El 16 julio de 2020 se produjo uno de los terremotos de mayor magnitud que se han dado en el mundo digital. Ese día el Tribunal de Justicia de la Unión Europea (TJUE) tumbó el acuerdo que regulaba las transferencias de datos personales entre el bloque comunitario y EEUU, dejando en el aire los servicios que las multinacionales digitales norteamericanas proporcionan a empresas europeas. Las consecuencias empiezan a llegar ahora: esa sentencia es la que ha provocado que una corporación como Facebook se plantee la opción de retirarse del continente y la que puede generar multas para las organizaciones que empleen algunas de las herramientas más utilizadas de Google.
Según han confirmado fuentes del organismo a elDiario.es, la Agencia Española de Protección de Datos (AEPD) está investigando a varias empresas que usan Google Analytics. Se trata de un paquete de funcionalidades usado de forma masiva por usuarios, empresas, asociaciones, instituciones públicas y ONG para analizar el comportamiento de los visitantes de sus páginas web o aplicaciones. Les permite saber de dónde vienen, qué dispositivo utilizan, qué les atrae de la página o cuál ha sido su camino antes de comprar un producto, darse de alta como miembros o suscribirse a sus servicios.
La AEPD está analizando si Google Analytics y las transferencias de datos a EEUU que pueden realizarse a través del servicio respetan el Reglamento Europeo de Protección de Datos. Recientemente, tanto Austria como Francia han determinado que esos intercambios de información a través del Atlántico son ilegales desde que el TJUE emitió su sentencia de 2020, aunque los reguladores de privacidad sospechan que la mayoría de multinacionales digitales estadounidenses han seguido realizándolas sin introducir demasiados cambios.
Se recomienda que las herramientas de medición y análisis de audiencia de los sitios web sólo se utilicen para producir datos estadísticos anónimos
En sus resoluciones, la agencia de protección de datos austriaca y francesa han declarado que las transferencias de datos de Google Analytics hacia EEUU violan el Reglamento Europeo de Protección de Datos. Piden a las organizaciones y usuarios que lo tienen contratado que se aseguren que su tratamiento de información no incluye estos trasvases o que usen otros servicios. “En cuanto a los servicios de medición y análisis de la audiencia de los sitios web, se recomienda que estas herramientas sólo se utilicen para producir datos estadísticos anónimos”, añadía el regulador francés.
Fuentes de Google explican a elDiario.es que, a juicio de la compañía, el problema no radica en Analytics sino en la ausencia de una regulación para las transferencias de datos tras la sentencia del TJUE que tumbó el acuerdo anterior. “Google Analytics es un servicio que emplean las organizaciones para entender el uso que se hace de sus sitios y aplicaciones, con el objetivo de optimizarlos. No rastrea a los usuarios ni elabora perfiles individuales en Internet”, expone la multinacional.
Es la organización, y no Google, quien controlan qué datos se recogen y cómo se utilizan
Google afirma que los datos que se recogen a través de Analytics no son utilizados para fines publicitarios por su parte. “Cuando una organización utiliza Google Analytics es porque ha decidido hacerlo. Es la organización, y no Google, quien controlan qué datos se recogen y cómo se utilizan”, alega. “Google se limita a almacenar y procesar esos datos conforme a las instrucciones que le da la organización; por ejemplo, para proporcionarle informes sobre el uso que hacen los visitantes de sus sitios web y aplicaciones”, dice.
No obstante, el motivo que está detrás de las resoluciones de Francia y Austria y que ha impulsado la investigación del regulador español no es el perfilado publicitario de los usuarios. “Aunque Google ha adoptado medidas adicionales para regular las transferencias de datos en la funcionalidad Analytics, estas no son suficientes para impedir el acceso a estos datos por parte de los servicios de inteligencia estadounidenses”, señala la agencia francesa.
“Google lleva más de 15 años ofreciendo servicios relacionados con Analytics a empresas de todo el mundo y en todo ese tiempo no ha recibido ni una sola vez el tipo de petición de información con la que se especula”, ha contestado Kent Walker, presidente de Asuntos Globales y director jurídico de la multinacional sobre esa “capacidad teórica de acceder a los datos de los usuarios” de las agencias de seguridad de EEUU.
Un terremoto provocado por la NSA
El origen de toda esta situación es la capacidad que la ley estadounidense otorga a la Agencia de Seguridad Nacional (NSA) o al FBI para investigar las bases de datos de sus multinacionales sin un principio de proporcionalidad. Ese fue el principal argumento del TJUE para invalidar en 2020 el acuerdo bilateral entre Washington y Bruselas que hasta ese momento había regulado las transferencias de datos. Ese protocolo, conocido como “Privacy Shield” (Escudo de Privacidad), no protegía adecuadamente a los europeos de la vigilancia indiscriminada de las agencias de EEUU, según dictaminaron los magistrados.
