La sentencia del TJUE de 16 de Julio de 2020, C-311/18, más conocida como SCHREMS II, estableció que el acceso y tratamiento de datos personales en Estados Unidos no era conforme con los niveles y exigencias europeas de protección de datos e invalidaba el acuerdo de Privacy Shield que amparaba el flujo de datos entre los países del Espacio Económico Europeo (EEE) y Estados Unidos (EE.UU.).
A raíz de esta sentencia, la organización None Of Your Business (NOYB) interpuso 101 reclamaciones frente a las distintas autoridades de control europeas por el uso de las cookies de Google Analytics, argumentando que las empresas del EEE que hacen uso de esta herramienta están realizando transferencias internacionales de datos infringiendo lo dispuesto por la sentencia del TJUE.
De todas las reclamaciones presentadas por NOYB, la Agencia Española de Protección de Datos (AEPD) recibió 5 reclamaciones, siendo una de ellas la iniciada contra la compañía EREAMS.
En su reclamación NOYB alegaba que la reclamada hacía uso de Google Analytics lo que implicaba que se incrustasen en la página web www.edreams.es códigos por los que se recogieron datos personales (al menos, la dirección IP y "cookies") de la parte reclamante y fueron transferidos a Google LLC en los EE. UU.
Por tanto, solicitaba que se investigasen las transferencias internacionales de datos personales a EE. UU. y si se cumplía con lo dispuesto en el Reglamento General de Protección de Datos.
Tras su investigación, la AEPD considera que efectivamente se producen transferencias internacionales de datos infringiendo el art.44 del RGPD, y que EDREAMS vulneró la obligación de protección de los datos personales de la parte reclamante y del resto de usuarios que visitaron la web de EDREAMS, ya que no puede invocar ninguna de las herramientas previstas en el capítulo V del RGPD para justificar la citada transferencia.
Finalmente, la AEPD resuelve ordenando a EDREAMS a que en el plazo de 1 mes adapte la actividad del tratamiento de datos del servicio de Google Analytics a lo dispuesto en los artículos 44 y siguientes del RGPD y cese de la transferencia internacional de datos hasta que se acredite que el servicio de Google Analytics cumple con las citadas disposiciones del Reglamento, pero no fija una multa ni apercibimiento.