En las últimas semanas son muchas las preguntas e inquietudes que nos llegan sobre las noticias referentes a Google Analytics y su incumplimiento de la GDPR en Austria y Francia. Ampliando el artículo de nuestra compañera Irene Sesmero semanas atrás, vamos a intentar ampliarte la información, ahora que puedes encontrarte en un proceso de implementación de GA4 y dudas si continuar o detenerlo.
Comencemos por recordar los principales protagonistas de esta historia:
- Autoridad de Protección de Datos de Austria («Datenschutzbehörde» o «DSB»).
- La Commission Nationale de Línformatique et des Libertés o CNIL, el organismo de protección de datos francés.
- Tribunal de Justicia de la Unión Europea (TJUE) y su presidenta Ursula von der Leyen.
- Google.
- Gobierno Americano (Joe Biden) y su Agencia de Inteligencia (CIA).
Una vez tenemos localizados a todos players recordemos cuál ha sido el desencadenante del problema.
Tanto el TJUE en 2020 como el DSB austriaco recientemente, han fallado en sus sentencias en que el uso continuado de Google Analytics incumple con la GDPR en el momento en el que los servidores de Google que procesan toda la data se encuentran situados en EEUU, por lo que se necesita de un flujo de datos trasatlántico y si estos datos están siendo procesados allí entra en juego la Ley Americana que dice que toda empresa americana está obligada a compartir contenidos con las autoridades.
El TJUE invalida el acuerdo del Escudo de Privacidad que se firmó en 2016 entre ambas partes EEUU <> UE, al estarse gestionando los datos de los usuarios europeos desde los Estados Unidos de forma inadecuada ya que tanto el Escudo de Privacidad como la GDPR dicen claramente:
- El consentimiento, además de inequívoco, ha de ser explícito en el caso de tratamiento de: datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.
- Restricción de las transferencias internacionales de datos: La transferencia de datos a un país fuera de la UE está limitada a aquellos países que ofrezcan una protección de datos adecuada.
¿Cuál es el problema realmente?
DBS encontró que los datos procesados por servidores de Google en EEUU y que por ende compartidos con en Gobierno americano y la CIA incluían información de usuarios con posibilidad de identificar a un visitante de un sitio web, por vía de la dirección IP que se enviaba.
‘’ Los servicios de inteligencia de Estados Unidos usan ciertos identificadores online (como la dirección IP o números de identificación únicos) como punto de partida para la vigilancia de las personas’’
En Google Analytics la función de anonimización de la dirección IP no se había implementado correctamente en un sitio web, pero que independientemente a este problema técnico, estos datos de IP incluían otros datos personales del usuario que lo hacían potencialmente identificable.
Muy importante, como ha comentado Google, este hecho ha sido puntual en una única web que ya se ha corregido.
¿En qué se sumó CNIL francés?
El Organismo francés CNIL se sumó el pasado mes de febrero a la misma sentencia que su homólogo austriaco, considerando ilegal el uso de Google Analytics en la UE: señala que los datos de los usuarios de Internet se transfieren a los Estados Unidos en violación de los artículos 44 y siguientes del RGPD. Llegando más haya con esta sentencia que es la que ha ocasionado realmente el revuelo:
‘’se exige que los administradores web franceses cumplan con el RGPD y de ser necesario, dejen de utilizar esta herramienta en las condiciones actuales’’
Y calificó las primeras medidas tomadas por Google como insuficientes:
‘’…estas no son suficientes para excluir la posibilidad de que los servicios de inteligencia estadounidenses accedan a estos datos’’.
¿Qué son datos personales?
Para no extender más el artículo te dejamos el link para que puedas ver qué son datos personales según la Comisión Europea, donde podrás ver que la cookie de usuario, así como la IP, si no están anonimizados no se pueden guardar y por ende compartir.
¿Qué dijo Google al respecto? ¿Y qué puedo hacer yo en mi radio de acción?
Con el fin de facilitarte en un solo sitio toda la información oficial te dejamos la respuesta oficial de Google:
Además de ello Google vuelve a recordar a los editores webs la disponibilidad y la responsabilidad de pasar todos los controles de privacidad de Google Analytics, especialmente en aquellas empresas que deben cumplir con al GDPR europea.
Por lo tanto, si eres o no cliente de Making Science te recomendamos que le eches un vistazo y lo compartas con tus web-masters para estar adaptado y poder dormir tranquilo. Respecto a una de las más importantes, la anonimización de la IP, en las propiedades GA4, está ya habilitada de forma predeterminada. Por eso te comentamos que GA4 es GDPR compliance y solo tienes que tener las etiquetas de Google Analytics antiguas adaptadas.
¿Dónde podemos ver el intento real de solucionar el problema y que no pase absolutamente nada?
La respuesta es la que adelantó nuestra compañera Irene en su artículo a finales del mes de marzo, donde resaltaba la reunión de Joe Biden -presidente de los EEUU- y Ursula von der Leyen -presidenta del TJUE- en Bruselas, firmando un acuerdo que permita el flujo de datos predecible y fiables entre Estados Unidos y la Unión Europea que salvaguarde la privacidad y la libertad civil.
Hay que destacar dos aspectos importantes que mencionaron ambos en sus interlocuciones, el dinero que hay detrás del acuerdo y la adaptación a los nuevos tiempos:
- «El marco subraya nuestro compromiso compartido con la privacidad, la protección de datos y el estado de derecho» y permitiría a las autoridades de la Unión Europea autorizar una vez más los flujos de datos transatlánticos que ayudan a facilitar 7,1 billones de dólares en relaciones económicas con la UE»
- ‘’Estados Unidos y la Unión Europea deben seguir adaptándose en un mundo cambiante, especialmente en lo que respecta a la protección de los datos personales y la privacidad’’
Esta solución puede pasar por dos puntos:
- Que el gobierno de EEUU adapte la compartición de según que datos con su Servicio de Inteligencia.
- Que las grandes empresas americanas (Google, Apple y Meta) que procesan datos con transferencias internacionales tengan servidores en Europa como cortafuegos a los Servicios de Inteligencia americanos.
Comentado lo anterior, puedes quedarte tranquilo y puedes seguir usando Google Analytics, pero recuerda no envíes a GA datos personales y anonimiza la IP en tus propiedades que no sean GA4. Si todavía tienes alguna duda contacta con nosotros aquí, estaremos encantados de ayudarte.