La Agencia de Protección de Datos de Francia (CNIL) ha declarado ilegal el uso de Google Analytics. La decisión es consecuencia de la resolución del TJUE en julio de 2020 que invalidó el conocido como 'Privacy Shield', que permitía transferir los datos personales a los Estados Unidos. Tras la sentencia, cuya doctrina se conoce como 'Schrems II', la transferencia de datos como los utilizados en Google Analytics es ilegal y por ende, las distintas agencias de protección de datos están tomando esta decisión.
El primer país en bloquear Google Analytics fue Austria en enero. Pero sabíamos que se extendería a más países, pues la sentencia del Tribunal Superior de Justicia de la UE es extensible a distintos países y a distintas empresas.
Francia se une a Austria y puede ir a más. El TJUE declaró que la transferencia de datos a EE.UU incumplía el Reglamento General de Protección de Datos. La consecuencia directa es que el 'Privacy Shield', un acuerdo entre la Unión Europea y los Estados Unidos, terminó. Desde entonces, esta transferencia de datos se considera ilegal, a falta de una nueva ley que recoja este uso. Austria tomó el primer paso y ahora ha sido Francia, pero las distintas agencias nacionales pueden tomar una postura similar. Por su parte, CNIL ha ordenado a empresas y operadores que dejen de utilizar Google Analytics.
La AEPD no se ha pronunciado al respecto, como tampoco lo ha hecho el Comité Europeo de Protección de Datos (EDPB).
Las empresas se mantienen a la espera, pero son conscientes del problema. Hasta la fecha empresas como Microsoft, Meta, Amazon o Google se han mantenido al margen, amparándose en sus contratos, explican desde Noyb, impulsores de esta postura.
El propio Max Schrems, abogado que da nombre a la doctrina, explica que "es interesante ver que las diferentes Autoridades Europeas de Protección de Datos llegan a la misma conclusión: el uso de Google Analytics es ilegal. Hay un grupo de trabajo europeo y asumimos que esta acción está coordinada y otras autoridades decidirán de manera similar".
Desde Google explican que "el problema no es que sea Google Analytics, sino las leyes existentes sobre transferencias de datos" y abogan por la necesidad de "una mejor estructura para las transferencias de datos de Europa a Estados Unidos".
La polémica con Meta marchándose de Europa tiene el mismo origen. Estos días se ha comentado mucho sobre la postura de Meta de marcharse de Europa, que posteriormente han matizado.
"Si no se adopta un nuevo marco de transferencia de datos (...) es probable que no podamos ofrecer varios de nuestros productos y servicios, como Facebook e Instagram, en Europa", explicaban desde Meta. Y lo cierto es que llevan razón, porque siguiendo con la doctrina del TJUE es muy probable que las agencias de protección de datos también puedan llegar a declarar ilegal su uso.
Según explica Euractiv, la agencia francesa también se encuentra analizando el uso de Facebook Connect.
La solución es un nuevo acuerdo entre Europa y EE.UU, pero no ha habido ningún movimiento. Para Jorge García Herrero, abogado especializado en Protección de Datos, la solución pasa por un nuevo acuerdo entre las dos potencias. Un futurible 'Privacy Shield III' que recoja determinados usos. Sin embargo, las negociaciones por el momento ni siquiera están encima de la mesa de forma oficial.
A lo largo de este año está visto que la Comisión de Protección de Datos de Irlanda, donde empresas como Meta o Google tienen la sede, se pronuncie sobre la transferencia de datos entre Europa y EEUU. Aquí hay dos posibilidades. O bien que se llegue a un nuevo acuerdo y se permite seguir utilizando las 'Cláusulas Contractuales Estándar (CCE)' o que se confirme que estas transferencias son ilegales, lo que forzaría a las grandes empresas tecnológicas a cambiar radicalmente su funcionamiento en Europa.
Ahora mismo lo que tenemos es una situación donde empresas como Google o Meta están viendo que, con la ley en la mano, sus principales herramientas digitales están siendo declaradas ilegales.
Imagen | Nathana Rebouças
Ver 27 comentarios