Reclamar la devolución de la plusvalía municipal: ¿cuáles son las opciones?
7 febrero, 2022
Bienes en el extranjero: cómo queda el modelo 720 tras el fallo del TJUE
21 febrero, 2022Protección de datos: riesgos de usar Google Analytics para las empresas
Hay algunas novedades en protección de datos que podrían afectar el funcionamiento habitual de un número importante de empresas y organizaciones, aunque todo se concretará en los próximos meses. El riesgo potencial viene del uso de la herramienta de analítica online Google Analytics, de aplicación habitual porque permite monitorizar las audiencias de páginas web, así como los resultados de campañas de publicidad online. En definitiva, es una de las herramientas clave para el desarrollo de campañas de marketing online. A continuación os contamos los riesgos de usar Google Analytics para las empresas.
- LAS FUNDACIONES COMO IMPULSORAS DE LA ECONOMIA SOCIAL
- NUEVA ERA EN EL REGISTRO HOTELERO (RD 933/2021): LA AEPD PROHÍBE EXPLÍCITAMENTE SOLICITAR COPIAS DE DNI O PASAPORTE A HUÉSPEDES
- El ICAM otorga el Premio a la Innovación Jurídica al Dr. Efrén Díaz Díaz por su trabajo sobre el uso dual civil y militar en el espacio
- El derecho como vocación y servicio: entrevista a Manuel Cuchet
- La Comunidad de Madrid amplía beneficios fiscales en herencias desde el 1 de julio 2025
El origen de la polémica se sitúa en la amonestación notificada por el Supervisor Europeo de Protección de Datos al Parlamento Europeo por vulnerar la normativa al utilizar Google Analytics. Esta institución europea recibió una reclamación de un grupo de activistas de la privacidad que denunció la poca claridad de los avisos y la transferencia internacional e ilegal de datos personales a Estados Unidos.
Durante la pandemia, dicha institución contrató una empresa para realizar tests de detección de Covid-19 que, a su vez, habilitó una web para que los europarlamentarios y los trabajadores se registraran para hacerse dichas pruebas. Su web corporativa, que administraba la compañía y que controlaba el Parlamento, usaba cookies de Google Analytics y de un proveedor de pagos estadounidense.
Esto suponía que se realizara una transferencia internacional de datos personales, sin que se garantizara al menos el nivel equivalente de protección que establece la normativa europea mediante el Reglamento General de Protección de Datos (RGPD).
El Supervisor Europeo de Protección de Datos no ha impuesto una multa porque no tiene potestad para ello al tratarse de una administración pública no sancionable, pero le ha amonestado a que cumpla el RGPD, a través de la actualización de sus leyendas legales para facilitar la información completa sobre el tratamiento de datos personales de quienes ingresan en esa web.
Riesgos de usar Google Analytics para las empresas
Las empresas, por tanto, deben ser diligentes, también legalmente, a la hora de utilizar las distintas aplicaciones que existen actualmente en el mercado y con las que se traten datos. Algo muy común a medida que la digitalización avanza.
La labor de prevención debe centrarse en cumplir el deber de información de forma clara, inteligible y precisa, incluidas las categorías de datos que se procesan y sus destinatarios, cesionarios o transferencias internacionales a realizar, como en este caso las derivadas del uso de cookies que tratan y transfieren datos personales a Estados Unidos. Y esto porque el nivel de protección de datos personales existente en Estados Unidos no es equivalente ni equiparable al que se establece en la Unión Europea.
Para ilustrar la diferencia que hay entre una normativa y otra, el Abogado Efrén Díaz, responsable del área de Tecnología del Bufete Mas y Calvet, ponía un ejemplo en el reportaje de El País en el que participó a raíz de este asunto: “El Reglamento Europeo de Protección de Datos no menciona la palabra vender en ninguno de sus 99 artículos. Por el contrario, la Ley de Privacidad del Consumidor de California, que se aplica en Silicon Valley, donde se localiza la sede de Google, se refiere más de 34 veces a la venta de datos en sus 21 apartados”,
Todo lo ocurrido es una señal para que las empresas, organizaciones e instituciones públicas apliquen más rigurosamente, con acciones concretas y no sólo formales, lo que señala el RGPD. Sin embargo, en España aún no se ha conocido ninguna resolución de la Agencia Española de Protección de Datos (AEPD) que confirme la aplicación del criterio en el uso de Google Analytics, algo que ya han confirmado las autoridades de otros países de la órbita europea, como Austria o Alemania, además del propio Supervisor Europeo.
