Cómo usar legalmente Google Analytics en Europa

¿Es Google Analytics ilegal en Europa? Esto es lo que sugieren decisiones y declaraciones recientes de algunas Autoridades Europeas de Protección de Datos. Según se explica en detalle en este artículo escrito por David Rosenthal para Vischer, se explica cómo y por qué Google Analytics puede usarse de conformidad con GDPR. Las decisiones reflejan una tendencia entre las autoridades de protección de datos hacia una visión fundamentalista y absolutista de la protección de datos, tratando de empujar GDPR a un rincón donde muchos dicen que no estaba destinado a estar.

Tras una serie de quejas presentadas por la organización sin ánimo de lucro noyb.eu en 2020 contra 101 sitios web del Espacio Económico Europeo (en adelante “EEE”) que utilizan Google Analytics o Facebook Connect, las autoridades de protección de datos de EEE han comenzado a emitir resoluciones contra los sitios web, declarando que el uso de Google Analytics no cumple con GDPR. La Autoridad de Protección de Datos de Austria fue la primera el 22 de diciembre de 2021, seguida de la Autoridad de Protección de Datos de Francia CNIL el 10 de febrero de 2022. Dado que el European Data Protection Board (en adelante “EDPB”) coordinó la reacción a las quejas de noyb.eu supuestamente con una respuesta modelo, se esperan más decisiones de "copia/pega" (puedes leer la extensa colección de enlaces de Kuan Hon sobre el tema o su artículo que resume las actividades de aplicación en el contexto más amplio de Schrems II).

Nota del autor: Hay que tener en cuenta que no el autor no ha estado involucrado en ninguno de los procedimientos discutidos aquí u otros procedimientos similares relacionados con Google Analytics. Este artículo refleja única y exclusivamente su opinión y no necesariamente la opinión de ningún cliente (ni siquiera de Google). Hay editores que han pedido a Vischer asesoramiento independiente sobre lo que deben hacer con respecto al uso de Google Analytics después de las decisiones mencionadas. En el artículo se analiza la situación y se presentan propuestas concretas. En este artículo queremos compartir esas opiniones y recomendaciones públicamente y se publica solo con fines informativos y para ser utilizados bajo el riesgo de cada lector.

Panorama General

Antes de profundizar, es necesario comprender el panorama general. Se ha hecho evidente que noyb.eu y muchas autoridades de protección de datos del EEE quieren obligar a los operadores de sitios web del EEE a cambiar a soluciones basadas en el EEE y, en cualquier caso, dejar de usar Google Analytics, independientemente de cómo se implemente. A nuestro juicio, sin embargo, el debate sobre la utilización de proveedores de servicios de propiedad estadounidense parece ser, ante todo, de carácter político. Si bien puede haber razones para avanzar en esa dirección, una discusión sobre la legalidad de servicios como Google Analytics o de otros proveedores con sede en los EE. UU. debe basarse en hechos y leyes. Tenemos la impresión de que este no siempre es el caso, e incluso las autoridades de protección de datos están participando hoy en lo que parece ser un mero "juego de poder" entre algunas partes en Europa y en los EE. UU. En conversaciones privadas, los representantes de las autoridades de protección de datos también admiten que no tienen ni idea de cómo tratar razonablemente con Schrems II.

Las decisiones de Google Analytics parecen caer en esta categoría. A muchos les preocupa que los principios establecidos en estas decisiones (y decisiones similares, como en el caso de Google Fonts) también se apliquen en otros casos. El intento de redefinir el término "datos personales" para que ya no requiera identificabilidad es un ejemplo. Si bien entendemos por qué algunas autoridades de protección de datos están presionando en esa dirección, creemos que “de lege lata” y “de lege ferenda” deben distinguirse claramente. Carey Lening (ex Facebook) describió recientemente la tendencia actual como un juego peligroso al que los reguladores están intentando jugando en Internet. Los que sufren hoy son las muchas empresas europeas y otras organizaciones que quieren implementar adecuadamente técnicas online de última generación, pero incluso teniendo buena voluntad no pueden entender la actitud y la posición de muchas autoridades de protección de datos del EEE. Temen encontrarse entre la espada y la pared y esperan poder permanecer bajo el radar hasta que el tema de las transferencias de datos internacionales se vuelva a tratar de manera más razonable. También existe la impresión de que hay cuestiones más importantes que tratar en la protección de datos que el riesgo, a menudo solo teórico, de que las autoridades de inteligencia de EE. UU. accedan a los datos de ofertas como Google Analytics. El riesgo sobre el ransomware y los ataques cibernéticos es tan solo un ejemplo.

El caso austriaco

La decisión austriaca fue la primera y la más detallada, por lo que nos centraremos en ella. La decisión se basa en la forma en que se ha implementado Google Analytics en el caso que nos ocupa. Esto es importante porque Google Analytics se puede implementar de varias formas, lo que tiene un impacto en su evaluación bajo la GDPR (y bajo la Ley de Protección de Datos de Suiza, que sigue los mismos conceptos con respecto a la transferencia de datos internacional). En el caso de Austria, noyb.eu eligió una implementación como objetivo que no utilizaba varias funciones disponibles para el cumplimiento de la protección de datos. En consecuencia, el hecho de que la autoridad haya encontrado que la implementación no cumple con los requisitos no significa que otras implementaciones de Google Analytics también lo hagan. Además, los hallazgos clave y los argumentos de la autoridad son, en nuestra opinión, incorrectos o al menos cuestionables. Los discutiremos más adelante.

