El marco legal que existe en torno a la legislación y posibilidades de las nuevas aplicaciones y herramientas tecnológicas afecta con equidad a todas las empresas de la Comunidad Europea, con independencia del tamaño de éstas. Si hace unos días vimos como el propio Parlamento Europeo había sido objeto de sanción por el uso realizado de sus cookies, ahora es turno de Google. Concretamente, de Google Analytics.
El equivalente a la Agencia Española de Protección de Datos, conocido como Autoridad de Protección de Datos de Austria, ha fallado recientemente que el uso continuado de Google Analytics incumple de manera directa la legislación existente en torno a la GDPR.
Decisión Scherms II
Pese a que este ha sido el primer fallo de las más de 100 quejas que una ONG australiana ha presentado en relación a la medida Scherms II, seguro que va a ser uno de los más sonados. De acuerdo a la información publicada, se ha afirmado que el uso de proveedores de Estados Unidos que analizan el comportamiento de los usuarios y los datos que se desprenden de sus puntos de contacto, se estima que se incumple la GDPR como consecuencia de que las empresas estadounidenses sí que están obligadas por ley a compartir sus contenidos y datos con las autoridades del país. Por lo tanto, estos mismos organismos pueden acceder en la actualidad a los datos de los usuarios europeos.
La decisión ha puesto en alerta el conjunto de aplicaciones y de herramientas que tienen su origen en Estados Unidos. Y que, por ende, personas que se encuentren en el continente americano tienen acceso a los datos de los europeos. Sin embargo, destaca que una herramienta del tamaño de Google Analytics se vea sometida a un escenario de dimensiones tan complejas como ante el que nos encontramos, con la cantidad de herramientas de protección de la dirección IP que existen.
Datos personales de los usuarios
El fallo ha destacado que la función de hacer anónima la IP no se ha implementado de manera correcta en Google Analytics, devolviendo una gran cantidad de datos a todos los usuarios. «Los servicios de inteligencia de Estados Unidos usan ciertos identificadores online (como la dirección IP o números de identificación únicos) como punto de partida para la vigilancia de las personas«, han afirmado en la declaración. En el caso de que no se tomen las pedidas oportunas para minimizar el filtrado de información, es posible que surjan determinados problemas relacionados con esta cuestión.
Se estima que el GDPR prevé sanciones que alcanzan los 20 millones de euros o el 4% de la facturación global en casos que han sido similares. Sin embargo, no existe todavía una decisión en firme sobre esta cuestión.
Max Scherms, director de Noyb, la ONG que ha liderado la denuncia, afirma que el problema se encuentra en que «en lugar de adaptar sus servicios para que cumplan con la GDPR, las empresas estadounidenses simplemente han intentado agregar más texto a sus políticas de privacidad e ignoran al Tribunal de Justicia. Muchas empresas han seguido el ejemplo en lugar de cambiar a opciones legales«.
¿Cuál ha sido la postura de Google al respecto?
Google no ha tardado, como no podía ser de otro modo, en dictar su respuesta al caso en cuestión. Para ello, se ha servido de los siguientes argumentos que permiten poder continuar defendiendo la operativa de Google Analytics a lo largo del mundo:
- Google Analytics no rastrea a los perfiles concretos. Tampoco a los usuarios. Únicamente se debe utilizar para comprender cómo las compañías utilizan sus sitios y aplicaciones.
- Son las propias organizaciones las que deben controlar los datos que reopilan a través de esta herramienta.
- Analytics también ayuda a los propios usuarios a controlar sus datos.
- Google Analytics no se puede utilizar para segmentar los anuncios que se muestran a los usuarios.
Pese a que todavía no existe una resolución definitiva. Todo parece indicar que Google, a través de Analytcs, se enfrenta a uno de los momentos más desafiantes de su historia.
