Google Analytics viola la RGPD

Concluye la autoridad reguladora de datos de Francia.

Las autoridades encargadas de la regulación de datos en Austria concluyeron que Google Analytics viola la RGPD hace un mes, y ahora las francesas se han sumado a este veredicto. La CNIL, la entidad reguladora de datos de Francia, ha concluido que el uso que hace una web local, que no se ha identificado, de Google Analytics, no cumple con la RGPD de la Unión Europea. En concreto, el CNIL asegura que este uso viola el artículo 44 de dicha normativa, que se encarga de las transferencias de datos personales fuera del territorio de la UE a países que no cuentan con protecciones de privacidad básicas equivalentes, como Estados Unidos.

El CNIL francés ha investigado por ahora solo una de las 101 quejas presentadas por el grupo activista por la privacidad noyb en agosto de 2020, después de que el tribunal superior de la UE invalidase el acuerdo Privacy Shield, sobre transferencias de datos, entre Estados Unidos y la Unión Europea. Y ya ha dado por buena la queja en este caso, lo que podría llevar a más conclusiones similares o idénticas.

La web que recibió la queja ha recibido, por parte del CNIL, la orden de cumplir la RGPD, y, «si es necesario, dejar de utilizar este servicio bajo las condiciones actuales«. Tiene un mes para cumplir su mandato. Y «aunque Google ha adoptado medidas adicionales para regular las transferencias de datos en el contexto de las funciones de Google Analytics, no son suficientes para excluir de la accesibilidad de estos datos a los servicios de inteligencia de Estados Unidos. Por lo tanto, hay riesgo para los usuarios de la web de Francia que utilizan este servicio y cuyos datos se exportan«.

Con esto, el CNIL deja la puerta a seguir utilizando Google Analytics, pero solo si se aplican cambios sustanciales que aseguraría que solo se transfieren «datos estadísticos anónimos«. Ahora mismo, según el regulador francés, el uso de Google Analytics no cumple con la normativa, y necesita cesar para que la web en cuestión cumpla la RGPD. La entidad, además, sugiere que se utilicen otras herramientas de analítica que no impliquen transferencias fuera de la UE para terminar con el problema.

Además, el CNIL ha lanzado un programa de evaluación para determinar qué medida de la audiencia de una web y qué servicios de análisis pueden estar exentos de la necesidad de obtener el consentimiento del usuario, lo que sugiere que el CNIL podría emitir normas en el futuro que recomienden alternativas a Google Analytics que cumplen la RGPD.

Mientras tanto, la decisión tomada sobre esta queja tiene implicaciones para cualquier web de Francia que utilice Google Analytics, o cualquier otra herramienta que transfiera datos personales sin tomar medidas adicionales a Estados Unidos. Al menos, a corto plazo. Además, la entidad advierte de que su investigación se aplica a «otras herramientas empleadas por webs que pueden derivar en la transferencia de datos de usuarios europeos de Internet a Estados Unidos«.