En el caso austriaco, la autoridad encontró o asumió los siguientes preceptos (las referencias se refieren al documento completo de la decisión en alemán):

  • Se utilizó Google Analytics sin el consentimiento del usuario (p. 39);

  • El operador del sitio web era el controlador y Google el procesador (p. 32 y ss.);

  • El operador del sitio web tenía un contrato directamente con Google LLC, es decir, una empresa estadounidense (por lo tanto, el capítulo 5 de GPDR era directamente aplicable a la transferencia de datos internacionales) (C.6);

  • La transferencia de datos estaba salvaguardada por antiguas cláusulas contractuales estándar de la UE (C.6, p. 35);

  • La función de anonimización de IP no se había implementado correctamente y, por lo tanto, no funcionaba (C.7, C.9);

  • Aparentemente, la transferencia de datos ocurrió sin una evaluación previa del riesgo de acceso legal extranjero prohibido de conformidad con la Sección 702 FIA y EO 12.333 (según lo requerido por la decisión del TJCE del 16 de julio de 2020 – Schrems II); esto no se establece expresamente en la decisión, pero la autoridad encuentra que el editor del sitio web "continuó" usando Google Analytics incluso después de la decisión Schrems II, que introdujo por primera vez la obligación de realizar dichas evaluaciones de impacto de transferencia de datos internacionales (p. 32);

  • Cada vez que se accedía al sitio web, este enviaba a Google dos ID’s únicos, que la autoridad aparentemente creía que permitían a Google rastrear a los usuarios en diferentes sitios web; uno de sus argumentos de por qué una identificación única es información identificable fue que la intención de Google es utilizar Google Analytics para recopilar información sobre los usuarios de sitios web de tantos sitios web como sea posible, argumento que solo tiene sentido si se supone que las identificaciones de sitios web recopiladas por Google. Los análisis se pueden conectar en todos los sitios web, ampliando la singularidad de la "huella digital" del usuario, como señaló la autoridad (p. 29);

  • Google Signals (que discutiremos en detalle más adelante) no fue activado por el editor del sitio web (C.4);

  • Al menos un usuario del sitio web (es decir, el denunciante) inició sesión en su cuenta de Google mientras usaba el sitio web en cuestión (C.8);

  • Si un usuario inicia sesión en su cuenta de Google mientras usa el sitio web, Google puede vincular los datos de Google Analytics obtenidos del usuario con los datos de la cuenta de Google del usuario (C.10), y la autoridad aparentemente cree que Google vincula dichos datos con datos de Google Analytics una vez que el usuario activa la opción "Personalización de anuncios" en su cuenta de Google; de ​​lo contrario, dicha opción no tendría ningún sentido en opinión de la autoridad (p. 31, 39);

  • Los datos enviados a Google no se consideran pseudonimizados, porque se pueden individualizar personas (p. 38);

  • Google tiene posesión, custodia y control de los datos de Google Analytics en texto claro, porque técnicamente puede acceder a los datos en esa forma (p. 38);

  • El Informe de transparencia de Google indicó que se recibieron de 0 a 499 solicitudes en cualquier período relevante (C.6, p. 35);

  • Se produjeron solicitudes de acceso por parte de las autoridades de inteligencia de EE. UU. (p. 32, 35);

  • Las autoridades de inteligencia de los EE. UU. pueden rastrear al menos a algunos usuarios en función de sus identificaciones únicas o direcciones IP recopiladas a través de Google Analytics cuando navegan en Internet, en función de la información preexistente que puedan tener, y es más que una posibilidad teórica que ellos se identifican (p. 31 y ss., 39).

Además, las Recomendaciones 01/2020 sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE" del EDPB aparentemente fueron consideradas vinculantes de facto por la autoridad. Se aplicaron al caso sin validación (ver , por ejemplo, págs. 37 y ss.).

En la imagen siguiente se ilustran los supuestos anteriores y los hallazgos de la autoridad:

Cómo se debe usar Google Analytics en su lugar

Hoy en día, es posible implementar Google Analytics de una manera diferente que proporciona un mejor cumplimiento con GDPR (y con el DPA suizo). Discutiremos solo la implementación del "lado del cliente" de Google Analytics, que consiste en incluir código JavaScript en cada página relevante de un sitio web, que luego configurará ciertas (first-party) cookies para generar dos ID únicas, que luego se transfieren a Google para la generación de estadísticas de uso del sitio web. Google Analytics también se puede implementar utilizando un modo del lado del servidor, que es más complicado, pero que resultará en una menor exposición del usuario hacia Google, ya que no hay comunicación directa entre el usuario y Google (la información es recopilada por el servidor del editor y luego es reenviada a Google para su análisis). La mayoría de los sitios web utilizan el modo del lado del cliente.

En la configuración que, en nuestra opinión, puede considerarse compatible con GDPR y la DPA suiza, hay nueve elementos de relevancia para el cumplimiento de la privacidad que son diferentes de los del caso austriaco. Son los siguientes:

  1. Se solicita a cada usuario su consentimiento antes de que se active Google Analytics durante las visitas al sitio web. En la mayoría de los casos, esto ya se hace en la UE para cumplir con las normas nacionales de privacidad electrónica, e incluso en Suiza, solicitar el consentimiento previo se está convirtiendo en una práctica estándar. Siempre que se informe a los usuarios en consecuencia, el consentimiento puede cubrir la transferencia de datos personales a los EE. UU., incluida la posibilidad de que dichos datos estén sujetos a un acceso legal según la ley de los EE. UU. (esta información es necesaria ya que el consentimiento debe ser "explícito"). Esto permitirá acogerse a la exención del art. 49(1)(a) de GDPR en relación con el Capítulo V de GDPR (lo mismo se aplica bajo la DPA suiza). Si se implementa correctamente, esta medida por sí sola debería ser suficiente para resolver los problemas encontrados en el caso austriaco y permitir el uso de Google Analytics. Si un editor no desea confiar en el consentimiento o teme que la autoridad de protección de datos no acepte esta solución, se deben considerar medidas adicionales.

