El pasado 15 de diciembre de 2022, la AEPD decidió pronunciarse sobre el uso de Google Analytics y las transferencias internacionales que este último realizaba a los EEUU en una reclamación de NOYBB contra la Real Academia Española (en adelante, RAE) y contra Google LLC, por supuestas transferencias internacionales de datos no consentidas por los usuarios del sitio web www.rae.es.
La parte reclamante, conocida por interponer 101 reclamaciones por hechos similares en varios países europeos, considera que el tratamiento de datos realizado por la RAE, y que ha sido transferido a Google LLC, ha sido objeto de una transferencia internacional infringiendo los artículos 44 a 49 del Reglamento General de Protección de Datos (RGPD).
La reclamación se sustenta fundamentalmente en que un responsable del tratamiento, en este caso la RAE, a través de su encargado de tratamiento, en este caso Google LLC, no debe permitir que se realicen dichas transferencias internacionales sin el consentimiento del usuario, ya que el Tribunal de Justicia de la Unión Europea, ya se pronunció en la decisión “EU-US Privacy Shield” fallo C-311/18 (Schrems II), en el sentido de que el responsable no puede basar la transferencia de datos (i) ni en una decisión de adecuación en virtud del artículo 45 del RGPD, (ii) ni en las cláusulas contractuales tipo, al no garantizar el tercer país de destino un nivel de protección adecuado acorde con la normativa europea.
La AEPD ha decidido proceder al archivo de las actuaciones al entender que “durante las actuaciones previas de investigación se ha constatado que la RAE, al poco tiempo de conocer Schrems II dejaron de utilizar la herramienta de Google Analytics. Además, RAE nunca ha utilizado información con la finalidad de que se pudiese identificar a los usuarios web”.
Una grata sorpresa para la RAE, que se libra de un tirón de orejas, aunque esta resolución a más de uno nos deja con sabor a poco, ya que no profundiza en si la actuación denunciada vulnera el fallo de la Sentencia Schrems II. Igual si no fuera un ente público, el caso cambiaría, como ha sucedido en otros países de la Unión Europea, donde las respectivas autoridades de protección de datos no han dejado de aprovechar la ocasión para dejar claro que el uso de Google Analytics, sin medidas adicionales, vulnera la normativa de protección de datos. Así, las autoridades austriaca, francesa, italiana y danesa que han entrado a valorar en profundidad la herramienta de Google Analytics para análisis web, coinciden en que, si la misma se encuentra siendo utilizada, se deben tomar medidas adicionales que estén en consonancia con el RGPD, como por ejemplo la seudominización (tratamiento de datos personales de manera tal que ya no pueden atribuirse a un interesado sin utilizar información adicional) o el cifrado (proceso de conversión de los datos personales legibles en ilegibles).
Aunque a priori pueda parecer que el uso de Google Analytics está prohibido, la realidad es muy distinta. Las autoridades que ya se han pronuncia sobre su utilización, no prohíben la misma, sino que simplemente establecen la necesidad de cumplir con unas medidas adicionales que estén en sintonía con el RGPD, ya que muchas veces, cuando estas medidas no se utilizan o se utilizan erróneamente, se rompen todos los principios reguladores de la normativa europea de protección de datos.
Las empresas que utilicen Google Analytics serán las responsables de demostrar que su uso no contradice lo estipulado por el RGPD, y para ello, ciertas autoridades recomiendan el uso de medidas adicionales de una forma que no comprometan la accesibilidad y protección de los datos personales.
Teniendo en cuenta los criterios mencionados anteriormente, una posible solución es el uso de un servidor proxy para evitar cualquier contacto directo entre el terminal del usuario de Internet y los servidores de la herramienta de análisis.
Un buen ejemplo de ello son las recomendaciones dadas por la autoridad francesa de protección de datos, que recomienda establecer un proxy inverso que permita la seudominización de los datos sin que las autoridades públicas del tercer país importador (caso concreto de EEUU) puedan atribuir los datos seudominizados a una persona identificable, ya sea solos o en combinación con información adicional[1].
Otra alternativa consiste en el cifrado de esos datos personales, pero este último debe ser eficaz, estando los códigos de cifrado en manos exclusivas del exportador de los datos o de un tercero dentro de la UE/EEE o tercer país seguro, de manera que una vez que se realiza la transferencia los datos ya están encriptados y para el país importador resulte imposible descifrarlos.
En definitiva, las empresas podrán seguir utilizando el servicio que prestan desde Google Analytics, siempre y cuando los responsables del tratamiento se aseguren de pactar medidas adicionales suficientes que permitan que las transferencias internacionales se realicen en consonancia con el RGPD.
[1] Medidas necesarias de la autoridad francesa de Protección de Datos para un correcto uso de Google Analytics https://www.cnil.fr/en/google-analytics-and-data-transfers-how-make-your-analytics-tool-compliant-gdpr