La CNIL, la Agencia de Protección de Datos Francesa, ha declarado en su reciente resolución que la utilización de Google Analytics viola la normativa europea de protección de datos. Es el segundo caso, tras el austriaco, en el que se declara tal violación del RGPD.
Como es conocido, Google Analytics es una herramienta usual de monitorización del acceso a las páginas web para medir el número de visitantes que tiene. En función del usuario (conocido en función de los datos de acceso, esencialmente su IP que es, también un dato de carácter personal) se agregan los datos de acceso a las webs (con lo que se puede obtener información sobre los datos de consumo) y se transfieren a los Estados Unidos. Un seguimiento que tiene el atractivo para las webs de impulsar algo su posicionamiento a la hora de la búsqueda en Google.
El problema esencial es que, para la Unión Europea, los Estados Unidos no son un lugar seguro para los datos de carácter personal. El Tribunal de Justicia de la Unión Europea, en su sentencia de 16 de julio de 2020, declaró que el Privacy Shield incumple los estándares europeos. En consecuencia, toda transferencia de datos personales a los Estados Unidos es contraria a la normativa europea. Recordemos que en aquel caso, lo que estaba en discusión era la gestión de los datos por parte de Facebook
Google es lo que está haciendo con los datos que capta a través de Google Analytics. Monitorización, acumulación, tratamiento y exportación de datos. De hecho, la CNIL declara expresamente que los datos personales captados a través de Google Analytics no están suficientemente protegidos de acuerdo con la reglamentación europea de protección de datos personales.
Pero la realidad es que no sólo ocurre a través de está herramienta. ¿Tenemos seguridad de que los datos que están almacenados en los servidores de Google no hacen exactamente lo mismo?
La decisión de la CNIL es especialmente importante en el contexto de construcción de los servicios europeos de cloud a que he hecho referencia en otras ocasiones. Si dejamos todos los datos en manos de Microsoft, Google o Amazon el resultado es que sus prácticas comerciales conllevan la llegada de los datos a los Estados Unidos.
Y, en el horizonte, esta la CLOUD ACT estadounidense. Una norma que da un paso más: los datos pueden caer en manos del Gobierno estadounidense, en la medida en que todas las empresas de cloud de titularidad estadounidense (y sus filiales) tienen obligación de entrega de los datos cuando son requeridos por el Gobierno de aquel país.
Una realidad que, conjuntamente (traspaso de datos y entrega al Gobierno estadounidense), constituyen la razón que lleva a que las entidades del Gobierno francés no puedan utilizar la suite Office 365. Es un problema de seguridad nacional.
Con carácter general, el problema fundamental es el que señaló en su momento Tzodorov sobre la percepción de los datos personales en los Estados Unidos: “My name is America and I’m a dataholic”. Con esta perspectiva la adopción de medidas de protección resulta especialmente significativa. La economía del dato en los Estados Unidos pasa por su captación absoluta y su gestión económica olvidando que el titular de los datos personales es la persona a la que se refieren.
Los efectos de la resolución deben pasar por la prohibición de utilización de la herramienta de Google analytics en territorio francés. De igual forma, el ámbito de cooperación en el que se inserta la decisión de CNIL debiera comportar que en todos los países de la Unión se debiera adoptar una política equivalente. La alternativa sería que Google no procediera a hacer la transferencia de datos… ¿Es una quimera?
Creo que, al igual que ocurre con el grito plañidero de Facebook -que parece más un farol de lobbysta- de que va a dejar Europa sin Whatsapp o Instagram, ni Google ni ninguna otra se puede permitir el lujo de abandonar Europa. Ni Amazon tampoco. Ni Europa se puede permitir el lujo de cambiar el modelo de protección de datos para satisfacer a los operadores estadounidenses. Lo que sí debería ocurrir es que la industria europea debiera proporcionar una alternativa eficaz para tener los mismos servicios, pero con mayor estándar de protección. Mientras esto ocurre, la única alternativa es que cumplan con la norma.
