El organismo de control de protección de datos de Suecia emitió un par de multas en relación con las exportaciones de datos de usuarios europeos a través de Google Analytics que descubrió que violan el libro de reglas de privacidad del bloque debido a los riesgos que plantea la vigilancia del gobierno de EE. UU. También ha advertido a otras empresas contra el uso de la herramienta de Google.
Las multas (poco más de 1,1 millones de dólares para la empresa de telecomunicaciones sueca Tele2 y menos de 30.000 dólares para el minorista local en línea CDON) son notables, ya que son las primeras multas de este tipo tras una serie de quejas estratégicas sobre privacidad dirigidas a Google Analytics (y Facebook Connect) en agosto de 2020.
El regulador descubrió que las llamadas medidas complementarias aplicadas por Google a los datos de los usuarios europeos enviados a los EE. UU. para su procesamiento eran insuficientes para elevar el nivel de protección al estándar legal requerido. Incluyendo el uso de Google del truncamiento de la dirección IP (una medida de anonimización) ya que, en el caso de Tele2, dijo que la compañía no aclaró si el truncamiento se realizó antes o después de la transferencia de los datos a los EE. UU., por lo que no pudo demostrar no hay «acceso potencial a toda la dirección IP antes de que se trunque el último octeto».
El organismo de control también encontró infracciones de las reglas del Reglamento General de Protección de Datos (RGPD) del bloque sobre transferencias a terceros países en el caso del uso de Google Analytics por parte de otras dos empresas, Coop y Dagens Industries, pero no emitió multas en esos casos.
“En sus auditorías, IMY [the Swedish DPA] considera que los datos transferidos a los EE. UU. a través de la herramienta de estadísticas de Google son datos personales porque los datos pueden vincularse con otros datos únicos que se transfieren. La autoridad también concluye que las medidas técnicas de seguridad que han tomado las empresas no son suficientes para garantizar un nivel de protección que esencialmente corresponde al garantizado dentro de la UE/EEE”, escribió el regulador en un comunicado.
“Las cuatro empresas han basado sus decisiones sobre la transferencia de datos personales a través de Google Analytics en cláusulas contractuales estándar. De las auditorías de IMY se desprende que ninguna de las medidas técnicas de seguridad adicionales de las empresas es suficiente. IMY emite una multa administrativa de 12 millones SEK contra Tele2 y 300 000 SEK contra CDON, que no ha tomado las mismas medidas de protección amplias que Coop y Dagens Industri. Tele2 ha dejado recientemente de utilizar la herramienta de estadísticas por iniciativa propia. IMY ordena a las otras tres empresas que dejen de usar la herramienta”.
En la publicación del blog, que se titula «Las empresas deben dejar de usar Google Analytics», el regulador agregó que las cuatro decisiones deben tratarse como una guía, enfatizando lo que expresó como implicaciones más amplias.
El año pasado, varios DPA de la Unión Europea, incluidos los organismos de control de Francia e Italia, advirtieron contra el uso de la herramienta de análisis de Google después de descubrir que varios usuarios no cumplían con las reglas del bloque sobre transferencias internacionales de datos. Sin embargo, otros reguladores no han emitido sanciones financieras, según la ONG noyb, que estaba detrás de las quejas originales, aparentemente a favor de un enfoque más suave para hacer cumplir el RGPD a los usuarios de una herramienta tan familiar a pesar del mismo problema de transferencia de datos que subyace en todos ellos.
Las 101 quejas estratégicas originales de noyb se dirigieron a una variedad de sitios web en toda Europa que utilizan Google Analytics o servicios similares de Facebook a raíz de un fallo histórico del Tribunal de Justicia de la Unión Europea en julio de 2020 que invalidó un acuerdo de transferencia de datos entre la UE y los EE. UU. llamado Privacy Shield. solo unos años después de derribar a su predecesor, Safe Harbor.
La UE y los EE. UU. están en el proceso de finalizar un tercer acuerdo de transferencia de datos, llamado Marco de Privacidad de Datos UE-EE. ha estado nublando las transferencias de datos entre la UE y los EE. UU. desde que el TJUE derribó.
Dicho esto, se esperan desafíos legales al marco entrante y varias instituciones europeas han expresado su preocupación de que los aspectos del acuerdo renegociado no van lo suficientemente lejos como para abordar las preocupaciones de los jueces. Por lo tanto, queda por ver si será la tercera vez que se encuentre una solución de alto nivel para el conflicto entre los derechos de privacidad de la UE y las prácticas de vigilancia de los EE. UU.
En un comunicado comentando la decisión del organismo de control sueco de emitir las primeras sanciones por el uso ilegal de Google Analytics, Marco Blocher, un abogado de protección de datos de noyb, dijo: “Estamos muy contentos con la aclaración adicional de la DPA sueca. También es importante ver que hay multas, es la única forma de lograr que otras empresas cumplan.”
Se contactó a Google para comentar sobre las decisiones de la DPA.