  2. El editor no debe tener un contrato con Google LLC, sino un contrato con Google Ireland Limited. Esta ya es una práctica estándar para los clientes de EMEA, pero es posible que algunos contratos antiguos aún estén en uso y deban actualizarse. En consecuencia, la transferencia de datos iniciada por el código JavaScript en el sitio web del editor a Google ya no estará sujeta al Capítulo V de GDPR; la transferencia se producirá dentro del EEE. Solo entonces, en un segundo paso, los datos se transferirán a los EE. UU., pero en esta configuración, Google Ireland Limited se considerará el exportador y no el editor. Esto también significa que corresponderá a la Autoridad Irlandesa de Protección de Datos evaluar la legalidad de dicha exportación; en consecuencia, la configuración, hasta cierto punto, sacará al editor de la "línea de fuego". Por supuesto, el editor, en su papel de controlador, sigue siendo responsable del cumplimiento de la actividad de procesamiento, pero esto es solo una responsabilidad indirecta sobre la base del art. 32 de GDPR, y ya no bajo el Capítulo V de GDPR. Dicho esto, es probable que noyb.eu, como parte de su misión general contra los proveedores de servicios estadounidenses, presente quejas contra Google Ireland Limited por estas transferencias.

  3. El editor debe usar la función de anonimización de IP de Google Analytics, lo que hará que Google Ireland Limited elimine la última parte de la dirección IP del usuario dentro de Europa antes de que los datos del usuario se transfieran a Google LLC en los EE. UU. Esta característica se activa al incluir algún código en el sitio web en cuestión.

  4. Google Ireland Limited ha implementado con Google LLC el Módulo 3 de las nuevas Cláusulas contractuales estándar (SCC) de la UE. Esto se confirma en Google Ads Data Processing Terms (Sección 10.3 (b) (i) (A)).

  5. Google Ireland Limited también ha llevado a cabo Transfer Impact Assessment (evaluación del impacto de la transferencia o TIA) para la transferencia de datos personales a Google LLC, según la Cláusula 14 de las CEC y, al celebrar las CEC, ha garantizado que "no tiene ningún motivo para creer" que en el presente caso se producirá algún acceso lícito prohibido. Desafortunadamente, este TIA aún no está disponible públicamente y cada editor debe solicitarlo a Google. Esto es posible según la Sección 7.5.2(a) de los Términos de procesamiento de datos de Google Ads. Además de eso, nosotros mismos, independientemente de Google, llevamos a cabo una TIA para la transferencia de datos entre Google Ireland Limited y Google LLC. Se llega a la conclusión de que el riesgo de un acceso lícito prohibido en los próximos cinco años es del 3,38 por ciento, lo que significa que existe un 90 por ciento de posibilidades de que un acceso lícito de este tipo se produzca al menos una vez cada 335 años. Creemos que, según estas condiciones, Google Ireland Limited no tiene ningún motivo para creer que se producirá un acceso legal prohibido, por lo que se cumplen las condiciones "Schrems II" y EDPB para que los datos se transfieran a Google LLC, incluso si dichos datos se consideraran datos personales (que creemos que no es el caso por las razones que se analizan a continuación).

  6. El editor debe asegurarse de que la opción "Compartir datos" de Google Analytics esté desactivada. Esto se puede hacer dentro de la consola de administración del servicio. Sin embargo, no está del todo claro cuál es el efecto de esta configuración. Lo que está claro es que con la configuración de uso compartido de datos desactivada, Google, como procesador, solo puede acceder a los datos de Google Analytics del editor para "mantener y proteger" Google Analytics; Google no utilizará ni tendrá acceso a dichos datos como controlador para fines propios o de terceros. Aparentemente, la configuración también afecta el acceso a los datos por parte del personal de Google. Según Google, con la opción activada, el personal de Google tendrá acceso, incluso con fines de soporte; si está apagado, parece que no es así, ya que Google advierte a los usuarios que "es posible que no pueda ayudar a resolver problemas técnicos". Esto indica que el personal de Google no tendrá acceso a los datos en el curso ordinario del negocio, sino solo en circunstancias excepcionales, por ejemplo, si todo el servicio está en riesgo ("mantenimiento y protección"). Parece que esto casi nunca sucede, al menos según el panel de estado de Google Analytics: en 2021, solo hubo dos casos, y no se sabe si el personal de Google hizo uso de su capacidad para acceder a los datos de los clientes en texto sin cifrar. Todavía no se ha podido averiguar hasta qué punto Google restringe el acceso del personal a los datos de texto claro de Google Analytics. Otros proveedores son más explícitos en este punto, como Microsoft con su servicio "Lockbox", donde se compromete contractualmente a que él (es decir, su personal) no puede acceder al contenido de los datos del cliente sin la aprobación explícita del cliente en cada caso. ¿Por qué es esto relevante? Determina la probabilidad de que Google LLC, como importador, tenga "posesión, custodia o control" (en adelante "p/c/c") sobre los datos en cuestión en texto no cifrado. Google solo tiene que producir datos sobre los que tiene p/c/c. En este punto, es importante comprender que el término "control" tiene un significado diferente según GDPR y la ley de EE. UU. Según la ley de los EE. UU., incluso un procesador (en términos de GDPR) puede tener "control" sobre los datos y, posteriormente, debe presentarlos a las autoridades. Según GDPR, "control" se refiere a controlar cómo se procesan los datos, mientras que según la ley de los EE. UU., "control" se refiere al derecho a obtener los datos como tales (control "legal") o acceso real en el curso ordinario de los negocios, no hay propiedad o control legal (control "día a día"). En el presente caso, Google LLC, como mero procesador, puede asumir la posición de que no tiene propiedad ni control legal sobre los datos. Pero, ¿puede argumentar que tampoco tiene control diario sobre los datos? Creemos que esto bien puede ser posible. Primero, se debe hacer una distinción entre los sistemas de Google LLC que tienen acceso a los datos en texto claro, por un lado, y el personal de Google LLC (es decir, funcionarios o agentes), por otro lado. Si el personal no tiene acceso, es decir, si los datos están dentro de los sistemas de Google, pero nadie en Google puede acceder a ellos en texto sin cifrar sin reprogramar el sistema, entonces podría decirse que no hay control diario. En segundo lugar, está bien aceptado en la legislación de los EE. UU. que la mera posibilidad técnica de obtener acceso no es suficiente para establecer un control diario, en particular cuando dicho acceso técnico no es posible por la forma en que se han establecido los sistemas o al menos no es parte de la actividad comercial de rutina. Ver, por ejemplo, el trabajo de Hemmings, Srinivasan y Swire para una discusión de p/c/cy la jurisprudencia estadounidense subyacente. En el presente caso, todos los datos de Google Analytics se cifran en reposo, lo que significa que solo aquellos procesos del sistema o miembros del personal que tengan los privilegios de acceso necesarios podrán leerlos en texto sin cifrar y dicho acceso se otorgará solo durante el tiempo y en la medida necesaria (principio de privilegio mínimo, que aplica Google). El hecho de que los propios sistemas de Google puedan acceder a los datos y descifrarlos, según nuestro entendimiento, no genera un control diario si los sistemas están programados para ejecutar Google Analytics sin proporcionar al personal de Google acceso diario a sus datos, a menos que los datos compartir está activado. Si el personal de Google puede, en situaciones extraordinarias, obtener acceso a los datos y su clave de descifrado (por ejemplo, a través de una cuenta de Break Glass), probablemente será irrelevante en este contexto, siempre que dicho acceso no sea parte de la actividad comercial de rutina. Si bien no se han podido confirmar todas nuestras suposiciones fácticas hasta el momento, se basan en cómo operan los “hiperescaladores”; la intervención manual suele limitarse al mínimo. Para estar seguros, en nuestro TIA hemos asumido una probabilidad más baja de lo habitual de que Google LLC logre demostrar que no tiene p/c/c sobre los datos del cliente en texto sin cifrar. Siempre y cuando haya más información disponible, se puede aplicar una mayor probabilidad en la TIA. Hay que tener en cuenta que las SCC exigen que Google LLC impugne cualquier solicitud del gobierno sobre la base de estos y otros argumentos disponibles. Si bien ninguno de estos argumentos puede, en cualquier caso, proporcionar una protección total contra el acceso legal no deseado, en combinación reducen la probabilidad de que tenga éxito. Esto se refleja en nuestra TIA.

