El regulador de privacidad de Francia ha encontrado casos en los que el uso de Google Analytics no cumple con el Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
A través de una investigación sobre las prácticas de datos del sitio web local no identificado, la Comisión Nacional de la Información y las Libertades (CNIL) descubrió que el uso del sitio web de Google Analytics violaba el RGPD. El regulador francés dijo que el uso de la herramienta infringió el Artículo 44, que prohíbe las transferencias de datos personales desde dentro del bloque a «terceros países» que no cuentan con protecciones de privacidad equivalentes.
Entre los países que no alcanzan este umbral se encuentra EE. UU., ya que no proporciona a los ciudadanos no estadounidenses los medios para saber cómo se adquieren o utilizan sus datos. Las leyes de los EE. UU. tampoco brindan a los ciudadanos no estadounidenses la posibilidad de recurrir cuando se hace un uso indebido de sus datos.
La investigación del regulador sobre el sitio web local anónimo se realizó junto con la investigación de otras 100 quejas que se presentaron al grupo de defensa de la privacidad Noyb poco después de que el Tribunal de Justicia de la Unión Europea anulara el acuerdo del Escudo de privacidad UE-EE. UU. en 2020.
Las denuncias fueron presentadas a Noyb, cuyo fundador, Max Schrems, fue quien inició los trámites para invalidar el acuerdo de Privacy Shield.
Con este hallazgo, la CNIL ha ordenado que el sitio web local no identificado cumpla con el RGPD. Al emitir esta orden, el regulador dijo que, de ser necesario, el sitio web tendría que dejar de usar Google Analytics en las condiciones actuales.
El sitio web tendrá un mes para cumplir con el pedido.
«Aunque Google ha adoptado medidas adicionales para regular las transferencias de datos en el contexto de la funcionalidad de Google Analytics, estas no son suficientes para excluir la accesibilidad de estos datos para los servicios de inteligencia estadounidenses», dijo la CNIL en un comunicado.
«Por lo tanto, existe un riesgo para los usuarios de sitios web franceses que utilizan este servicio y cuyos datos se exportan».
Sin embargo, la CNIL aclaró que puede haber algunos casos en los que el uso de Google Analytics cumpla con los requisitos de GDPR, como garantizar que la herramienta solo se use para producir datos estadísticos anónimos. CNIL explicó que el uso de Google Analytics de esta manera crearía una exención de consentimiento siempre que los datos no se transfieran ilegalmente.
Además de emitir la orden, la CNIL dijo que lanzaría una evaluación para determinar qué herramientas publicitarias y de medición de audiencia están exentas de consentimiento.
La interpretación francesa de GDPR sigue a Google instando a los legisladores en los EE. UU. y Europa a establecer nuevas reglas para un marco de transferencia segura de datos el mes pasado. Al expresar su preocupación, Google pidió más transparencia sobre cómo interpretar el RGPD, y su presidente de asuntos globales, Kent Walker, afirmó que la falta de un marco de transferencia de datos conduciría a una falta de estabilidad legal.
Otros gigantes tecnológicos de EE. UU., como Meta, tampoco han tomado con buenos ojos la falta de un marco de transferencia de datos entre la UE y EE. UU. A la luz de la falta actual de uno, Meta «amenazó» con retirar sus servicios de Europa en su presentación anual ante la Comisión de Bolsa de Valores de EE. UU. Sin embargo, el gigante tecnológico posteriormente se retractó de sus comentarios, después de que la «amenaza» apareciera en los titulares de varios medios y recibiera críticas de los políticos europeos.
«Meta no quiere ni ‘amenaza’ con irse de Europa y cualquier informe que implique que lo hacemos simplemente no es cierto. Al igual que otras 70 empresas de la UE y EE. UU., estamos identificando un riesgo empresarial resultante de la incertidumbre en torno a las transferencias internacionales de datos», dijo Markus. Reinisch, vicepresidente de políticas públicas de Meta Europa.
