La CNIL ha emitido un aviso formal a los administradores de las páginas web donde requiere que se cumpla con la normativa y no se utilice Google Analytics dado que supone una transferencia ilegal de datos personales entre la Unión Europea y Estados Unidos.
El aviso de la CNIL en el que solicita a los administradores de las páginas web que no utilicen Google Analytics sigue la tendencia ya seguida por otras autoridades de control europeas. Como resultado de 101 quejas presentadas por NOYB a lo largo de la Unión Europea, muchos países están declarando ilegal el uso de Google Analytics por no cumplir con el RGPD ni con la resolución del TJUE en el caso Schrems II. El servicio se usa de manera generalizada para medir las estadísticas de tráfico en la web y realizar seguimiento de los usuarios. Sin embargo, el identificador único asignado a cada individuo se envía a Estados Unidos, de manera que mediante su uso se transfieren datos a un tercer país. Actualmente las transferencias de datos personales a Estados Unidos no se consideran suficientemente protegidas, y en consecuencia la CNIL ha emitido un aviso formal a los administradores de las páginas web para que dejen de utilizar Google Analytics, según detalla la CNIL en este informe.
En ausencia de medidas de seguridad apropiadas, las transferencias de datos personales entre la Unión Europea y Estados Unidos se consideran ilegales después de que el TJUE anulase el Privacy Shield.
Desde la sentencia del TJUE en el caso Schrems II, quedan prohibidas las transferencias internacionales de datos personales a países que no forman parte de la Unión Europea o que no cuenten con una decisión de adecuación, salvo si se aplican medidas de seguridad apropiadas y suficientes, lo cual no parece ser el caso con Google Analytics, y por eso algunas autoridades de control europeas están declarando ilegal su uso. En uno de nuestros últimos blogs informábamos sobre la multa impuesta al Parlamento Europeo por parte del SEPD por este mismo motivo. La CNIL ha destacado que son 101 quejas en total las que NOYB ha presentado en los 27 Estados Miembro de la Unión Europea y los otros tres Estados del Espacio Económico Europeo, todas ellas por presuntas transferencias ilegales de datos personales a Estados Unidos.
La CNIL señala que salvo que exista una decisión de adecuación, las transferencias de datos personales entre la Unión Europea y Estados Unidos no cuentan con la suficiente protección.
La CNIL manifiesta que toda transferencia de datos personales de usuarios de internet a Estados Unidos se realiza en violación del Artículo 44 del RGPD, el cual regula la transferencia de datos a terceros países y establece que se deben dar una serie de condiciones para garantizar la seguridad de los datos. Cuando se trata de Estados Unidos, en ausencia de una decisión de adecuación, cualquier transferencia de datos personales podría considerarse no protegida, pues las leyes de Estados Unidos permiten que la agencia de inteligencia del país pueda potencialmente acceder a dichos datos, lo que haría que la transferencia no cumpla con el RGPD.
¿Realizas transferencias internacionales de datos a terceros países? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPA. Infórmate aquí.