Google Analytics siempre envía datos a EE.UU.

Google Analytics sigue siendo la herramienta web más popular para espiar el comportamiento de los usuarios.

Hace unos días, Google hizo una confesión sorprendente. Desde entonces, es indiscutible que todos los datos recopilados en un sitio web con Google Analytics se envían a Estados Unidos y siempre se procesan allí.

¿Por qué lo ha admitido Google?

Esto fue provocado por una denuncia de la organización de protección de datos noyb contra Google a la autoridad de supervisión austriaca. A continuación, la autoridad formuló a Google más de 20 preguntas.

Google respondió a las preguntas a menudo de forma evasiva, a menudo ignorante e incompleta. El hecho de que Google proclamara el almacenamiento exclusivo de datos en EE.UU. para los datos de Google Analytics es razonablemente fácil de explicar. Necesito extenderme un poco sobre esto.

¿Cuál es la situación jurídica?

Desde la sentencia del TJUE sobre el Escudo de la privacidad, también conocida como sentencia "Schrems II", EE.UU. se considera un tercer país inseguro. La transferencia de datos personales a EE.UU. requiere consentimiento.

En los sitios web siempre se produce una transferencia de datos personales porque la dirección de red del usuario, la dirección IP, es personal según una sentencia del más alto tribunal.

Se considera a EEUU un tercer país inseguro porque dispone de medios legales que permiten a las autoridades estadounidenses, como las agencias de inteligencia, acceder a los datos de empresas estadounidenses. Si una empresa estadounidense ha almacenado datos de clientes alemanes, Estados Unidos puede acceder a ellos.

Los instrumentos jurídicos que legitiman a los servicios secretos para acceder secretamente a los datos son, en particular, la Ley FISA y la Orden Ejecutiva EO12333. En su respuesta a la autoridad supervisora, Google aclaró que ambas normativas solo autorizan el acceso a datos almacenados fuera de Estados Unidos.

Por lo tanto, la lógica de Google es la siguiente: almacenamos todos los datos en EE.UU., por lo que no se puede acceder a ellos debido a la FISA y a la EO12333. Esto significa que los datos están seguros con nosotros.

Sin embargo, esto no es cierto, pero probablemente sea la mejor objeción posible que Google pueda presentar. La creatividad de la declaración de Google probablemente se correlaciona de alguna manera con los salarios de los abogados de Google. No obstante, Google ha admitido lo que muchos ya sabían pero no podían probar.

¿Están seguros los datos en Estados Unidos?

La mejor pregunta es si los datos enviados por Google Analytics a EE.UU. y almacenados allí son seguros.

Al parecer, en Europa se generan datos analíticos cuando un europeo abre un sitio web que integra Google Analytics. Google recopila estos datos a través de un colector.

Un recopilador es un servidor que se encuentra en las inmediaciones geográficas del usuario cuando es posible y recibe los datos del punto final. A continuación, los datos se envían a EE.UU..

Esto significa que la recopilación de datos tiene lugar en todo el mundo. La FISA y la EO12333 permiten a la NSA, como agencia de inteligencia estadounidense, llevar a cabo lo que se conoce como upstream collection. Esto implica intervenir un cable transatlántico a través del cual fluyen datos de otros lugares hacia Estados Unidos.

Esto es obviamente ilegal en sí mismo sin consentimiento, se podría ironizar. Aparte de eso, los interesados tendrían que ser informados al respecto, lo que probablemente no sea el caso. Según el GDPR, todos los interesados deben tener también un derecho de oposición. Es probable que la NSA tampoco conozca este término.

Requisito de consentimiento para Google Analytics

Debido a la recopilación de datos en todo el mundo y a las transferencias de datos únicamente a EE.UU., habría que solicitar el consentimiento para Google Analytics antes de cargar la herramienta.

En la configuración estándar actual, Google (Universal) Analytics utiliza cookies. De acuerdo con § 15 para. 3 TMG, esto está sujeto a consentimiento. Justificación:

• Las cookies son instaladas y leídas por Google Analytics
• Los valores de las cookies se envían a los servidores de Google
• Las cookies no son técnicamente necesarias. Prueba: Google Analytics también puede funcionar sin cookies.
• La Directiva sobre privacidad exige el consentimiento para ello en su art. 5 párr. 3. Es irrelevante qué datos se almacenan en las cookies. Ni siquiera tienen que ser datos personales.
• Según la sentencia del BGH de 28 de mayo de 2020 - I ZR 7/16 ("Planet49"), la TMG debe interpretarse de conformidad con la Directiva sobre la privacidad y las comunicaciones electrónicas

También es posible que no se pueda celebrar un APD efectivo con Google, porque los subcontratistas están distribuidos por todo el mundo, porque Google "posiblemente" sólo elimine los datos previa solicitud pasados dos meses, etc.

Todo ello es suficiente para suponer un requisito de consentimiento general para Google Analytics, aunque no se utilicen cookies.

Información sobre Google Analytics

Cualquiera que haya echado un vistazo a la política de privacidad de Google y al contrato de Google Analytics probablemente sea igual de listo que antes. La información de Google es tan enrevesada, repartida en varios documentos, vaga y ambigua que parece imposible ofrecer información transparente.

Sin embargo, según Artículo 12 GDPR, se debe proporcionar información transparente y comprensible sobre el procesamiento de datos con Google Analytics.

Conclusión

Obtener consentimiento efectivo para Google Analytics parece difícil. Estas llamadas ventanas emergentes de cookies en los sitios web no solo son molestas, sino que también suelen ser ilegales en práctica.

Sin consentimiento, Google Analytics sólo podría funcionar si no se utilizan cookies. Sin embargo, la calidad de los datos es entonces cuestionable porque Google Analytics no está optimizado para este tipo de funcionamiento.

Con herramientas como Trackboxx es posible realizar un análisis de los visitantes del sitio web respetuoso con la protección de datos. Sin cookies y sin huellas dactilares significativas, no es necesario solicitar el consentimiento. Aquí lo importante es la facilidad de uso, algo que desde luego no ocurre con Google Analytics. Cualquiera que haya mirado alguna vez el panel de Google Analytics no lo habrá entendido todo ni siquiera después de horas.

También creo que deberíamos favorecer a los proveedores alemanes y dejar de suministrar datos a Google de forma gratuita lo antes posible.

Cualquiera que haya planteado alguna vez un caso de asistencia o una pregunta general a una empresa conocerá la sensación de no haber recibido una respuesta adecuada. En mi experiencia, los proveedores nacionales son mucho más amables con el cliente y han interiorizado mejor el concepto de proveedor de servicios.