  7. Google ha declarado públicamente que en los últimos 15 años desde el inicio de Google Analytics nunca ha recibido ninguna solicitud del gobierno de los EE. UU. en virtud de las disposiciones pertinentes (es decir, la Sección 702 FISA) para la producción de los datos en cuestión y además declaró que "nosotros no esperamos recibir uno porque es poco probable que tal demanda caiga dentro del alcance limitado de la ley relevante". Nótese que la Orden Ejecutiva 12.333, sobre la cual se puede realizar inteligencia de señales en redes troncales de telecomunicaciones fuera de los EE. UU. y que es la segunda disposición de la ley estadounidense en la que se basa el TJCE en la decisión Schrems II, no es relevante en el presente caso, ya que todas las transferencias entre Google Ireland Limited y Google LLC están encriptadas y no se puede acceder a ellos en texto claro. Lo mismo se aplica a las solicitudes de vigilancia de la Sección 702 de la FISA a proveedores de EE. UU. en territorio de EE. UU. que no sean Google LLC.

  8. Google LLC actúa como subprocesador de Google Ireland Limited cuando procesa datos para Google Analytics. Como tal, no está permitido utilizar los datos para sus propios fines como responsable del tratamiento. Esto requeriría el permiso del editor, que no existe (a menos que esté activado el uso compartido de datos). En consecuencia, el Apéndice 1 de Google Ads Data Processing Terms se refiere al procesamiento de datos personales para los fines de sus (i) servicios como procesador y (ii) soporte técnico. Cualquier unión real con datos personales recopilados por Google LLC como controlador (p. ej., cuando proporciona su servicio de Gmail a los consumidores o permite que los consumidores inicien sesión con su cuenta de Google mientras navegan) no está permitida y, según Google, no sucede a menos que Google LLC actúa como controlador (es decir, si está activado "Compartir datos"). El escenario discutido en el caso austriaco, donde un usuario activó la "Personalización de anuncios" y, por lo tanto, podría hacer que Google vinculara su identificador de cuenta de Google con los datos de Google Analytics de un sitio web en particular es incorrecto y parece ser el resultado de un malentendido de cómo el servicio funciona. No depende del usuario si Google crea algún tipo de vínculo entre los datos de Google Analytics y el identificador de la cuenta de Google. De hecho, no existe tal vínculo y permanece bajo el control del editor si Google, como controlador, realiza un seguimiento de los usuarios registrados en el sitio web del editor. Aquí, algunos detalles técnicos son relevantes: La implementación de Google Analytics en un sitio web le permite a Google, como controlador, recibir la información de que un usuario específico de la cuenta de Google ha visitado un sitio web en particular, solo si (i) el usuario ha activado "Web & App Activity" en su cuenta de Google; (ii) el usuario ha optado por incluir la actividad de los sitios que utilizan los servicios de Google (es decir, el sitio web del editor); (iii) el usuario ha activado la configuración de Personalización de anuncios, (iv) el usuario ha iniciado sesión en su cuenta de Google en el mismo navegador, mientras visitaba ese sitio web, y (v) el editor ha activado "Signals" en su implementación de Google Analytics. Todos estos requisitos, en particular la activación de Signals, deberán cumplirse de forma acumulativa en el momento en que el usuario visite el sitio web. El objetivo principal de Signals es permitir a los editores, entre otras cosas, obtener datos demográficos agregados e información de interés sobre el tráfico en su sitio web. Dicho esto, incluso con Signals activado, Google LLC sigue siendo un (sub)procesador con respecto a los datos recopilados mediante Google Analytics; el editor controla cualquier intercambio de datos de Google Analytics a través de la opción "Compartir datos", como se mencionó anteriormente. Por lo tanto, en la configuración predeterminada, los datos de Google Analytics permanecen dentro de Google Analytics y solo están vinculados a los identificadores de Google Analytics proporcionados por el editor para cada usuario; nunca está vinculado a ningún identificador de cuenta de Google. Incluso si Signals está habilitado en el momento de una visita al sitio web, los datos relacionados con la visita (pero no el identificador de Google Analytics u otros datos recopilados por Google Analytics) se almacenan en las bases de datos separadas que mantiene Google para sus propios fines (es decir, el Cuenta Google). De acuerdo con la información disponible, entendemos que esto ocurre en paralelo, pero por lo demás no está relacionado, es decir, los identificadores de Google Analytics y el identificador de la cuenta de Google no están vinculados ni unidos. Parece que estos hechos no se consideraron en el caso de Austria, pero habrían sido clave en nuestra opinión: en primer lugar, la autoridad de protección de datos de Austria determinó que Signals no se utilizó. En consecuencia, Google no realizó un seguimiento de las visitas al sitio web de los usuarios de cuentas de Google que iniciaron sesión. De ello se deduce que, incluso técnicamente, no podría vincular los dos conjuntos de datos, porque no habría ningún conjunto de datos correspondiente por parte de Google; la activación de la Personalización de Anuncios es irrelevante. Aquí es donde la autoridad austriaca se equivocó: no tuvo en cuenta Signals. En segundo lugar, incluso cuando dicho seguimiento por parte de Google (como controlador) se produjo sobre la base de la activación de Signals, Google afirma que los identificadores utilizados para Google Analytics y las cuentas de Google no están vinculados. Podemos dejar abierto si teóricamente sería posible crear dicho enlace por otras dos razones: primero, recomendamos desactivar el uso compartido de Signals and Data. En segundo lugar, al determinar si un sujeto de datos es identificable, solo se deben tener en cuenta aquellos medios "que es probable que se utilicen razonablemente" (Claúsula 26 de GDPR). En el presente contexto (vincular los dos conjuntos de datos representaría un incumplimiento de contrato, los sistemas no están programados para realizar dicha vinculación y Google tampoco lo necesita), en nuestra opinión, no es razonablemente probable que dicha vinculación ocurra. El hecho de que una entidad en particular tenga control sobre dos conjuntos de datos separados no implica, como tal, que estén vinculados. Según GDPR (así como el DPA suizo) deben considerarse por separado con respecto a la pregunta de si representan datos personales (ver más abajo).

