Transferencias Internacionales de Datos y Google Analytics

Como ya adelantamos en nuestra anterior publicación, Google Analytics es un conjunto de cookies que recaban información sobre distintas acciones en el navegador de los usuarios, esta información es enviada a los distintos almacenamientos de Google, realizando transferencias internacionales de datos para su servicio.

Al enviar estos datos a almacenamientos ubicados en distintos lugares del planeta plantea situaciones que a efectos de la normativa de protección de datos se considerarían transferencias internacionales de datos.

A través de este artículo, trataremos de exponer cómo afecta a nuestra entidad la actualidad en materia de transferencias internacionales de datos y esta herramienta de Google.

Pero, antes de nada, es conveniente tener claro…

¿Qué son las transferencias internacionales de datos?

A efectos de la normativa de protección de datos, son transferencias internacionales de datos, los envíos de datos personales que se realizan desde la Unión Europea e Islandia, Liechtenstein y Noruega a otros terceros países donde no opera el Reglamento General de Protección de Datos, (en adelante, RGPD).

Para más información acerca de los países que tienen un nivel de adecuación al RGPD, echa un vistazo al siguiente enlace: Acceder al listado

En principio, y según lo dicho, si enviásemos cualquier dato personal a otro lugar de los mencionados anteriormente, se estaría produciendo una transferencia internacional de datos. Para que esta se hiciese lícitamente, debería estar amparada en alguno de los supuestos a continuación expuestos:

País con nivel de adecuación:

Existen una serie de países que son considerados por la Comisión Europea como adecuados al tener un nivel de protección similar a la normativa europea.

Si la transfeencia datos se da a otro país que no es declarado como adecuado por la Comisión Europea, contamos con las siguientes alternativas:

Garantías adecuadas

Que el país receptor de los datos tenga un instrumento jurídico que permita exigir los derechos de los interesados, o se den alguna de las situaciones a continuación expuestas.

En 2016, se aprobó un documento entre EEUU y la UE denominado “Privacy Shield”, que habilitaba las transferencias de datos entre ambos. Tras una pugna judicial, este acuerdo se deshabilitó, convirtiendo en ilegítimas estas transferencias de datos.

Normas corporativas vinculantes

Cuando hablamos de Normas Coporativas Vinculantes, o Binding Coporate Rules, nos referimos a políticas que elabora una entidad que actúa como responsable del tratamiento de los datos personales tratados.

Es un supuesto en el que una entidad que actúa en diversos países se compromete a aplicar un marco de garantías para los interesados en los países a los que se enviarán estos datos Esta habilitación para transferir datos, requiere del reconocimiento previo por las autoridades competentes.

Cláusulas contractuales tipo

Son una serie de cláusulas aprobadas por la Comisión Europea para garantizar los derechos de los interesados.

La herramienta estadounidense apostó por incluir Cláusulas Contractuales Tipo a la hora de transferir los datos obtenidos a través de las mediciones y publicidad que realiza para los prestadores de servicio.

Sin embargo, el EDPS (European Data Protection Supervisor) se pronunció para recordar que tras la anulación del acuerdo entre EEUU y la UE, las Cláusulas Contractuales Tipo ya no son suficientes para garantizar la seguridad de los datos transferidos.

Adoptar medidas complementarias

Dichas medidas deben garantizar que la legislación del país receptor de los datos personales no afecta a la protección de estos.

Consentimiento expreso del interesado

Requiere un consentimiento específico, con información adecuada a la normativa. A priori la mayoría de los consentimientos que se solicitan para aceptar las cookies, no estarían reuniendo los requisitos necesarios para habilitar una transferencia internacional de datos, una de las razones, es que no se informa sobre las consecuencias de la pérdida de control sobre los datos del usuario.

Ejecución de un contrato entre el interesado y el responsable del tratamiento

Para este supuesto, sólo se podrían enviar los datos necesarios para que se pueda completar lo establecido en el contrato, no podrían utilizarse los datos para otras finalidades que las expuestas en el mismo.

Que sea necesaria por razones de interés público

Las cookies de Google, no tienen una finalidad pública, sino un análisis del comportamiento de los usuarios para fines privados del responsable del tratamiento, es por ello que esta opción no permitiría la validación de la transferencia.

Que sea necesaria para formular, ejercitar o defenderse ante una reclamación

Este supuesto está pensado exclusivamente para que el interesado vea garantizado un derecho que ve que se le ha conculcado y para poder cumplir con su petición es estrictamente necesario, llevar a cabo la transferencia.

Transferencia realizada desde un registro público

Este caso está exclusivamente pensado para casos en los que en base al derecho de la UE y que tengan por finalidad facilitar información al público y esté abierto a consulta general o de cualquier persona que acredite un interés legítimo.

La problemática de transferir datos a EEUU.

Cómo hemos visto, la mayoría de las justificaciones que permiten una transferencia internacional de datos a los distintos almacenamientos de Google (radicados muchos de ellos en países sin nivel de adecuación o en el que se aplique el RGPD). Como respuesta a este problema, Google Analytics emitió un comunicado el pasado 4 de febrero de 2022, en el que se comprometía que además de las medidas cumplimentarías que ofrece a sus clientes, añadirá una serie de controles adicionales que permitan que los clientes personalicen los datos analíticos que recogen, para así continuar usando Google Analytics. Algunos de estos controles son:

¿Qué deben de hacer las empresas que usan Google Analytics?

En materia de transferencias, Google Analytics no cumple con la normativa vigente (11/04/2022). La utilización de las Cláusulas Contractuales Tipo no resulta medio suficiente para garantizar los derechos de los usuarios en la transferencia. Es preciso que se realice una evaluación en la que se tengan en cuenta todas las circunstancias, así como las medidas complementarias que se aplican.

Utilizar Google Analytics requiere de un consentimiento bastante específico por parte del usuario. Actualmente las webs que utilizan esta herramienta y que hemos analizado, no cumplen con los requisitos específicos para este consentimiento.

En resumen, de no contar con las garantías adecuadas, se ha de cesar el uso de esta herramienta, y buscar otras alternativas que explicaremos en el siguiente artículo.