Europa se ha visto afectada por una serie de restricciones de Google Analytics en los últimos meses. Hay varios incidentes en diferentes países, pero la incidencia más extendida fue la relacionada con las regulaciones en Italia, Francia y Austria, donde los reguladores de protección de datos dijeron que el uso de Google Analytics no cumple con el GDPR.
En este artículo, quiero hablar de la normativa que prohíbe la transferencia de datos de los usuarios europeos a las empresas estadounidenses. También voy a cubrir cómo se puede utilizar Stape Europe para configurar un servidor proxy de la UE para el servidor GTM que ayudará a que el uso de Google Analytics GDPR compatible.
La historia legal del intercambio de datos entre empresas de la UE y de Estados Unidos comenzó en 2016 cuando la Comisión Europea aprobó el Escudo de Privacidad (un marco legal que regula la transferencia de datos con fines comerciales entre empresas de Estados Unidos y de la UE).
En 2020 el Tribunal de Justicia de la Unión Europea declaró que el Escudo de Privacidad tiene una incapacidad. Sucedió ya que la legislación estadounidense no ofrece suficiente protección de los datos personales para los residentes europeos.
El amplio debate en esta sentencia se refería a los servicios de Google (como Google Analytics o Google Fonts) que no pueden garantizar la seguridad de los datos de los usuarios de la UE.
Los reguladores declararon que pedir el consentimiento del usuario (o cláusulas contractuales estándar) en el sitio y activar una herramienta de seguimiento inteligente basada en el consentimiento del usuario no hará que se cumpla el GDPR.
Los dos incidentes más famosos relacionados con la transferencia de datos de usuarios de la UE a EE.UU. se produjeron en Italia y Francia. Empecemos con el de Francia.
La autoridad francesa de protección de datos (CNIL) recibió quejas de usuarios franceses que preguntaban si el uso de Google Analytics (una herramienta de inteligencia que pertenece a la empresa estadounidense) cumple con las normas del GDPR.
La CNIL declaró que el uso de Google Analytics por parte de los sitios web franceses supuso una transferencia de datos de los usuarios europeos a empresas estadounidenses. Esto infringe las normas del GDPR, ya que las empresas estadounidenses no aportan suficientes pruebas de que los datos personales de los usuarios de la UE estén seguros. Además, la CNIL ha confirmado que la aplicación de los CSC por parte de Google no es suficiente para cumplir los requisitos del RGPD.
La situación en Italia es en cierto modo similar. El regulador italiano de SA recibió preguntas de varios usuarios sobre si el uso de Google Analytics por parte de un sitio italiano concreto entraba en el ámbito del GDPR. Después de las largas investigaciones, el regulador italiano advirtió a las empresas que dejaran de usar Google Analytics o que configuraran GA de forma compatible con el GDPR en 90 días.
Además, el regulador italiano hizo público que había recibido múltiples quejas sobre la transferencia de datos a las empresas estadounidenses. Todos los propietarios de sitios web italianos deberían tenerlo en cuenta a la hora de implementar herramientas de seguimiento inteligente con sede en Estados Unidos. De lo contrario, podrían aplicarse sanciones.
Así que, en resumen, la transferencia de datos de los usuarios de la UE a las empresas estadounidenses no cumple con el GDPR. La mayor duda se refiere al uso de Google Analytics, ya que es la herramienta de análisis más extendida.
Comentarios