  9. Cuando se configura de esta manera, los datos recopilados para Google Analytics se separan por sitio web y editor y no se pueden vincular entre sitios web (a menos que el propio editor agregue un ID propio y único, explicado en el siguiente punto). Dado que los ID de Google Analytics se obtienen a través de first-party cookies, se limitan al sitio web para el que se han obtenido. Un mismo usuario, por lo tanto, tendrá diferentes ID’s cuando navegue en diferentes sitios web, incluso si pertenecen al mismo editor. Esto evitará aún más cualquier vínculo entre los diferentes conjuntos de datos. En el caso de Austria, la autoridad de protección de datos parece haber asumido implícitamente que los ID’s son los mismos en todos los sitios web visitados por el usuario, ampliando así su huella digital y aumentando la probabilidad de identificación. Además, Google LLC eliminará los datos de seguimiento recopilados en relación con una visita a un sitio web en particular después de 2 a 50 meses, según la configuración del editor y el producto de Google Analytics utilizado. Recomendamos establecer el período de retención lo más corto posible.

  10. Google Analytics permite al editor realizar un seguimiento de los usuarios registrados en varios sitios web al permitirles incluir en los datos enviados a Google Analytics un User ID propietario (sin embargo, no está permitido generar dicha identificación en función de la huella digital del dispositivo o similar) . Si se hace esto, entonces la identificación no debe permitir la identificación del usuario (por ejemplo, no usar la dirección de correo electrónico en texto claro).

La siguiente imagen ilustra todo lo anterior:

Cuando se implementa todo como se ha descrito anteriormente, creemos que Google Analytics puede operar de conformidad tanto con GDPR como con el DPA suizo. Esto es cierto incluso si se supusiera que los datos recopilados califican como datos personales (como lo han hecho la autoridad de protección de datos de Austria y la CNIL; cosa que explicamos a continuación por qué no creemos que esto sea correcto).

Siete pasos a seguir

Por lo tanto, un editor debe seguir los siguientes siete pasos a la hora de implementar Google Analytics en modalidad client-side:

  1. Hay que asegurarse de que el seguimiento ocurre solo después de que el sujeto de los datos (i) haya sido informado de que sus datos se transferirán al importador en los EE. UU., donde pueden estar sujetos al acceso local legal y que pueden retirar su consentimiento en cualquier momento y (ii) consintiendo en tal uso y transferencia y no retirándolo. Debe informar cuando corresponda, que los ID’s de seguimiento, las direcciones IP y la información del dispositivo se comparten con Google en los EE. UU. Si se implementa correctamente, esta medida es, en principio, suficiente para permitir el uso de Google Analytics. Los pasos adicionales pretenden ser una protección adicional más allá del consentimiento.

  2. Hay que asegurarse de que el contrato para usar Google Analytics (incluido el Data Processing Agreement) se realiza con Google Ireland Limited, y no con Google LLC. De hecho, todos los nuevos contratos de Google Analytics en EMEA (tanto la versión gratuita como la de pago) se realizan con Google Ireland Limited. Es posible que sea necesario actualizar algunos contratos más antiguos.

  3. Hay que asegurarse de que IP Anonymization está activado e implementado correctamente.

  4. Hay que asegurarse de que la opción para Compartir Datos está desactivada en Google Analytics. (Nota: Esta opción está desactivada por defecto)

  5. Hay que asegurarse de que la opción Signals no está activada en Google Analytics.

  6. Si utiliza User IDs propietarios hay que asegurarse de que no permitan la identificación del usuario (p. ej., direcciones de correo electrónico sin cifrar).

  7. Revisar el TIA que cubre la transferencia de datos entre Google Ireland Limited y Google LLC y decidir, como controlador, si estás de acuerdo con Google Ireland Limited en que no hay motivo para creer que los datos personales recopilados de sus usuarios mediante el uso de Google Analytics estarán sujetos al acceso legal por parte de las autoridades de inteligencia estadounidenses.


