OpiniónLegislación

Google Analytics y transferencias a Estados Unidos, una guía para empresas

Paula Garralón - Commercial y Tech & Comms Associate en Bird & Bird.

Las recientes decisiones adoptadas en Europa generan dudas e incertidumbre sobre el uso de este tipo de servicios y todos aquellos que impliquen la transferencia de datos a Estados Unidos.

La sentencia del Tribunal de Justicia de la Unión Europea conocida como Schrems II, adoptada hace dos años por la que se invalidó el acuerdo Privacy Shield, fue el comienzo de una época de cambios.

Europa volvió a poner encima de la mesa el debate de la seguridad y confidencialidad de los datos cuando son transferidos a determinados países (como ya ocurriría en el año 2015 cuando Safe Harbor fue declarado mecanismo inválido para realizar transferencias a Estados Unidos): la existencia de programas de seguridad nacional que permiten a las autoridades públicas, como las de Estados Unidos, acceder a los datos personales de ciudadanos europeos, sin otorgarles ninguna vía de recurso judicial o extrajudicial contra dicho acceso por las  autoridades.

La anulación del Privacy Shield trasladó necesariamente el foco a otros mecanismos que permitiesen realizar transferencias fuera de Europa como las cláusulas tipo de la Comisión Europea o las normas corporativas vinculantes, y obligó una vez más a las empresas a reevaluar las transferencias que realizaban tanto a nivel de grupo como a proveedores y terceros ubicados fuera del Espacio Económico Europeo.

Además, ahora es necesario evaluar las circunstancias que acompañan a cada transferencia, y en su caso, adoptar medidas complementarias de índole contractual, técnico y/u organizativo que garanticen un nivel de protección adecuado. Por tanto, queda al criterio de cada responsable del tratamiento analizar y determinar si, a su juicio, los datos están debidamente protegidos pese a ser tratados en territorio estadounidense y, por tanto, susceptibles de acceso por parte de las autoridades.

Precisamente este ejercicio es el que realizaban hace unos días la autoridad de protección de datos austriaca y la francesa, cuando determinaron que las medidas complementarias adoptadas por Google, para su servicio Analytics, no eran suficientes para garantizar un nivel de protección adecuado de los datos personales de europeos en Estados Unidos. Si bien es importante contextualizar dichas decisiones y sobre todo entender sus consecuencias.

Lo primero que hay que tener claro es que el uso de servicios que impliquen el envío de información a Estados Unidos no es ilegal. Lo que se exige desde Europa es que las compañías tomen decisiones en base a un análisis concreto de cada transferencia realizada, de modo que una misma empresa puede llegar a la conclusión de que un servicio de hosting en Estados Unidos, dadas sus características, garantiza un nivel de protección adecuado, pero sin embargo, un servicio de análisis web por otro proveedor que trata la información también en territorio estadounidense, no ofrece un nivel de protección adecuado, pese a que haya adoptado medidas complementarias como por ejemplo, el cifrado de los datos en reposo.

De hecho, la decisión austriaca se centró únicamente en una de las versiones de Google Analytics (la gratuita), que estaba disponible en un momento concreto (agosto de 2020), por tanto, no se concluye que todos los servicios de Analytics incumplan con las obligaciones derivadas del Reglamento General de Protección de Datos. Asimismo, es preciso subrayar que debido a la fecha de la denuncia, la investigación se refiere únicamente a la versión de las Cláusulas Contractuales Tipo de 2010, y no parece tener en cuenta la posición de las nuevas Cláusulas aprobadas en junio del año pasado o las nuevas recomendaciones 01/2020 del Comité Europeo de Protección de Datos sobre medidas complementarias.

Los productos y servicios se actualizan constantemente y las empresas tecnológicas ofrecen un grado de personalización muy alto a cada cliente, por ello es muy posible que los hechos que las autoridades analizaron en su momento sean distintos actualmente para muchas compañías.

Otro factor a tener en cuenta es el grado en el que la compañía o el proveedor de servicios son en la práctica objeto de peticiones de acceso por parte de las autoridades estadounidenses

Las principales empresas tecnológicas han publicado informes de transparencia donde explican las peticiones recibidas en los últimos años y los números son sorprendentes. Para muchas compañías que ofrecen servicios B2B, es bastante inusual recibir requerimientos de acceso gubernamentales a datos de europeos, ya sea porque la información que éstas y sus clientes manejan no son de interés para los servicios de inteligencia, o porque las peticiones de información suelen dirigirse directamente al responsable de dichos datos, no al proveedor tecnológico.

Algunas de las medidas complementarias que ya se pueden adoptar en la práctica y que sin duda mitigan el riesgo de acceso, pasan por la firma de las nuevas cláusulas contractuales tipo aprobadas por la Comisión Europea y la adopción de medidas de seguridad técnicas y organizativas adaptadas como el cifrado (incluyendo servicios que generan claves únicas para el cliente), la seudonimización, controles de acceso, auditorías, etc. También puede limitarse la cantidad de información transferida fuera de Europa, tratando de utilizar servidores dentro de la región.

Contractualmente, los acuerdos de servicios pueden incluir cláusulas que regulen las peticiones gubernamentales de acceso a datos donde el importador de los datos se comprometa a analizar la validez y legalidad de la solicitud y a notificarlo al cliente/exportador lo más rápido posible. Además, el proveedor se compromete a, en caso de considerar la solicitud ilegal o nula, recurrirla, o en caso de que la ley prohíba notificar al cliente, usar sus mejores esfuerzos para que se levante dicha obligación de confidencialidad. En caso de que finalmente tuviese que entregar la información, el proveedor garantizaría que la misma sea necesaria y proporcionada, compartiendo la mínima cantidad de información posible.

Otra medida temporal que las compañías pueden adoptar para regularizar de otro modo la transferencia de datos personales a Estados Unidos es solicitar el consentimiento de los usuarios de la web mediante el banner de cookies. Se trata de una opción alternativa prevista en el reglamento general de protección de datos que no depende de la validez de las cláusulas firmadas entre la compañía y Google.

Estas y muchas otras medidas complementarias, pueden garantizar que un servicio o producto basado en Estados Unidos ofrezca un nivel de protección adecuado

Lo importante es que cada compañía identifique las transferencias que tienen lugar y analice la naturaleza de cada una de ellas, de modo que, si es necesario, adopte las medidas oportunas para garantizar la protección de los datos que trata.

En todo caso, parece que la época de incertidumbre en la que nos encontramos tiene los días contados; los gobiernos europeo y estadounidense han puesto de manifiesto el carácter urgente y prioritario de aprobar un nuevo acuerdo de transferencia de datos transatlántico, que podría garantizar el derecho de los ciudadanos europeos a recurrir frente a un órgano independiente si entienden que las autoridades estadounidenses han tratado sus datos de forma ilícita.

Computing 815