Riesgos de la transferencia internacional de datos
Hay más focos de riesgos legales sobre protección de datos que es necesario controlar en el entorno empresarial. Y es que son muchas las empresas que, en su funcionamiento diario, utilizan algunas herramientas de almacenamiento o gestión digital como Google Drive, Dropbox o Mailchimp para el envío de fotos, vídeos, carpetas de archivos o archivos cuyo tamaño impide adjuntarlos en un email.
El problema es similar: cuando se utilizan estas herramientas de empresas radicadas en Estados Unidos -y a pesar de que se ubiquen formalmente en Europa, la empresa usuaria estaría realizando una transferencia internacional de datos personales, por salir fuera de las fronteras de la Unión Europea. Y esto tiene un impacto en el cumplimiento legal de la normativa de protección de datos que actualmente está en vigor y que requiere una necesaria regularización.
El RGPD o la normativa española no indican nada específico sobre el almacenamiento en la nube, ni sobre plataformas de email marketing ni de trabajo digital colaborativo. Sin embargo, el Supervisor Europeo de Protección de Datos, en su reciente Directriz 05/2021, de 18 de noviembre de 2021, sobre la interacción entre la aplicación del artículo 3 y las disposiciones relativas a las transferencias internacionales según el capítulo V del RGPD, ha establecido con claridad que “una transferencia implica que los datos personales son enviados o puestos a disposición por un responsable o un encargado del tratamiento (exportador) que, en relación con el tratamiento en cuestión, está sujeto al RGPD de conformidad con el artículo 3, a otro responsable o encargado del tratamiento (importador) en un tercer país, independientemente de si este importador está o no sujeto al RGPD en relación con el tratamiento dado”.
Esto quiere decir que el responsable del tratamiento que resulte exportador debe confirmar que la transferencia internacional se realiza conforme a los requisitos del RGPD, especialmente sus bases de licitud (consentimiento, interés vital del afectado, etc.) y, en su caso, que el importador garantiza el nivel de protección de datos equivalente al de la Unión Europea (UE). La falta de diligencia o la omisión de medidas en este aspecto podría derivar en responsabilidades legales.
Primer Experts Forum on GDPR Certification
La transferencia internacional de datos y los riesgos de utilizar estas herramientas digitales y otras fueron algunas de las consultas que se plantearon en el primer Experts Forum on GDPTR Certification, que celebramos el pasado miércoles 9 de febrero.
Junto a nuestros socios de Smart Global Governance y Europrivacy, organizamos este encuentro internacional con expertos para abordar los retos que supone contar con una estructura definida de cumplimiento legal en materia de protección de datos, las herramientas de automatización que pueden ayudar a los delegados de protección de datos (DPD) a cumplir con la normativa y el valor de las certificaciones europeas de protección de datos para las empresas.
Bajo la premisa de que el respeto a la privacidad trasciende a día de hoy la labor de cumplimiento legal y va más allá, los expertos Efrén Díaz, Olivier Roubin y Sébastien Ziegler destacaron que además del daño económico de las posibles multas, también está el daño reputacional para las empresas y organizaciones.
Finalmente, destacaron la necesidad de crear una estructura de cumplimiento legal sólida y que se audite periódicamente, con apoyo legal continuo a los delegados de protección de datos.
Especialistas en protección de datos
En el Bufete Mas y Calvet contamos con un equipo de abogados especializado asesoramiento en todo lo relacionado con el cumplimiento legal sobre la protección de datos personales y privacidad. Las empresas y organizaciones con las que trabajamos cuentan con servicios de Delegado de Protección de Datos (DPD) externo, evaluaciones de impacto y protocolos europeos de protección de datos personales, como es la certificación Europrivacy. También podemos ejercer la defensa en procedimientos sancionadores de la AEPD, transferencias internacionales de datos, etc. Contacte con nosotros y le ayudaremos en todas sus consultas legales.