Google se está viendo cercado en Europa por la protección de datos personales.
La reciente decisión de la Autoridad de Control de Austria sobre Google Analytics puede ser una de las decisiones más importantes en materia de privacidad desde la sentencia Schrems II. Y es que, según la institución austriaca, las transferencias de datos a EEUU que realiza dicho servicio violan la norma europea de privacidad, porque podrían estar sujetos al control gubernamental. Por tanto, cuando este posible acceso a los datos resulte relevante no deberían de realizarse y podrían dar lugar a sanciones.
Esta decisión responde a un procedimiento iniciado por una queja interpuesta por la organización Non On Your Business (NOYB) del activista Max Schrems. Y forma parte de una serie de acciones realizadas tras la declaración de invalidez del Privacy Shield como mecanismo de salvaguarda que garantizaba los derechos en las transferencias internacionales de datos personales a EEUU.
El problema con Google Analytics y las Transferencias Internacionales de datos personales
En este país, la normativa FISA y la orden 12.333 permiten que el gobierno, cuando considere que existe interés para el estado, acceda a los datos de personas físicas que tienen las organizaciones. Por ejemplo, en el caso del Parlamento Europeo, Stripe y Google Analytics, la autoridad estadounidense podría ordenar a las compañías implicadas que le faciliten la información personal almacenada sobre los europarlamentarios y personal de apoyo.
Esto es muy relevante, especialmente porque Google Analytics es utilizado prácticamente en todo el mundo. Por tanto, el gobierno estadounidense podría acceder a datos almacenados de prácticamente cualquier persona en el mundo.
Mientras tanto, en ausencia del Privacy Shield, en Europa se vienen utilizando cláusulas contractuales tipo para dotar de garantías a las transferencias internacionales de datos. Con ellas se trata de garantizar que existen medidas técnicas adecuadas y organizativas que garantizan que no se vulnere la protección de datos. Sin embargo, esto es insuficiente para las normas estadounidenses ya citadas. Porque independientemente de la protección del cifrado, backups, controles de acceso físico u otros, si la autoridad ordena la entrega de la información difícilmente habrá impedimento.
Las alternativas y soluciones al problema de Google Analytics
Por ello, según NOYB, las empresas europeas tienen dos posibilidades. Primero, optar por soluciones distintas a Google Analytics (u otras empresas similares de EEUU) de la Unión Europea u otros países con una decisión de adecuación vigente. O, segundo, que estas compañías comiencen a generar filiales en la Unión Europea o en otros países con normativa equivalente y almacenar los datos exclusivamente allí, estableciendo garantías suficientes para evitar que la matriz pueda acceder a los datos en caso de reclamación gubernamental.
Actualmente, los abogados de protección de datos generalmente recomendamos eludir todas las plataformas digitales con sede en EEUU. Salvo que se vayan a utilizar para datos de carácter público, como la publicación de noticias, de manera que el posible acceso gubernamental al contenido resulte irrelevante.
Pero, ¿por qué encontrar una solución operativa es tan importante para las empresas que operan en el Espacio Económico Europeo? Por un lado, porque Google Analytics es la principal herramienta para la analítica de datos personales en la web. Y, por otro, porque lo más probable es que esta decisión produzca un efecto en cadena, con diversas autoridades de control posicionándose al fin tras la sentencia Schrems II sobre la problemática de la transferencia de datos internacionales a EEUU.
Un cambio progresivo hacia una mayor restricción de las Transferencias Internacionales de Datos
Así, podemos ver que ya se están dando las primeras resoluciones en las que se indica que no pueden realizarse transferencias internacionales de datos a EEUU. Es de esperar que las distintas autoridades de control poco a poco vayan decidiendo imponer sanciones a aquellos que exportan datos a estas compañías.
Por esta razón, si se está decidiendo entre un proveedor europeo o uno americano para servicios de tratamientos de datos personales la recomendación es no optar por la solución de EEUU. Recordemos que los datos pueden ser relevantes para la protección per se (como aquellos considerados sensibles), por su carácter masivo o su tipo de datos.
Veremos qué sucede en el futuro, puesto que Google Analytics todavía no ha establecido una solución para su analítica de datos. Sus salvaguardas se reducen, de acuerdo a su propia información, a medidas técnicas y organizativas como el cifrado, la defensa física de los medios de almacenamiento, etcétera. Estas medidas no tienen ninguna relevancia para el caso de reclamación gubernamental de acceso.
Lo más probable es que en corto plazo deba crear filiales en la Unión Europea para la prestación de sus servicios. Si no lo hacen, los prestadores de servicios analíticos y de publicidad programática serán progresivamente desplazados por soluciones europeas o de países con estándares de privacidad tan elevados como los establecidos en el Reglamento General de Protección de Datos.