El seguimiento y rastreo de la navegación (o cookies) ha sido el gran protagonista en la esfera de la privacidad europea durante los últimos meses, donde hemos asistido a distintos pronunciamientos de Autoridades de Control que han identificado incumplimientos del Reglamento General Europeo de protección de datos personales (RGPD) en la explotación de la información obtenida mediante estos o similares mecanismos.
1. El mecanismo de rechazo de las cookies: Google y Facebook
Las entidades norteamericanas Google y Facebook han sido las grandes azotadas por la CNIL (Commission Nationale de l’Informatique et des Libertés), quien hizo públicas el pasado 7 de enero de 2022 las resoluciones sancionadoras, por un lado frente a Google Llc y Google Ireland Limited y, por otro, a Facebook Ireland Limited, por el incumplimiento del artículo 82 de la Ley de Protección de Datos Francesa, imponiendo sanciones de 150 y 60 millones de euros, respectivamente, al considerar que las primeras capas informativas de uso de cookies de los sitios web de las entidades no disponían de un mecanismo que permitiera rechazar el uso de las mismas a los usuarios de forma igual de sencilla como para aceptar su uso.
En ambos casos, la autoridad de control constata que las primeras capas informativas de los sites www.google.fr, www.youtube.com, y www.facebook.com ofrecen una opción de aceptar fácilmente las cookies pero no así para rechazar las mismas.
En esta línea, se pronunció ya la AEPD en la resolución nº PS/00032/2020, sancionando a una entidad por no disponer de un mecanismo de rechazo de cookies en la primera capa informativa, que requiriera una única acción como la dispuesta para su aceptación, lo que supuso una ampliación de las directrices facilitadas en la Guía de uso de las cookies publicada meses antes.
2. El estándar TFC de IAB: contrario al RGPD
Pocas semanas después, conocimos la resolución de la Autoridad de Protección de Datos Belga (DPA) que concluyó que el estándar de Transparency and Consent Framework (TFC) no cumple con lo establecido en el RGPD, imponiendo a la asociación IAB una sanción de 250.000 euros.
El TCF, es un mecanismo utilizado para la gestión de las preferencias de los usuarios en cuanto a la instalación de dispositivos de almacenamiento y recuperación de datos (cookies), utilizado, entre otras, por las empresas que realizan pujas en tiempo real para mostrar publicidad al usuario, creando una suerte de «cadena de consentimientos».
La noticia ha resonado fuerte en el sector, habida cuenta de que el sistema de IAB es el utilizado por muchos editores de sitios web en Europa, quienes se preguntan ahora si los estándares de adecuación dictados por la asociación siguen siendo válidos para sus mecanismos de obtención de consentimientos.
En cualquier caso, es preciso apuntar que la DPA no se centra en este caso en el tratamiento de datos que los editores de los sites realizan sobre los datos personales de los usuarios, sino sobre la actividad de tratamiento que conlleva el registro, almacenamiento y compartición de las preferencias de consentimiento por parte de la propia IAB, al entender que esta actúa también como responsable.
La DPA, aplicando una interpretación amplia de la figura del responsable, estima que los editores y los proveedores de tecnología publicitaria, incluida IAB, son corresponsables del tratamiento relativo a la obtención y difusión de las preferencias de los usuarios y el tratamiento de sus datos personales, entendiendo que si cualquiera de los agentes participantes desempeña un papel decisivo en la difusión de dichos datos personales, la misma debe ser considerada responsable del tratamiento.
Adicionalmente, la resolución concluye que el mecanismo, no se adecúa al RGPD por lo siguiente:
- Incorrecta base de legitimación del tratamiento para la cadena de consentimientos, no siendo aplicable el interés legítimo, al menos en su planteamiento actual.
- Falta de información (clara) a los interesados a través del CMP pues es demasiado genérica y vaga para permitir a los usuarios comprender la naturaleza y el alcance del tratamiento, especialmente dada la complejidad del TCF.
