¿Es ilegal Google Analytics? Te ponemos al día
¿Es o no ilegal Google Analytics en España? Una pregunta que sin duda se ha repetido en no pocas ocasiones en no pocos departamentos de marketing durante estas últimas semanas. Sin embargo, la respuesta es un tanto más compleja que un categórico “Sí” o “No” (amén de que, en realidad, te serviría de bien poco).
Antes de nada, pongamos un cierto contexto:
Estamos en julio de 2020. El Tribunal de Justicia de la Unión Europea va a dar un mazazo en la mesa que va a hacer tambalear los departamentos de Marketing de todo el mundo: declara que el Privacy Shield (escudo de privacidad), el acuerdo de puerto seguro entre EEUU y Europa, vigente desde 2016, no es válido.
¿El motivo? La ley estadounidense habilita a las empresas norteamericanas a recopilar datos de usuarios europeos para, posteriormente, transferirlos a Estados Unidos. ¿El problema? Que entonces el FBI o la NSA (entre otras agencias de inteligencia del país de las barras y estrellas) también tendrían acceso a los mismos. Es decir, Google Analytics podría ceder los datos a la NSA o a cualquiera de estas agencias si se los pidieran.
Este asunto no es peccata minuta: se calcula que 28 millones de webs alrededor de todo el mundo tienen instalado Google Analytics.
Surge de este modo la sentencia “Schrems II”. Una sentencia que indica que Google Analytics incumple el Reglamento Europeo de Protección de Datos (RGPD) (un reglamento que, recordemos, tu empresa también ha de cumplir si no quieres enfrentar multas de hasta el 4% de tu facturación anual). Es decir, a partir de entonces, el Tribunal afirma que Google Analytics es una herramienta ilegal, ya que la empresa de Silicon Valley (y más en concreto, Google Analytics) está regulado por la Cloud Act y no ha podido asegurar que ni el FBI ni la NSA puedan exigirles alguna vez esta información.
“Pero entonces está claro, ¿No? Google Analytics es ilegal”. Pues no, en realidad no está tan claro. Sigamos:
¿Está Google Analytics prohibido en España? Veamos el acuerdo de compartición de datos EEUU – Europa
¿Qué es el acuerdo Privacy Shield?
Un acuerdo firmado por la Unión Europea y Estados Unidos que garantizaba una serie de derechos a los ciudadanos europeos en cuanto a la transferencia de sus datos personales. De esta forma, podíamos reclamar a las empresas estadounidenses el uso que hacían de dicha información.
Como hemos visto en la introducción, este acuerdo fue derogado en julio de 2020 por el Tribunal de Justicia de la Unión Europea ante la indefensión de los datos personales de ciudadanos europeos frente a las agencias de inteligencia estadounidense.
Pero ahí no acabó nuestra historia: la sentencia “Schrems II” abrió las puertas para que los distintos países europeos ejecutaran, a su vez, sentencias en este sentido.
¿Qué es el Cloud Act a la privacidad de los datos?
Una norma legislativa de Estados Unidos que obliga a todas las empresas estadounidenses que trabajen en la nube (Cloud), así como sus filiales, a entregar todo tipo de información (datos de los usuarios incluidos) en el caso de que esta sea solicitada por el propio Gobierno estadounidense
Google Analytics prohibido en Francia y Austria
El primer país en sumarse a la prohibición de Google Analytics fue Austria: El 13 de febrero de 2022 la Autoridad de Protección de Datos de Austria (DSB) afirmó que Google Analytics viola las normas europeas de privacidad (el RGPD que mencionábamos antes. Concretamente el artículo 44).
No pasó mucho tiempo para que surgiera una nueva denuncia a Google Analytics en Francia: el 10 de febrero de 2022 la Autoridad de Protección de Datos de Francia (CNIL) se suma a la prohibición de la plataforma analítica de Google. De nuevo, la institución gala considera que los datos que Google Analytics almacena en América son ilegales en cuanto a su recogida y tratamiento.
Como podrás ver, toda esta sucesión de acontecimientos ha sucedido apenas unos meses atrás. De hecho, Noruega podría tomar también este camino: la Asociación Noruega de Protección de Datos (EDPS) estaría investigando 2 denuncias en este sentido…
¿Podrían sancionarme por usar Google Analytics en Francia y Austria?