ANEXO

Diseccionando la decisión austriaca

Suponemos que gran parte de la decisión austriaca ha sido preparada por el EDPB para garantizar que las diversas autoridades de protección de datos en todo el EEE sigan un enfoque unificado con las diversas quejas de noyb.eu. Por lo tanto, tiene sentido analizar un poco más su razonamiento legal. En nuestra opinión, varias conclusiones e interpretaciones realizadas por la autoridad no son, a nuestro juicio, convincentes y se basan parcialmente en supuestos erróneos.

Para empezar, creemos que el análisis de la autoridad sobre si existen datos personales no es correcto por las siguientes razones:

La autoridad adopta la posición de que la mera capacidad de identificar a los usuarios de un sitio web es suficiente para calificar los datos de uso como datos personales (p. 28). Lo hace argumentando que el Apartado 26 de GDPR se refiere a la singularización como posible medio de identificación. En nuestra opinión, sin embargo, no se permite concluir que, por el contrario, cada caso de singularización conduce automáticamente a la identificación. Ya se demostró hace algunos años que los datos que permiten distinguir a un individuo no conducen, como tales, a datos personales y se ha descrito otra prueba para determinar si existen datos personales.

La referencia de la autoridad al "identificador online" en la definición de datos personales de conformidad con el art. 4 de GDPR tiene el mismo truco: si bien la identificación puede ser posible mediante el uso de un identificador online, el uso de un identificador online no necesariamente da como resultado la identificabilidad de un sujeto de datos. Sin embargo, la identificabilidad es una condición previa para la existencia de datos personales. En todos los casos, la definición de datos personales aún requiere que el sujeto de los datos sea identificable, lo que, en nuestra opinión, la autoridad de protección de datos no ha demostrado.

Además, si un sitio web es utilizado tanto por seres humanos como por agentes automatizados (lo que sucede con frecuencia), ambos generarán el mismo tipo de identificador online, y es posible que el editor no pueda distinguirlos, y mucho menos averiguar qué ser humano particular ha sido rastreado. Pero, ¿los datos generados por robots pueden ser datos personales? Ciertamente no. Esta es una de las razones por las que es esencial que los propios datos proporcionen un vínculo con un ser humano en particular, aunque la autoridad de protección de datos tiene razón en su conclusión de que no tiene por qué ser el "rostro" o el nombre de la persona.

En particular, el TJCE hasta ahora dejó abierta la cuestión de si las cookies (y sus identificadores, como en el presente caso) califican como datos personales (Caso C-673/17, N 71).

La autoridad austriaca es, al menos, coherente con sus propios argumentos cuando afirma que no es posible pseudonimizar los identificadores porque aún se podría señalar a los interesados ​​(p. 38). Si bien esta es una consecuencia lógica de la teoría anterior, también es una prueba más de que no está respaldada por GDPR. Si la teoría fuera correcta, entonces incluso un identificador totalmente encriptado en el que se haya perdido la clave para el desencriptado seguiría equivaliendo a datos personales, porque dicho identificador encriptado seguiría siendo único a diferencia de cualquier otro identificador encriptado de la misma manera. Sin embargo, no habría nadie en la tierra que pudiera determinar con quién se relaciona dicho identificador.

El error en la teoría de la autoridad es que está mezclando la posibilidad de identificar a un usuario en particular con la posibilidad de “apuntarlo” (target) o contarlo individualmente. Lo primero es relevante con respecto a la definición de datos personales; esto último no lo es según la legislación vigente. El intento de la autoridad de redefinir los datos personales para incluir datos que no identifiquen, sino que distingan a las personas, es probablemente la parte más problemática de toda la decisión, porque tendría consecuencias de mayor alcance, si se acaba confirmando. Vemos repetidos intentos de varias autoridades de protección de datos del EEE de mover a GDPR en esa dirección alegando continuamente (pero en nuestra opinión erróneamente) que singularizar a las personas es igual a su identificación. Por supuesto, es posible cambiar la definición de "datos personales" para proteger mejor a las personas en casos de focalización "anónima" (que es de lo que se trata), pero hasta ahora esto no ha sucedido. Debe ser hecho de manera democrática por el parlamento, no por las autoridades de protección de datos.

La autoridad argumenta que es aún más claro que el identificador online es un dato personal porque se puede combinar con otros datos recopilados durante el uso de Google Analytics (p. 29). Este argumento es nuevamente incorrecto en nuestra opinión, porque los datos adicionales en cuestión aumentan solo la cantidad, no la calidad de los datos en términos de identificación de un sujeto de datos. En otras palabras: Agregar más de lo mismo no aumenta la identificabilidad en el presente caso. Aún debe demostrarse que los datos recopilados pueden compararse con otros datos que permitan la identificación, y esos otros datos no existen porque los identificadores son volátiles, demasiado imprecisos o no existen fuera del contexto de ese sitio web en particular.

Además, como se muestra arriba, la autoridad ha asumido erróneamente que la vinculación del identificador de la cuenta de Google de un usuario con su identificador de Google Analytics está bajo el control exclusivo del usuario. Esto es en general incorrecto, y también lo fue en el caso que nos ocupa: la propia autoridad determinó que Signals no había sido activado. Dado que Signals no se utilizó, las visitas de los usuarios de Google registrados no fueron rastreadas por Google como controlador. Además, incluso cuando dicho seguimiento está activado, no hay vinculación entre los identificadores de Google Analytics y los identificadores de cuentas de Google según Google, al menos si el intercambio de datos está desactivado, y tampoco hay razón para que suceda.

La autoridad argumenta además que el propósito de que al menos la versión gratuita de Google Analytics se implemente en tantos sitios web como sea posible, lo que implica que esto permitirá a Google rastrear a los usuarios en todos los sitios web (p. 29). Este no es el caso como se explicó anteriormente.

