Prácticamente todas las webs ministeriales utilizan Google Analytics, el servicio del buscador norteamericano de análisis de tráfico. Se trata de una aplicación vetada ayer mismo por el supervisor europeo de protección de datos, denominado EDPS (European Data Protection Supervisor). Es el organismo equivalente a la Agencia Española de Protección de Datos en España (AEPD), la mayor instancia de Protección de Datos en la Unión Europea.
El EDPS emitió la resolución que vetaba a Google Analytics tras analizar una denuncia presentada por NOYB (None Of Your Business, No es Asunto Tuyo traducido al español), una organización sin ánimo de lucro centrada el cumplimiento del Reglamento General de Protección de Datos (RGPD), directiva que protege el tratamiento de los datos de los europeos.
La denuncia se presentó en enero del año pasado contra el Parlamento Europeo. En ella se hacía referencia a una web de pruebas relacionadas con el coronavirus. Se ponía de relieve que había una transferencia ilegal de datos a Estados Unidos, así como anuncios poco claros sobre lo que hacían las cookies en esta web, que utilizaba tanto Google Analytics como Stripe, esta última una plataforma de pagos. Ayer el EDPS resolvió apercibir al Parlamento Europeo. En la resolución, a la que ha tenido acceso Vozpópuli, se pide que se subsane la situación. No se impone multa porque no está permitido que una entidad pública sea sancionada económicamente.
Las cookies son pequeños programas que permiten al propietario de una página web saber cómo se comporta el usuario o visitante de su espacio en Internet. Google ofrece este servicio a través de su herramienta Google Analytics
Google Analitycs es un servicio utilizado tanto por la página de Internet de La Moncloa (la web oficial del Gobierno de España y de la Presidencia del Gobierno español) como por la práctica totalidad de las web ministeriales: Ministerio de la Presidencia, Ministerio de Asuntos Económicos, Ministerio de Trabajo y Economía Social, Ministerio de Transición Ecológica, Ministerio de Asuntos Exteriores, Ministerio de Justicia, Ministerio de Hacienda, Ministerio de Interior, Ministerio de Defensa, Ministerio de Educación, Ministerio de Industria, Ministerio de Política Territorial, Ministerio de Cultura, Ministerio de Derechos Sociales, Ministerio de Ciencia e Innovación, Ministerio de Igualdad, Ministerio de Consumo y el Ministerio de Inclusión.
Google Analitycs es utilizado también de forma generalizada por empresas privadas, pero resulta especialmente paradójico -como puede verse tras la resolución de la justicia europea- que se haga desde las instituciones públicas de alto rango. "Crea la apariencia de que no hay problema con su uso ya sea en el ámbito público o privado, cuando existen actualmente obstáculos para este tipo de transferencias", explica Sergio Carrasco Mayans, abogado de Faseconsulting especializado en nuevas tecnologías. Este medio se ha puesto en contacto con el Ministerio de la Presidencia y otras carteras más para saber por qué se utiliza Google Analytics en las webs, pero no ha obtenido respuesta.
Google Analytics transfiere los datos a Estados Unidos
Las cookies son pequeños programas que permiten al propietario de una página web saber cómo se comporta el usuario o visitante de su espacio en Internet. En el caso de Google Analytics, algunos de esos datos son enviados a Estados Unidos para su tratamiento.
De hecho, la resolución de la EDPS refleja que datos de los usuarios de la web del Parlamento Europeo fueron enviados al citado país, donde no se garantiza un tratamiento de los mismos acorde al RGPD. "Los datos personales procesados a través de ellos (en referencia a Google Analytics) fueron transferidos a los Estados Unidos, donde se encuentran Stripe y Google LLC. La conclusión es que se produjeron transferencias a Estados Unidos", desgrana el documento.
Al texto añade que "el Parlamento Europeo no proporcionó documentación, evidencia u otra información sobre las medidas contractuales, técnicas u organizativas previstas para garantizar una nivel de protección esencialmente equivalente a los datos personales transferidos a Estados unidos en el contexto del uso de cookies en el sitio web. Por lo tanto, el EDPS considera que el Parlamento no cumplió los requisitos del artículo 46 y el artículo 48, apartado 2, letra b), del Reglamento para el período comprendido entre el 30 de septiembre y el 4 de noviembre de 2020, durante el cual las cookies en pregunta estaban presentes en el sitio web dedicado".
Por último, el supervisor europeo considera que se debe informar sobre "qué datos se transfirieron a Estados Unidos a través de Google Analytics y Stripe al país, así como las garantías necesarias para realizar las transferencias, como la solicitud de acceso a los datos personales en base al artículo 17 del RGPD". El artículo 17 establece que se podrá reclamar la supresión de los datos personales en determinadas circunstancias, como que ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados.
Sergio Carrasco Mayans apunta que "con el actual marco normativo estadounidense nos encontramos con un problema serio que puede acabar afectando a un gran número de prestadores, y que es de muy difícil solución a la vista de las amplias competencias que contemplan normas como la FISA (disposición que permite al Gobierno de Estados Unidos vigilar a personas extranjeras ubicadas fuera del país), con la asistencia imperativa de los proveedores de servicios de comunicaciones electrónicas. Si se continúa aplicando este criterio, en breve veremos múltiples procedimientos sancionadores en el mismo sentido".
El precedente a Google, Facebook
El denominado caso Schrems II fue una denuncia presentada por NOYB en Bruselas contra Facebook. De nuevo, el elemento de controversia era la transferencia de datos de usuarios europeos a Estados Unidos. La resolución de la justicia europea, publicada en el verano de 2020, dejó claro que el envío de datos desde el viejo continente a Estados Unidos debe estar sujeta a condiciones muy estrictas. Es algo que las páginas web deben evitar a toda costa.
"Los sitios web deben abstenerse de transferir datos personales a los Estados Unidos, donde no se puede garantizar un nivel adecuado de protección de los datos personales. El EDPS confirmó que el sitio web en realidad transfirió datos a los Estados Unidos sin garantizar un nivel adecuado de protección de los datos y destacó que el Parlamento no proporcionó documentación, evidencia u otra información sobre las medidas contractuales, técnicas u organizativas vigentes para garantizar un nivel de protección equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web". aseguró entonces el EDPS, que ahora señala a Google Analytics.
Sergio Carrasco Mayans añade que "son muchos los que se han acostumbrado a utilizar herramientas ampliamente implantadas como Google Analytics sin tener en cuenta las decisiones que hasta el momento el Tribunal de Justicia de la Unión Europea ha tomado. Esta resolución del EDPS es una de las primeras que aplica en la práctica la decisión de Schrems II, entendiendo que el uso de cookies analíticas como las de Google analytics suponen una transferencia internacional de datos a Estados Unidos y, por tanto, queda afectada por la necesidad de garantizar un nivel determinado de seguridad".