ACTUALIZACIÓN: La APD de la UE ordena que se detenga Google Analytics

Jul 05, 2022

ACTUALIZACIÓN: Otra APD de la UE ordena el cese de Google Analytics

La DPA italiana (GPDP) se ha unido al consenso compartido por el SEPD, así como la DPA francesa y austriaca y ha prohibido el uso de Google Analytics (GA). A raíz de nuestras 101 denuncias sobre transferencias de datos, el GPDP concluyó que los sitios web que utilizaban GA recogían las interacciones de los usuarios y transferían los datos de éstos a los Estados Unidos; un país sin un nivel adecuado de protección de datos, lo que hace que dicha transferencia sea ilegal

Garante es la cuarta APD que se pone del lado de noyb en las transferencias de datos. La APD italiana calificó de ilegal el uso de Google Analytics, ya que los operadores de sitios web que utilizaban GA recopilaban datos de los usuarios a través de cookies y los transferían a Estados Unidos. Al determinar que el tratamiento era ilegal, la APD italiana reiteró que una dirección IP es un dato personal y no se anonimizaría aunque se acortara, dada la capacidad de Google para enriquecer esos datos mediante información adicional que posee.

El SEPD sanciona al Parlamento sobre las transferencias A principios de este año, el Supervisor Europeo de Protección de Datos (SEPD) emitió una decisión tras una reclamación presentada por noyb, en la que confirmaba que el Parlamento Europeo había violado la ley de protección de datos en su sitio web de pruebas COVID. El SEPD destacó que el uso de Google Analytics infringía la sentencia"Schrems II" del Tribunal de Justicia (TJUE) sobre las transferencias de datos entre la UE y los Estados Unidos. La sentencia marcó una de las primeras decisiones de aplicación de Schrems II y preparó el camino para sentencias similares

La decisión de la DPA austriaca siguió. Después de que la DPA austriaca publicara su decisión que declaraba ilegal el uso de GA por primera vez, el OSD emitió una segunda decisión, declarando el uso de la anonimización de IP de Google como una medida de protección inútil para las transferencias de datos entre la UE y Estados Unidos. El OSD también rechazó la noción de un "enfoque basado en el riesgo", que Google había defendido y que permitiría la transferencia de supuestos "casos de bajo riesgo", por ejemplo, cuando se transfieren identificadores en línea o direcciones IP

La CNIL francesa ordena su cumplimiento. Solo unas semanas después de la decisión austriaca, la CNIL francesa ordenó a tres sitios web que cumplieran con el GDPR y omitieran el uso de Google Analytics. Tras recibir las quejas de noyb.eu, la CNIL pretendía extraer colectivamente las consecuencias de la sentencia Schrems II del TJUE y destacaba el riesgo de que los servicios de inteligencia estadounidenses accedieran a los datos personales transferidos a Estados Unidos si las transferencias no estaban debidamente reguladas.

Planteamientos nacionales a pesar del grupo de trabajo europeo Las APD tenían previsto adoptar un enfoque coordinado en relación con las 101 denuncias de Noyb, pero el grupo de trabajo instalado grupo de trabajo no parece haber cumplido: mientras que las APD de Italia, Austria y Francia investigaron a fondo las herramientas utilizadas para transferir datos personales, la APD de España desestimó una denuncia porque el proveedor del sitio web había eliminado Google Analytics del sitio web después de la denuncia. Del mismo modo, la APD de Luxemburgo desestimó tres denuncias relativas a la transferencia de datos a los servidores de Facebook en Estados Unidos, porque los sitios web habían eliminado las herramientas. Hasta ahora, ninguna APD ha rechazado los argumentos materiales de noyb ni ha declarado legales las transferencias.