimientos de Google del artículo 5 y ss. del RGPD en relación con sus deberes como encargado de tratamiento (arts. 28.3 y 29 RGPD). 

En cambio, la DPA austriaca confirma la infracción cometida por el responsable de la web, por haber transmitido datos a una entidad sujeta a vigilancia por parte de los servicios de inteligencia de EE. UU, siendo cualquier salvaguarda adicional insuficiente. 

Conclusión

A la vista de los acontecimientos recientes, parece complicado encontrar una garantía aplicable a las transferencias internacionales realizadas por el uso de Google Analytics ya que, como se ha expuesto, no parece que existan medidas adicionales que impidan que los servicios de inteligencia estadounidenses puedan acceder a los datos personales transmitidos. 

Por todo ello, quisiéramos exponer algunas alternativas europeas a la herramienta de Google Analytics:

• Statcounter: proveedor ubicado en Irlanda. 
• Plausible: proveedor ubicado en Estonia. 
• Splitbee: proveedor ubicado en Austria.
• Smartlook: proveedor ubicado en la República Checa.
• Hotjar: proveedor ubicado en Malta. 
• Etracker: proveedor ubicado en Alemania.
• Panelbear: proveedor ubicado en Alemania.
• Pirsch: proveedor ubicado en Alemania.
• Piwik PRO: proveedor ubicado en Polonia.
• Wide Angle Anlytics: proveedor ubicado en Alemania.
• Stormly: proveedor ubicado en Países Bajos.
• Simple Anlytics: proveedor ubicado en Países Bajos. 
• Jentis: proveedor ubicado en Austria. 

Carlos Cuesta Hernández. Senior Privacy Counsel, Legal Army