El uso de Google Analytics, una herramienta muy popular para medir y analizar las visitas a una página web, podría suponer una violación del Reglamento General de Protección de Datos (RGPD). La autoridad austríaca así lo ha planteado tomando como base la sentencia Schrems II y alegando que los datos que la aplicación recoge son suficientes como para identificar a individuos.
La sentencia Schrems II establecía que los datos personales de los residentes de la Unión Europea no pueden ser transferidos a terceros países salvo que dichos países dispongan de un marco jurídico en materia de protección de datos equivalente al RGPD.
Google Analytics recoge un gran número de datos que se refieren a individuos específicos como por ejemplo las palabras claves de búsqueda que emplean para encontrar un determinado sitio web o los enlaces en los que clica. Sin embargo, Google Analytics no proporciona información personal sobre los usuarios que han visitado las páginas web y por lo tanto su uso se consideraba hasta el momento seguro.
Pero la autoridad austríaca sostiene que la combinación de la dirección IP con los datos contenidos en las cookies es suficientes como para identificar usuarios y, por lo tanto, incumple con el RGPD. La opción para anonimizar la IP en Google Analytics no está activada por defecto, sino que es el usuario el que tiene que configurarlo.
La conclusión llega después de una investigación sobre el sitio web netdoktor.at que proporciona servicios sanitarios online y que, aunque intentó anonimizar las IP, no consiguió configurar la opción correctamente.
Las cookies también son un problema ya que ayudan a Google Analytics a identificar a un mismo usuario en distintas visitas para saber si es un usuario que repite. Aunque el usuario de Google Analytics no tiene acceso a ningún dato personal, la empresa que está detrás, Google, tiene datos suficientes como para identificar a los usuarios. Además se da el hecho de que esos datos son enviados a Estados Unidos para su almacenamiento y procesado.
Este último hecho fue el que llevó a las autoridad austríaca a optar por una sanción por violación del RGPD dado que, aunque la web en Europa no va a ser capaz de identificar a los usuarios finales, la información que se envía a Estados Unidos constituye un conjunto de “piezas de puzzle” que se pueden poner juntas para identificar a una persona.
La sentencia Schrems II que pone en entredicho la transferencia de datos a terceros países sin suficientes garantías para la protección de datos basa sus disposiciones en el hecho de que el gobierno de Estados Unidos dispone de leyes que le permiten interceptar cualquier dato que entre en su país desde el extranjero. Algo que quedó en evidencia tras la filtración de Edward Snowden en 2013 sobre las actividades de la NSA.