La autoridad afirma en referencia a las decisiones del TJCE C-434/16 (Nowak) y C-582/14 (Breyer) que es suficiente que cualquier persona pueda identificar al interesado ("irgendjemand", p. 29 y siguientes.). Esto no es lo que ha dictaminado el TJCE. Por el contrario, el TJCE ha dejado claro que si los datos necesarios para identificar a un interesado están en manos de dos personas diferentes, debe determinarse la probabilidad de que las dos combinen sus datos. Concretamente, el TJCE afirmó en C-582/14, N 45 y ss.: "Sin embargo, debe determinarse si la posibilidad de combinar una dirección IP dinámica con los datos adicionales en poder del proveedor de servicios de Internet constituye un medio que pueda razonablemente ser utilizados para identificar al interesado. / Así, como afirmó el Abogado General esencialmente en el punto 68 de sus conclusiones, no sería así si la identificación del interesado estuviera prohibida por la ley o fuera prácticamente imposible por el hecho de que requiere un esfuerzo desproporcionado en términos de tiempo, costo y mano de obra, por lo que el riesgo de identificación parece en realidad insignificante”. Este enfoque "relativo" para determinar si existen datos personales también se aplica bajo el DPA suizo (BGE 136 II 508). Significa que la misma información puede, en manos de una persona, calificar como datos personales, mientras que en manos de otra persona no lo será.

Sin embargo, lo que es correcto es que la cuestión de la identificabilidad del interesado no puede limitarse al controlador (léase el editor). Debe evaluarse para cualquier persona que tenga acceso a los datos en cuestión, es decir, incluido cualquier procesador (léase Google LLC). Pero no estamos de acuerdo con la decisión de que importa la mera posibilidad técnica de identificar (p. 30 y p. 31). El TJCE, así como el Tribunal Federal Suizo, dejaron claro que también debe existir la intención de utilizar los medios para la identificación. Como se explica en la N 45 de la C-582/14, hay que evaluar si existen restricciones legales ("prohibidas por la ley") o si los esfuerzos necesarios para identificar a un interesado superan los beneficios de hacerlo ("un esfuerzo desproporcionado "), cuyas pruebas pueden llevar a la conclusión de que los "riesgos de identificación parecen en realidad insignificantes". Si es así, no hay datos personales.

A tal fin, la autoridad austriaca concluye que Google puede vincular los datos recopilados a través de Google Analytics con la identidad de un usuario siempre que dicho usuario esté, al mismo tiempo, conectado a su cuenta de Google (p. 30 y ss.). Ya hemos explicado anteriormente que esto no es correcto.

La autoridad austriaca también evalúa si las autoridades de inteligencia de EE. UU. pueden vincular los datos recopilados a través de Google Analytics con la identidad de un usuario. Argumenta que "no puede excluir" que estas autoridades usen direcciones IP e identificadores online disponibles para ellos de otras fuentes y puedan usarlos para identificar a los usuarios dentro del conjunto de datos de Google Analytics (p. 31 y siguientes). Concluye haciendo referencia a la decisión del TJCE C-311/18 que no se trata solo de un riesgo teórico. Parece que la autoridad toma un atajo inadecuado. El estándar no es si la identificación no puede excluirse, sino más bien si es razonablemente posible, y esto no se ha demostrado en el caso. La decisión del TJCE citada no se ocupa de Google Analytics y no aporta pruebas de las solicitudes de acceso lícito pertinentes en este caso. En su decisión, la autoridad no establece si las autoridades de inteligencia de EE. UU. pueden y tienen permiso para acceder a los datos de Google Analytics, ni si realmente lo hacen, ni si pueden identificar a los usuarios dentro de dichos conjuntos de datos. Más bien, la autoridad parece concluir que debido a que Google, como empresa, recibe solicitudes de acceso legal, dichas solicitudes de acceso legal también deben aplicarse a Google Analytics.

Encontramos esta problemática:

Primero, Google ha dejado en claro que nunca ha habido ninguna solicitud de las autoridades de inteligencia de EE. UU. para recopilar los datos de Google Analytics; por lo tanto, tal acceso hasta ahora es un riesgo teórico. No sabemos si también hizo esta declaración durante el proceso ante la autoridad austriaca; parece que no fue así; si es así esto fue un error.

En segundo lugar, incluso si las autoridades de inteligencia de EE. UU. ya tuvieran en sus manos direcciones IP o identificadores online de usuarios de ciertos objetivos, los datos recopilados por Google Analytics serían inútiles para rastrearlos: Los identificadores online utilizados por Google Analytics son diferentes (varían de sitio web a sitio web), y las direcciones IP generalmente se asignan dinámicamente, es decir, también cambian constantemente. No es posible, sin tener acceso a la base de datos del proveedor de servicios de Internet, rastrear a un usuario en función de la dirección IP (ver arriba, C-582/14, N 45 y ss.). Cabe destacar que todos estos hechos ni siquiera fueron considerados por la autoridad. Lo que queda es una aproximación mediante la toma de huellas dactilares del dispositivo, como sugiere noyb.eu. Si bien la toma de huellas dactilares del dispositivo puede resultar en un identificador pseudo único y puede ser útil como la segunda mejor opción cuando las cookies no funcionen, es un medio muy poco confiable para rastrear a un individuo en particular, y mucho menos a través de Internet. Por ejemplo, en un estudio de 2019, solo alrededor del 33% de las huellas dactilares del navegador recopiladas en iPhones de una audiencia en particular eran únicas. Los números serían más bajos si se incluyeran más sitios web y hubiera una audiencia más grande. El estudio también mostró que estas huellas dactilares tienden a cambiar con frecuencia (casi el 10 % de los dispositivos cambiaron sus huellas dactilares varias veces en 24 horas). El estudio utilizó 31 características diferentes para crear la huella digital, que es mucho más que la información recopilada por Google Analytics. Por lo tanto, incluso cuando se utilizan las huellas dactilares del dispositivo, es muy poco probable que las autoridades de inteligencia de EE. UU. puedan identificar a un sujeto de datos en particular, incluso si lo usaran, para lo cual no hay ninguna indicación. De hecho, hay formas mucho más fáciles y precisas para que una autoridad de inteligencia rastree a un individuo en particular tanto en Internet como en la vida real usando su teléfono móvil. También se utilizan en Europa.

