Comunicado del CNIL relativo a la utilización de Google Analytics y las transferencias de datos internacionales
Por Pablo Tena
La Autoridad de Control de protección de datos de Francia (en adelante, la “CNIL”) ha emitido un comunicado respecto a la utilización de la herramienta Google Analytics (el “Comunicado”).
El Comunicado sigue la línea de los recientes pronunciamientos de la Autoridad de Control de Austria y del Supervisor Europea de Protección de Datos a raíz de (i) la Sentencia del Tribunal de Justicia de 16 de julio de 2020 en el caso “Schrems II”, que declaraba nula la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU y, por último, (ii) de las más de 100 denuncias realizadas por la asociación Noyb ante todas las Autoridades de Control de protección de datos del Espacio Económico Europeo.
En este sentido, la Autoridad de Control austriaca publicó el pasado 13 de enero de 2022 su Decisión en la que consideraba que:
(i) Los datos recogidos mediante Google Analytics son transferidos Google LLC a Estados Unidos vulnerando los requisitos establecidos en el artículo 44 y siguientes del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (el “RGPD”);
(ii) Las cláusulas contractuales tipo aprobadas por la Comisión Europea por sí solas no ofrecen garantías adecuadas para la transferencia de datos personales, ya que las agencias de inteligencia estadounidenses habrían podido acceder en general a los datos personales transferidos en virtud de la normativa americana.
Por otro lado, las Autoridades de Control de Dinamarca y Países Bajos han emitido un comunicado en el que ponen de manifiesto que están considerando la posición adoptada por la Autoridad de Control austriaca.
Por su lado, el reciente Comunicado de la CNIL concluye que, a pesar de las medidas complementarias adoptadas por Google para regular las transferencias de datos, las transferencias internacionales de datos a Estados Unidos que se derivan del uso de Google Analytics no cuentan con las garantías adecuadas infringiendo, por tanto, el artículo 44 y siguientes del RGPD.
En consecuencia, la CNIL requiere a los gestores de páginas web a adaptar el tratamiento de datos al RGPD en el plazo de 1 mes. Además, la CNIL recomienda utilizar únicamente aquellas herramientas de medición que produzcan datos estadísticos anónimos y que, por tanto, no requieran consentimiento.
Por último, cabe mencionar que los pronunciamientos de las Autoridades de Control de Austria y Francia tienen delimitada su competencia territorialmente por lo que no son aplicables para España. Si bien es cierto esto, se espera que las diferentes Autoridades de Control (entre las que se incluye la española) se vayan posicionando a lo largo de estos meses.