- Ausencia de medidas técnicas y organizativas adecuadas.
- Ausencia de registro de actividades del tratamiento, de EIPD y de nombramiento de DPO.
3. Google Analytics: objeto de análisis en cuanto a las Transferencias Internacionales
En lo que a dispositivos de seguimiento de la navegación se refiere, la herramienta o cookie de análisis y medición desarrollada por Google ha sido la gran protagonista en las últimas semanas, al ser objeto de distintas resoluciones que traen causa de la declaración de invalidez del Privacy Shield por parte del TJUE.
Así, son varias las Autoridades de Control que han dispuesto que con el uso de la herramienta se efectúa transferencias internacionales de datos personales que no se encuentran alineadas con los requisitos de los artículos 46 y 48 del RGPD.
En estas líneas, analizamos el estado situación a través de las principales resoluciones y pronunciamientos que se han dictado al respecto:
- Supervisor Europeo de Protección de Datos (EDPS):
El pasado 5 de enero, el EDPS amonestó al Parlamento Europeo por el incumplimiento de los artículos 4.1.a), 4.2, 14 y 15 del Reglamento 2018/1775 y
otras disposiciones de la Directiva ePrivacy, en relación con las capas informativas sobre el uso de cookies habilitadas en el site oficial.
De entre otras cuestiones que sacó a la luz el Supervisor – entre ellas, el contenido de los banners informativos-, estableció que el sitio web instalaba en los dispositivos de los visitantes las cookies de análisis y medición Google Analytics y Stripes, las cuales comportan transferencias internacionales de datos sin la aplicación de medidas adicionales que garanticen el mantenimiento de un nivel de protección equivalente al que establece en propio RGPD.
En este sentido, el EDPS recuerda que tras la invalidación del Privacy Shield, las Cláusulas Contractuales Tipo no son suficientes para garantizar la seguridad de los datos en el país de destino de la transferencia efectuada por las herramientas meritadas, esto es, EEUU.
- Austria: resolución de 13 de enero 2022 de la Datenschutzbehördeor
La Autoridad Austriaca de Protección de Datos («Datenschutzbehörde» o «DSB») dictó, el pasado 13 de enero de 2022, resolución a través de la cual considera que el uso de Google Analytics no cumple con lo previsto en el Capítulo V del RGPD (Transferencias de datos personales a terceros países u organizaciones internacionales).
Se trata de la primera decisión respecto de las 101 reclamaciones presentadas por la Organización NOYB (European Center for Digital Rights) a raíz de la decisión del TJUE, conocida como «Schrems II».
En algunos sectores ha podido causar cierto revuelo esta decisión, pero en definitiva el pronunciamiento está alineado con la decisión emitida por el Supervisor Europeo de Protección de Datos (EDPS) semanas antes, en el
sentido de afirmar que el uso de Google Analytics no se ajusta a la Sentencia Schrems II, ni a los requisitos del RGPD relativos a las transferencias de datos.
Lo que cambia, en realidad es que deja de ser un pronunciamiento aislado fruto de las reclamaciones del Sr. Schrems, para pasar a ser una cuestión objeto de análisis y sanción por las distintas autoridades de control.
Según manifestaciones de NOYB, se esperan decisiones similares en otros Estados miembros de la UE, ya que los reguladores han cooperado en estos casos en un «grupo de trabajo» del OEPD. Parece que la decisión del DSB austriaco es la primera que se emite.
- Francia: la CNIL se pronuncia
Por su parte, y, tras recibir varias reclamaciones del NOYB y en colaboración con el resto de las autoridades de control europeas, la CNIL analizó las condiciones en las que se realizan transferencias de datos a los Estados Unidos a través de la herramienta Google Analytics y los riesgos que dichas transferencias pueden conllevar.