En tercer lugar, es cuestionable si la Sección 702 de la FISA permite que las autoridades de inteligencia de EE. UU. ordenen la divulgación de los datos de Google Analytics (consulte nuestra TIA). Por lo tanto, el riesgo de identificación de un sujeto de datos basado en datos de Google Analytics parece ser de naturaleza meramente teórica.

Si uno aceptara que el uso de Google Analytics da como resultado la transferencia de datos personales a los EE. UU., debe responder a la pregunta de si dicha transferencia cumple con el Capítulo V de GDPR. Aquí encontramos las siguientes consideraciones sobre la problemática de la autoridad:

La autoridad argumenta que no se obtuvo el consentimiento. Si bien esto es correcto por parte del editor del sitio web, el usuario aparentemente dio su consentimiento a Google LLC para que sus datos de visitas al sitio web del editor sean utilizados por Google como controlador. Esto es relevante porque según la decisión (p. 31), los datos recopilados por Google como controlador fueron un factor clave para que la autoridad concluyera que los datos de Google Analytics se consideran datos personales. Esto se basa en la suposición de que era al menos técnicamente posible vincular los dos conjuntos de datos, es decir, los datos de Google Analytics y los datos de la cuenta de Google. Si eso fuera correcto (lo que probablemente no sea así en el presente caso), y si dichos datos que dan como resultado la identificación del usuario del sitio web ya se hubieran transferido a Google LLC con el consentimiento del usuario (debido a la configuración del usuario dentro de su cuenta), entonces la autoridad debió haber considerado el art. 49(1)(a) DSGVO como motivo para justificar la transferencia. No lo hizo.

La autoridad considera "obvio" que Google LLC es un Proveedor de Servicios de Comunicaciones Electrónicas (en adelante "ECSP") y, por lo tanto, está sujeto a la Sección 702 FISA. La autoridad concluye que debido a eso, Google LLC está obligada a proporcionar a las autoridades estadounidenses "datos personales" (p. 35). No diferencia más. Basándose en el hecho de que Google LLC afirma en su sitio web de transparencia que, durante todos los períodos de informes anteriores, tuvo solicitudes "0-499", la autoridad concluye que "regularmente tiene tales solicitudes" (ibíd.). De nuevo, no se hacen más consideraciones. La autoridad no evalúa si los datos procesados ​​para Google Analytics están realmente sujetos a obligaciones de vigilancia posteriores de conformidad con la Sección 702 FISA, ni si Google LLC realmente solicitó dichos datos. En el primer caso, hay razones para concluir que este no es el caso (ver nuestra TIA), y con respecto al segundo, Google ha dicho que no ha habido tales solicitudes desde el inicio de Google Analytics (ver arriba).

Sin embargo, las conclusiones de la autoridad no sorprenden. Al leer la decisión, parece que Google realmente no proporcionó a la autoridad la información y los argumentos necesarios de por qué no tenía motivos para creer que las solicitudes de acceso legal prohibido podían ocurrir o se produjeron. Más bien, Google parece haber señalado a la autoridad sus diversas medidas de seguridad de datos, que de hecho no son relevantes para las preguntas en cuestión. No hay ninguna indicación en la decisión de que Google haya explicado por qué creía que los datos de Google Analytics, de hecho, no están sujetos a solicitudes de vigilancia posteriores según la Sección 702 FISA o por qué creía que los datos de Google Analytics en cuestión no debían ser considerados en su tenencia, custodia o control dadas las distintas medidas contractuales, técnicas y organizativas. Por ejemplo, en opinión de la autoridad, la mera capacidad técnica de un ECSP para acceder a datos personales en texto claro lleva a la obligación del ECSP de producir dichos datos en texto claro previa solicitud (p. 38). Esto no es correcto. Los datos en cuestión también deben considerarse bajo el "control" de la ESCP (que a su vez requiere un control diario o legal, requisito que puede no cumplirse, como se describe anteriormente) y debe ser el contenido de comunicaciones entre no estadounidenses (lo cual podría decirse que no lo es).

Vemos que el documento técnico de Google "Safeguards for international transfers with Google's advertising and analytics products" se enfoca en la seguridad tradicional de los datos, en lugar de las medidas que impiden el acceso legal extranjero. La sección 702 FISA y EO 12.333 se analizan solo en 1,5 páginas del documento de 20 páginas. Del mismo modo, vemos muchos TIA que generalmente solo discuten las leyes de acceso legal o solo discuten la seguridad de datos tradicional. En cambio, una TIA adecuada debe analizar la probabilidad de que ocurra un acceso legal prohibido, teniendo en cuenta todas las circunstancias del caso. Muchos TIA, desafortunadamente, no abordan esta cuestión. En tales casos, no sorprende que las autoridades de protección de datos concluyan que existe un riesgo relevante de acceso legal extranjero.


Conclusión

Con todo lo expuesto anteriormente, no está nada claro que "el uso de Google Analytics sea ilegal en Europa”, como ha afirmado Max Schrems, Presidente honorario de noyb.eu. El caso austriaco demuestra, sin embargo, que el análisis legal depende en gran medida de los hechos específicos del caso y de las partes involucradas en el procedimiento que presentan a la autoridad los hechos y argumentos pertinentes. Será interesante ver si las decisiones de las autoridades de protección de datos serán impugnadas ante los tribunales y cómo los tribunales, potencialmente el TJCE, abordarán las cuestiones anteriores. Hasta que se aclare la situación, creemos que los editores de sitios web deben seguir los pasos descritos anteriormente para minimizar sus riesgos, a menos que deseen alejarse de los proveedores de servicios de propiedad estadounidense. Desde un punto de vista puramente legal, las decisiones dictadas solo se aplican a los casos que han sido considerados por las autoridades competentes. Según nuestro conocimiento, hasta el momento no se han impuesto multas a los editores. Sin embargo, en vista de la situación actual en relación con el tema de las transferencias internacionales de datos personales, no nos sorprendería ver más decisiones como la de Austria, incluso en editores que sigan los siete pasos descritos anteriormente.



Autor: David Rosenthal

Artículo original publicado en inglés en Vischer





GDPR, MultaMario TorijaGoogle