Las instituciones de ambos países consideran que las transferencias de datos personales realizadas por Google Analytcis son ilegales por una clara falta de regulación. Con todo, aún no han impuesto sanción a empresa alguna.
De todos modos, sí recomiendan usar herramientas que no supongan transferir la información en cuestión fuera de la Unión Europea. En el caso de Francia, las autoridades han dado un mes de margen para que la empresa denunciada haga efectiva esta recomendación.
¿Y qué ocurre en nuestro país? ¿Google Analytics prohibido en España?
¿Respuesta corta? Sí.
La Agencia Española de protección de datos (AEPD) todavía no ha levantado la voz ante estas sucesivas sentencias. Ni en uno ni en otro sentido. Por lo tanto, hasta que no diga lo contrario, Google Analytics aún es legal en España: el acuerdo marco de transferencia de datos entre Europa y América aún se mantiene.
“Pero parece claro que, con las sentencias de Francia y Austria, España también se sumará a la prohibición, ¿verdad?”. No tiene por qué, de hecho, la sentencia austriaca fue más polémica de lo que a priori parece. Una polémica que restaría fuerza a potenciales futuras sentencias por 2 motivos principales:
- La Autoridad de Protección de Datos de Austria (DSB) ejecutó sentencia, sí. Pero, en realidad, la resolución no impuso pena alguna. Es más, no solo no hubo consecuencias, sino que dejó que fueran las autoridades jurídicas alemanas las que continuaran con el proceso. Por ahora, y hasta el día de hoy, nada más ha sucedido.
- La web denunciada (y por la cual se ejecutó la sentencia en cuestión) no implementó ninguna de las soluciones alternativas propuestas por Google. De haberlo hecho, todo podría haber cambiado en gran medida. De hecho, ante nuevas denuncias, todo podría cambiar de nuevo si se aplicaran dichas medidas.
¿Qué países de la unión europea van a prohibir Google Analytics o no? Habrá que ver cómo se suceden los acontecimientos en los próximos meses, pero desde Especialistas Web iremos actualizando este artículo (e informándote vía redes sociales) para que estés siempre informado y sepas qué debes hacer.
¿Cumple Google Analytics la RGPD? ¿Qué puedo hacer para cumplir la normativa RGPD?
La respuesta a la primera pregunta es clara: actualmente no; las transferencias de datos que realiza la plataforma no son legales.
Con todo, este problema no se debe en sí a Google Analytics, sino a las negociaciones entre Estados Unidos y Europa sobre transferencia de datos que comentábamos en puntos anteriores. Es más, si Google Analytics almacenará los datos personales de los usuarios europeos en servidores dentro de Europa (o restringiera la transferencia de dicha información a EEUU), todo se solucionaría.
Es más, a día de hoy Google ya ha implementado diversas medidas como la propuesta de garantías para transferencia de datos en función del nivel de riesgo o la anonimización de IPs. Con todo, ambas medidas ya han sido declaradas como insuficientes por la APD austríaca.
Otra opción, por supuesto, sería que Europa y Estados Unidos firmaran un nuevo Privacy Shield que dé legalidad a la situación actual.
Sin embargo, esa solución aún no existe. Y desde tu empresa has de prepararte para que toda esta situación no afecte al crecimiento y a las métricas de tu negocio. ¿Cómo? Veámoslo:
5 recomendaciones para evitar ser sancionado por la normativa RGPD
Optar por otras alternativas
Google Analytics no es la única herramienta de medición digital que existe. En el siguiente punto hemos elaborado un listado comentándote las opciones más destacadas y que podrían interesarte en este sentido.
Con todo, cambiar de herramienta de análisis implica llevar a cabo una migración y así no perder todas las métricas y datos recabados con anterioridad. Se trata de un proceso técnico que revista cierta complejidad y con el que hay que tener mucho cuidado. Repetimos: no quieres perder toda esa información.
Contacta con nosotros sin ningún tipo de compromiso y encantados te echaremos una mano.
Privacy controls, o cómo habilitar los principios de privacidad avanzados de Google Analytics
Gracias a las diversas opciones de Privacy controls podrás restringir un tanto la recopilación de datos y así ser visto con buenos ojos por parte de las autoridades europeas.
Estas opciones van desde la inhabilitación de funciones publicitarias hasta la desactivación al 100% de la recopilación de datos.
