Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

¿Google Analytics es ilegal en Europa? Esto es todo lo que debes saber

📢 Actualización importante: Se ha llegado a un acuerdo sobre el Marco de Privacidad de Datos UE-EE.UU. 🌍🤝

A raíz de este importante acontecimiento, hemos actualizado nuestra cobertura para reflejar la información más reciente. Para mantenerte al día sobre el nuevo acuerdo sobre el Marco de Privacidad de Datos UE-EE.UU. y sus implicaciones, te invitamos a leer nuestro último artículo sobre el tema.

🔍 Lee las últimas noticias: Aprobadas las transferencias de datos personales de la Unión Europea a Estados Unidos

Gracias por tu apoyo y confianza en nuestra cobertura de temas globales relevantes.

Las autoridades de protección de datos: Google Analytics vulnera la protección de datos al no contar con garantías para su transferencia

🎯 Última actualización sobre el uso de Google Analytics en Europa

El uso de Google Analytics en Europa ha estado en entredicho debido a los recientes procesos judiciales europeos.

→ Varias autoridades europeas de protección de datos han considerado que el tratamiento de datos de usuarios europeos por parte de Google Analytics podría suponer una transferencia ilegal de datos fuera de Europa.

Las acciones en torno a Google Analytics son el resultado de la anulación del Privacy Shield porque se determinó que las normas de privacidad de Estados Unidos no coincidían con las del marco europeo. Una de las principales preocupaciones es que el gobierno podría acceder a los datos europeos que guardan las empresas estadounidenses, aunque estén almacenados en Europa. Consulta todos los detalles aquí →

🗣 El día que la industria estaba esperando ya está aquí: un nuevo marco de privacidad está en el horizonte. Desde que se anuló el Privacy Shield, no existe un marco formal. En un esfuerzo por resolver el problema actual de las transferencias legales de datos entre EE. UU. y la UE, el presidente Biden ha firmado una orden ejecutiva sobre la mejora de las garantías para las actividades de inteligencia de señales de los Estados Unidos con el objetivo de cumplir con las obligaciones del marco de privacidad de datos entre la UE y EE. UU.

Una orden ejecutiva es una directiva del presidente de Estados Unidos que se firma y se hace pública y que controla el funcionamiento del gobierno federal. Esta orden ejecutiva podría ser la solución que la industria ha estado esperando, y aquí está el porqué:

Al hacer hincapié en una serie de elementos marco cruciales, la orden ejecutiva pretende abordar las preocupaciones a la vez que refuerza un estricto conjunto de derechos civiles y protecciones de la privacidad para las actividades de inteligencia de señales estadounidenses. Para obtener más información, consulta nuestro resumen aquí.

La Comisión Europea podrá emitir una “decisión de adecuación” que podría permitir de nuevo las transferencias de datos entre la Unión Europea y Estados Unidos. La decisión puede tardar hasta seis meses, pero podemos decir que nos estamos acercando a la línea de meta. Puede que pasen meses antes de que la transferencia de datos a empresas estadounidenses no conlleve el riesgo de transferencia ilegal de datos fuera de Europa.

¿En qué punto nos deja esto?

Actualmente, las Autoridades Europeas de Protección de Datos (APD) han estado emitiendo órdenes para que se deje de utilizar Google Analytics, aunque sin emitir multas.

Si bien Google ha intentado previamente abordar algunos de los principales motivos de preocupación con Google Analytics 4, estas medidas parecen seguir siendo consideradas insuficientes por las autoridades. 

Debido en parte a esta conversación en torno al uso de Google Analytics, Google lanzó Google Analytics 4 en un intento de abordar algunas de las preocupaciones.

  • Google Analytics 4 utiliza las IP al principio para decidir dónde almacenar los demás datos personales de los usuarios (el servidor o centro de datos depende de la IP del usuario). A continuación, elimina por completo las direcciones IP en un intento de mitigar el problema de la transferencia de datos europeos a Estados Unidos.
  • Google Analytics 4 también ofrecerá controles a nivel de país y opciones de personalización que permitirán minimizar la recopilación de datos específicos del usuario.

A continuación se explica cómo cambiar a Google Analytics 4 y cómo configurarlo →

Hasta ahora, las APD europeas no han emitido ninguna sanción económica por el uso de Google Analytics.

Si ya has pasado a GA4, puede seguir siendo una decisión inteligente, ya que GA4 reduce considerablemente el tratamiento de datos. Dado que el nuevo acuerdo sobre privacidad podría estar listo en varios meses, muchas empresas podrían decidir correr el riesgo, ya que no se han impuesto multas.

