La NSA
Hablando del caso específico de Google Analytics, se destacó que una función de 'anonimización' de la dirección IP no se había implementado de forma correcta en el sitio web, pero de forma independiente a este problema técnico, el regulador encontró que los datos de la dirección IP que se compartían a USA incluían datos personales de los usuarios, por lo que era posible identificar a un visitante.
El regulador advirtió en su fallo:
Los servicios de inteligencia de Estados Unidos usan ciertos identificadores online (como la dirección IP o números de identificación únicos) como punto de partida para la vigilancia de las personas. Los servicios de inteligencia de Estados Unidos usan ciertos identificadores online (como la dirección IP o números de identificación únicos) como punto de partida para la vigilancia de las personas.
La NSA (National Security Agency) es una agencia de inteligencia a nivel nacional del Departamento de Defensa estadounidense , que depende del Director de Inteligencia Nacional (DNI). La NSA es responsable del monitoreo, recopilación y procesamiento global de información y datos para fines de inteligencia y contrainteligencia nacionales y extranjeras , y se especializa en una disciplina conocida como inteligencia de señales (SIGINT).
A diferencia de la CIA y la Agencia de Inteligencia de Defensa (DIA), que se especializan principalmente en espionaje humano extranjero , la NSA no realiza públicamente recopilación de inteligencia de fuente humana.
Si bien el fallo está dado, aún no hay una decisión sobre una posible sanción. Sin embargo el GDPR prevé sanciones de hasta 20 millones de euros o el 4% de la facturación global en casos similares.
Max Schrems, presidente honorario de Noyb.eu aseguró que "en lugar de adaptar sus servicios para que cumplan con la GDPR, las empresas estadounidenses simplemente han intentado agregar más texto a sus políticas de privacidad e ignoran al Tribunal de Justicia. Muchas empresas han seguido el ejemplo en lugar de cambiar a opciones legales".
Max Schrems.jpg
Ya en 2015, con 27 años, Max Schrems logró que la justicia europea invalidara el acuerdo entre la UE y Estados Unidos para transferir datos personales: "Los estadounidenses se burlaban de los europeos. Decían que no pasaría nada si no se respetaban" las leyes sobre protección de datos personales.
En este mismo sentido, Schrems agrega que "esta es una decisión muy detallada y sólida. La conclusión es que las empresas ya no pueden usar los servicios en la nube de Estados Unidos en Europa. Han pasado 1,5 años desde que el Tribunal de Justicia lo confirmó por segunda vez, por lo que es más que el tiempo justo para que se haga cumplir la ley".
Google ha respondido con un comunicado oficial acerca de 6 aspectos que considera fundamentales para defender su actividad frente a esta resolución:
- Google Analytics es un servicio que utilizan las organizaciones para comprender cómo se utilizan sus sitios y aplicaciones, de modo que puedan hacer que funcionen mejor. No rastrea a las personas ni perfila a las personas a través de Internet. Las organizaciones controlan los datos que recopilan mediante Google Analytics.
- Google Analytics ayuda a los clientes con el cumplimiento al proporcionarles una variedad de controles y recursos.
- Google Analytics ayuda a los usuarios a controlar sus datos.
- Google Analytics no se puede utilizar para mostrar anuncios a personas en función de información confidencial como salud, etnia, orientación sexual, etc.
- Los datos de Google Analytics de una organización solo se pueden transferir cuando se cumplen condiciones de privacidad específicas y rigurosas.
- Google Analytics opera centros de datos en todo el mundo, incluso en Estados Unidos, para maximizar la velocidad y la confiabilidad del servicio. Antes de que los datos se transfieran a cualquier servidor en los Estados Unidos, se recopilan en servidores locales, donde las direcciones IP de los usuarios se anonimizan (cuando los clientes habilitan la función).
Es una decisión muy relevante para casi todos los sitios web en la UE: Google Analytics es la herramienta de analítica más utilizada: si bien hay muchas opciones alternativas, la inmensa mayoría de las webs confían en Google, y por lo tanto envían sus datos de usuario a la multinacional estadounidense.
El hecho de que las autoridades de protección de datos ahora pueda declarar ilegales los servicios que envían datos a Estados Unidos ejercerá una presión adicional sobre las empresas de la UE y por supuesto, a los proveedores de USA para buscar opciones más seguras y legales.
Marketing4 e-Commerce concluye:
"A la larga parece haber 2 posibles soluciones:
- o bien Estados Unidos adapta su base de protección de datos para extranjeros,
- o los proveedores estadounidenses tendrán que hospedar sus datos fuera de Estados Unidos, una opción que por el momento parece más viable ya que la ley de la UE dice que los niveles de protección europeos deben viajar con los datos."