Desde Especialistas Web, te recomendamos que hagas un análisis previo de las propias métricas que tienes implementadas y que son necesarias para el correcto funcionamiento de la web y el crecimiento de tu negocio. Un análisis que te permita saber qué datos de los usuarios necesitas recopilar y de cuáles puedes prescindir.
Obtén el consentimiento claro de los usuarios para el uso de Google Analytics
No porque lo digamos nosotros, sino porque lo dicen las APD de toda Europa. Tu aviso legal, política de privacidad y política de cookies debería contemplar claramente este consentimiento, así como el aviso de utilización de cookies.
Un consentimiento que además es parte necesaria para cumplir con el RGPD.
Otro consentimiento expreso vital: transferencia de datos a EEUU
Antes de nada, remitámonos al artículo 49 del RGPD:
“A falta de una decisión de adecuación (…) o de las garantías adecuadas (…), se efectuará una transferencia o un conjunto de transferencias de datos personales a un tercer país (…) si el interesado ha consentido explícitamente en la transferencia propuesta, después de haber sido informado de los posibles riesgos de tales transferencias para el interesado debido a la ausencia de una decisión de adecuación y de las garantías adecuadas.»
Este artículo, más que como una afirmación contundente que nos proporciona una solución definitiva, se ha de tomar como una recomendación, como una posibilidad de actuación.
Pero se trata de una recomendación que te aconsejamos implementar para ser aún más amigable ante las citadas autoridades europeas de protección de datos.
¿Cumple la web de tu empresa con el RGPD?
Desde el 26 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) está vigente en toda Europa para proteger los datos personales de todos los usuarios europeos en Internet.
Una normativa cuyo incumplimiento puede acarrear multas de hasta 20 millones de euros o el 4% del volumen de facturación anual de tu negocio.
¿Y sabes qué? El 90% de las compañías no cumplen aún con esta normativa. De hecho, grandes empresas como Vodafone, BBVA, EDP y Mercadona ya han recibido fuertes sanciones…
Si bien esta normativa va más allá de Google Analytics, te recomendamos echar un vistazo a estas recomendaciones para cumplir con el RGPD y así evitar que la solvencia de tu negocio se vea perjudicada.
¿Existen otras alternativas a Google Analytics?
Sí. Y de hecho, no son pocas las opciones que tienes a tu disposición. Si bien no alcanzan los estándares y distintas posibilidades de Google Analytics, todas ellas se centran en la privacidad de los usuarios. Es decir, no comparten sus datos personales con terceros con fines comerciales o publicitarios:
- Matomo Analytics. Un software de código abierto empleado por 1,4 millones de sitios web en más de 190 países a lo largo y ancho de todo el mundo. Esta herramienta te permitirá obtener datos de tus usuarios como el idioma, qué páginas visitan, qué archivos se descargan, las Keywords que han utilizado para encontrarte o qué motor de búsqueda han empleado.
- Fathom. Una plataforma cuyo software evita que el rastreador ralentice la página web de tu empresa. Fathom analiza tu sitio web sin necesidad de cookies y permite obtener métricas tan destacadas como los visitantes únicos, las vistas de cada página, el tiempo medio de permanencia, la tasa de rebote, o el dispositivo y navegador empleados por el usuario para acceder a tu sitio web.
- Plausible. Otra herramienta de código abierto que cumple con el GDPR, el PECR (Reglamento sobre la privacidad en las comunicaciones electrónicas) y la CCPA (Ley de Privacidad del Consumidor de California). Es decir, no utiliza Cookies.
Es una herramienta muy, muy intuitiva, y permite acceder a datos de navegación tales como los visitantes únicos, las páginas vistas, la duración de la visita o la tasa de rebote.
Esperamos que este artículo te haya sido de ayuda a la hora de comprender mejor qué está pasando con la Comisión Europea y Google Analytics, cómo puedes protegerte de las sanciones por transferencia de datos a Estados Unidos, y qué alternativas de calidad existen.
Con todo, iremos actualizando esta noticia con toda información nueva que salga (así como a través de nuestros perfiles en RRSS) para que sepas en todo momento cómo actuar.
Al fin y al cabo, como emprendedores, sabemos de la importancia de que nada ni nadie obstaculice el crecimiento de tu empresa.