La APD danesa ha declarado:

En el caso de Google Analytics 4, se desprende de la documentación de Google que las direcciones IP se utilizan para determinar la ubicación aproximada del visitante, tras lo cual la dirección se descarta antes de que los datos se registren en un servidor. Al igual que en el caso de Universal Analytics, la misma cuestión es también relevante para Google Analytics 4, ya que, dependiendo de la ubicación del interesado, puede haber una conexión directa con servidores estadounidenses, entre otros, antes de que se descarte la dirección.

Si deseas seguir la evolución de la jurisprudencia y ver cómo se desarrollan las últimas decisiones, puedes leer nuestro desglose por países aquí

Es comprensible que te sientas un poco inseguro sobre lo que hacer. Organizaciones como NOYB y otros grupos están tratando de defender los derechos de privacidad, siendo una de las principales preocupaciones la posibilidad de que el gobierno acceda a los datos europeos en poder de las empresas estadounidenses, incluso cuando se almacenan en Europa.

📌 Entonces, ¿qué debes hacer ahora?

Google Analytics ha sido el objetivo de las recientes órdenes de las APD, pero actualmente, cualquier servicio proporcionado por una parte estadounidense, incluso si el alojamiento está en la UE, puede verse comprometido. Por lo tanto, cada responsable del tratamiento debe evaluar si deja de utilizar todos o algunos de sus servicios estadounidenses entre hoy y el momento en que entre en vigor un nuevo acuerdo. 

Como la mayoría de las cosas relacionadas con la privacidad, podemos esperar que dicho acuerdo sea impugnado, por lo que el camino puede seguir siendo pedregoso durante algún tiempo. Mientras tanto, puedes hacer algunas cosas para estar más tranquilo. 

💡 Una opción es ofuscar los datos personales a través de un servidor proxy para que los datos no lleguen a la empresa estadounidense. Hemos seleccionado algunas soluciones que lo hacen. 

  1. Jentis
  2. Stape Europe 

👉 En cuanto a iubenda, puedes estar seguro de que al usar nuestros servicios en tu sitio web/app, los datos de los usuarios de la UE no se comparten con empresas estadounidenses o, cuando se hace, se encriptan antes de ser enviados.

🚀
¿Buscas una alternativa a Google Analytics que respete el RGPD?

Dado que esta situación sigue presente, algunas personas están pensando en alternativas a Google Analytics que se centren en la privacidad o que estén establecidas en Europa.

Echa un vistazo a esto: 7 alternativas a Google Analytics

Preguntas frecuentes

Las autoridades de protección de datos han constatado que el sistema jurídico de EE. UU. no garantiza el mismo nivel de protección que la UE. Esta situación tiene su origen en una serie de leyes estadounidenses que permiten a las organizaciones gubernamentales solicitar el acceso a los datos personales de los consumidores de los servicios con sede ​​en EE. UU., independientemente de dónde se encuentren los centros de datos o servidores.

A la luz de esto, NOYB presentó 101 quejas a las APD europeas, para demostrar la ilegalidad de la transferencia de datos de usuarios europeos a los Estados Unidos. Las decisiones, que comprobaron la ilegalidad de las transferencias, se centran en el análisis de medidas técnicas, contractuales y organizativas adicionales.

El uso de una clave de cifrado por parte de la empresa involucrada se consideró insuficiente, porque la clave era propiedad de Google LLC. De ello se deduce que mientras la clave de cifrado siga siendo accesible para el importador (en este caso, Google Analytics), las medidas adoptadas no pueden considerarse adecuadas.

Además, no se han evaluado las medidas contractuales y organizativas, ya que estas últimas siempre se consideran insuficientes si faltan las medidas técnicas.

Hasta la fecha, las autoridades solo han dicho que se necesitan medidas técnicas de seguridad adicionales si se sigue utilizando Google Analytics. 

En base a las decisiones emitidas hasta el momento, podemos deducir que las posibles consecuencias jurídicas son las siguientes:

  1. Recibir la orden de identificar medidas técnicas adicionales en un plazo de 60 días (CNIL) o de 90 días (Garante).
  2. Recibir la orden de dejar de utilizar el servicio y sustituirlo por uno alternativo.

Tenga en cuenta que, hasta la fecha, no se han emitido sanciones económicas por el uso de Google Analytics.

  • Última actualización

Más información