En su análisis, la CNIL indica que, Google Analytics es una funcionalidad que pueden integrar los gestores de sitios web como los de venta online para medir el número de visitas de los internautas. En este contexto, se asigna un identificador único a cada visitante. Este identificador (que constituye datos personales) y los datos asociados son transferidos por Google a los Estados Unidos.
Tras dicho análisis, concluye que, sólo se podrán realizar transferencias a Estados Unidos cuando existan garantías adecuadas suficientes y, aclara que, a pesar de que Google ha establecido medidas adicionales para asegurar las transferencias, éstas no son suficientes para excluir la posibilidad de que los servicios de inteligencia estadounidenses accedan a los datos personales, lo que genera un riesgo para los usuarios que accedan a las páginas webs que utilicen esta herramienta.
Así, la autoridad francesa teniendo en cuenta además la resolución Schrems II, concluye que la transferencia de datos a los Estados Unidos constituye una infracción de los artículos 44 y siguientes del RGPD, concediendo un plazo de un mes al administrador del sitio web para adecuarse al RGPD, si es necesario, dejando de usar la funcionalidad de Google Analytics (en las condiciones actuales) o usando una herramienta que no conduce a la transferencia fuera de la UE.
Asimismo declara que este pronunciamiento es de aplicación frente a cualquier tipo de herramienta utilizada por las páginas webs que realicen transferencias de datos internacionales.
- Noruega: recomendación de su Autoridad
La cuestión de las Tranferencias Internaciones de Datos realizadas como consecuencia del uso de Google Analytics ha sido también objeto de revisión por la Autoridad de Protección de Datos de Noruega, que recomienda a los responsables del tratamiento que exploren alternativas al uso de Google Analytics, haciendo adicionalmente hincapié en el hecho de que la navegación, habiendo el usuario iniciado sesión en la cuenta de Google, permite vincular los datos de análisis obtenidos la instalación de las cookies, a dicha cuenta.
4. Próximas decisiones
Desde el 2020, el Comité Europeo de Protección de Datos (CEPD) cuenta con el Grupo de Trabajo (“101 Taskforce”) que analiza las implicaciones de las denuncias presentadas por NOYB ante las autoridades de control europeas.
Precisamente, en la reunión del 22 de febrero del CEPD, está previsto que el 101 Taskforce analice la cuestión sobre el uso de Google Analytics a raíz de los pronunciamientos observados en el presente Breves, lo que podría resultar en la adopción de un criterio común a nivel europeo para las autoridades de control.
A la espera de una decisión del CEPD, las resoluciones de las autoridades de Austria, Francia y Noruega pueden ser la antesala de un pronunciamiento de la AEPD sobre las consecuencias de utilizar Google Analytics y otro tipo de servicios similares que puedan conllevar transferencias internacionales de datos.
5. Recomendaciones
En consecuencia, y como ya indicábamos en nuestro Breves Regulación Digital de junio 2021, las compañías deberán tener en consideración en el marco de la utilización de cookies de Google Analytics, las correspondientes previsiones para la adecuación de las transferencias internacionales derivadas de dicho uso, esto es, actualizar
y/o adoptar las nuevas cláusulas contractuales, y en aquellos casos en los que las mismas puedan no ser suficientes para garantizar la ausencia de injerencia por parte de un gobierno, o el proveedor no sea capaz de garantizar que puede cumplir con las medidas recogidas, realizar un análisis o evaluación de impacto de la transferencia que se pretende acometer.
Dicho análisis debe evaluar los riesgos de privacidad de la transferencia de datos teniendo en cuenta las leyes locales, y el marco normativo en materia de protección de datos del país de destino, la compatibilidad con las Garantías Esenciales Europeas y, en particular, las circunstancias específicas de la transferencia (como el contenido y la duración, la naturaleza de los datos a transferir, el destinatario, la finalidad del tratamiento) y cualquier salvaguarda implementada adicional a las cláusulas (incluidas las técnicas y organizativas pertinentes).