El organismo de control de protección de datos de Suecia impuso algunas multas por las exportaciones de datos de usuarios europeos a través de Google Analytics, que, según dice, viola las reglas de privacidad del bloque debido a los riesgos que plantea la vigilancia del gobierno estadounidense. También advirtió a otras empresas contra el uso de la herramienta de Google.
Las multas (poco más de 1,1 millones de dólares para la empresa sueca de telecomunicaciones Tele2 y menos de 30 000 dólares para el minorista local en línea CDON) son notables, ya que son las primeras multas de este tipo tras una serie de quejas estratégicas sobre privacidad dirigidas a Google Analytics (y Facebook Connect) en agosto de 2020. . .
El regulador consideró que las llamadas medidas adicionales aplicadas por Google a los datos de usuarios europeos enviados a Estados Unidos para su procesamiento eran insuficientes para elevar el nivel de protección al nivel legal exigido. Incluyendo el uso de Google del truncamiento de direcciones IP (una medida de anonimización) porque en el caso de Tele2 dijo que la compañía no especificó si el truncamiento se hizo antes o después de la transferencia de los datos a los Estados Unidos y, por lo tanto, no pudo demostrar no hay «ningún acceso potencial a toda la dirección IP antes de que se trunque el último octeto».
El organismo de control también encontró violaciones de las reglas del Reglamento General de Protección de Datos (RGPD) del bloque sobre transferencias a terceros países en el caso del uso de Google Analytics por parte de otras dos empresas, Coop y Dagens Industries, pero no impuso multas en estos casos.
“En sus auditorías, IMY [the Swedish DPA] considera que los datos transferidos a los Estados Unidos a través de la herramienta de estadísticas de Google son datos personales porque los datos pueden estar vinculados a otros datos únicos que se transfieren. La autoridad también concluye que las medidas técnicas de seguridad que han tomado las empresas no son suficientes para garantizar un nivel de protección que esencialmente corresponde al garantizado dentro de la UE/EEE”, escribió el regulador en un comunicado. declaración.
“Las cuatro empresas basaron sus decisiones sobre la transferencia de datos personales a través de Google Analytics en cláusulas contractuales tipo. Según las auditorías de IMY, parece que ninguna de las medidas técnicas de seguridad adicionales de las empresas es suficiente. IMY impone una multa administrativa de 12 millones SEK a Tele2 y de 300 000 SEK a CDON, que no ha tomado las mismas medidas de protección amplias que Coop y Dagens Industri. Tele2 recientemente dejó de usar la herramienta de estadísticas por iniciativa propia. IMY ordena a las otras tres empresas que dejen de usar la herramienta.
En la publicación del blog, titulada «Las empresas deben dejar de usar Google Analytics», el regulador agregó que los cuatro fallos deben tratarse como una guía, describiendo lo que vieron como implicaciones más amplias.
El año pasado, varias autoridades de protección de datos de la Unión Europea, incluidos los organismos de control franceses e italianos, advirtieron contra el uso de la herramienta de análisis de Google después de descubrir que varios usuarios violaron las reglas del bloque sobre transferencias internacionales de datos. Sin embargo, otros reguladores no han emitido sanciones financieras, según la ONG noyb, que estuvo detrás de las quejas originales, aparentemente favoreciendo un enfoque más suave para aplicar GDPR a los usuarios de una herramienta tan familiar a pesar del mismo problema de transferencia de datos que subyace en todos ellos.
Las 101 quejas estratégicas originales de noyb se dirigieron a una variedad de sitios web en toda Europa que utilizan Google Analytics o servicios similares de Facebook luego de un fallo histórico del Tribunal de Justicia de la Unión Europea en julio de 2020 que anuló un acuerdo de transferencia de datos entre la UE y los EE. UU. llamado Privacy Shield. solo unos años después de que derrocara a su predecesor, Safe Harbor.
La UE y EE. UU. están finalizando un tercer acuerdo de transferencia de datos, denominado Marco de Privacidad de Datos UE-EE. UU., que se espera que se complete a finales de este mes, y eliminará, al menos a corto plazo, la inseguridad jurídica que ha enturbiado los datos. transferencias entre la UE y EE.UU. desde las sentencias del TJUE.
Dicho esto, se esperan desafíos legales al nuevo marco y varias instituciones europeas han expresado su preocupación de que algunos aspectos del acuerdo renegociado no van lo suficientemente lejos como para abordar las preocupaciones de los jueces. Por lo tanto, queda por ver si esta será la tercera oportunidad para una solución de alto nivel al conflicto entre los derechos de privacidad de la UE y las prácticas de vigilancia de los EE. UU.
En un comunicado comentando la decisión del organismo de control sueco de imponer las primeras sanciones por el uso ilegal de Google Analytics, el abogado de protección de datos Marco Blocher dijo: «Estamos muy satisfechos con la aclaración proporcionada por la ODA sueca. También es importante ver que hay multas: es la única forma de hacer que otras empresas cumplan.”
Se ha contactado a Google para comentar sobre las decisiones de la DPA.