El denunciante en aquel caso fue el austríaco Max Schrems, presidente de la ONG propivacidad Noyb. El joven llevó ante los tribunales a Facebook por no impedir que los servicios de inteligencia de EEUU accedieran a los datos de los europeos. El TJUE le dio la razón en una sentencia que se conoce como Schrems II, ya que cinco años antes hubo un Schrems I: en 2015 el activista ya había conseguido que el TJUE anulara el acuerdo de transferencia de datos anterior al “Privacy Shield”, conocido como “Safe Harbour” (Puerto Seguro).
No obstante, tras la sentencia Schrems II Noyb no se quedó a la espera de que Washington y Bruselas redactaran un nuevo acuerdo. Con objetivo de forzar a los reguladores de privacidad a actuar, la ONG envió 101 denuncias a los reguladores europeos contra empresas que usaban los servicios de Google y Facebook. La AEPD confirma a elDiario.es que su investigación nace de esas reclamaciones, al igual que las que han provocado las resoluciones de Austria y Francia.
“En lugar de adaptar sus servicios para cumplir con las normas europeas, las empresas estadounidenses han intentado simplemente añadir algún apéndice a sus políticas de privacidad y hacer caso omiso del TJUE. Muchas empresas de la UE han seguido ese ejemplo en lugar de implementar opciones legales”, ha manifestado Schrems tras la resolución de sus primeras reclamaciones en Austria y Francia. “Esperamos que decisiones similares vayan tomándose gradualmente en la mayoría de los estados miembros de la UE”, ha puntualizado.
Investigación a gran escala
Hasta ahora, la actuación de Noyb ha provocado que los reguladores actúen contra las empresas que usan Google Analytics, aunque de momento no ha habido sanciones económicas contra ellas. En el caso austríaco, la compañía denunciada se fusionó con otra alemana y ahora tiene su sede en el país germano, con lo que Austria no puede imponerle sanciones. En el francés, el regulador de privacidad ha tenido en cuenta que la empresa cambió de servicio de análisis de datos tras la apertura de la investigación.
Sin embargo, la cuestión se está trabajando también a un nivel superior. “Está siendo objeto de análisis en un grupo coordinado a nivel europeo”, avanza la AEPD. Esa investigación comunitaria podría desembocar en una multa contra las multinacionales americanas por parte del regulador de privacidad de Irlanda, donde estas compañías tienen su sede. El Reglamento de Protección de Datos permite imponer multas de hasta el 4% de la facturación anual global.
“La clave es que lo que va buscado la NSA es información de terroristas, de líderes políticos, de agencias de inteligencia de otros países...”, aclara Jorge García Herrero, abogado especialista en protección de datos que asesora a una de las empresas afectadas por una de las 101 denuncias de Noyb. “Eso no tiene nada que ver con el blog de cocina de tu cuñado ni con la fábrica de radiadores de Albacete, que son los que tienen Google Analytics o el píxel de publicidad de Facebook, pero ellos pueden terminar siendo también multados”, dice.
Las empresas no tienen el poder de cambiar el régimen legal americano ni el europeo. Los políticos deben asumir su error
“Es un tema indisoluble y que se tiene que arreglar a nivel político, porque son ellos los que han cometido el error. La Comisión Europea, por dos veces, ha firmado un acuerdo diciendo que el régimen legal de EEUU es compatible con el europeo, y que por eso se establece un tratado internacional que permite el flujo de datos. Y por dos veces, el TJUE ha fallado que no es cierto”, enfatiza el letrado en conversación con este medio. “Las empresas no tienen el poder de cambiar el régimen legal americano ni el europeo. Por eso se sigue como si nada, pero se está infringiendo la ley y con una mano delante y otra detrás”, indica.
Un nuevo acuerdo de transferencia de datos que aporte seguridad jurídica es lo que piden a gritos tanto Facebook como Google, pero también Noyb. “A largo plazo, necesitamos protecciones adecuadas para los datos personales de los europeos en EEUU, o acabaremos teniendo productos separados para EEUU y para la UE. Personalmente, preferiría una mejor protección en EEUU, pero esto depende del legislador estadounidense, no de alguien en Europa”, expresa Max Schrems, en referencia a que Washington tendrá que aceptar que sus agencias de inteligencia no podrán entrar en las bases de datos de los ciudadanos europeos.