El organismo de vigilancia de la protección de datos de Suecia ha emitido multas a dos empresas locales, Tele2 y CDON, por incumplir las normas de privacidad del bloque europeo debido a que exportaron datos de sus usuarios a través de Google Analytics.
Estas multas, que suman poco más de 1,1 millones de dólares para Tele2 y menos de 30.000 dólares para CDON, son las primeras de este tipo tras una serie de quejas estratégicas de privacidad dirigidas a Google Analytics y Facebook Connect en 2020.
La falta de medidas suplementarias en la normativa de privacidad sueca está complicando a Google Analytics
El regulador sueco encontró que las medidas suplementarias aplicadas por Google a los usuarios europeos y los datos enviados a los Estados Unidos no eran suficientes para elevar el nivel de protección requerido. Las empresas en cuestión, Tele2 y CDON, utilizaron cláusulas contractuales estándar como base para la transferencia de datos personales a través de Google Analytics. Sin embargo, el organismo de vigilancia consideró que las medidas de seguridad técnica adicionales eran insuficientes.
El Reglamento General de Protección de Datos (RGPD) del bloque europeo también fue infringido por otras dos empresas, Coop y Dagens Industries, al utilizar Google Analytics. Aunque no se emitieron multas en estos casos, el organismo de vigilancia señaló la falta de medidas adecuadas para garantizar la protección de datos.
La situación ha generado preocupación en otras empresas que utilizan Google Analytics. El organismo de vigilancia enfatizó que las decisiones tomadas deben ser tratadas como orientación, lo que podría tener implicaciones más amplias en el uso de la herramienta de estadística de Google.
Estas sanciones se derivan de una serie de quejas estratégicas presentadas en 2020 por la ONG noyb, que alertó sobre el incumplimiento de las normas del bloque sobre transferencias internacionales de datos relacionadas con Google Analytics y Facebook Connect. Esto llevó a varios DPA de la Unión Europea a advertir contra el uso de estas herramientas de análisis.
La Unión Europea y Estados Unidos están trabajando en un tercer acuerdo de transferencia de datos, que se espera que se complete pronto. Esto busca abordar las preocupaciones y brindar mayor seguridad jurídica en las transferencias de datos entre ambos territorios.
Desafíos y preocupaciones futuras
A pesar del nuevo acuerdo, se esperan desafíos legales y preocupaciones relacionadas con la privacidad. Varias instituciones europeas han expresado inquietudes sobre si el marco entrante será suficiente para proteger los derechos de privacidad de los ciudadanos de la UE frente a las prácticas de vigilancia de Estados Unidos.
La organización de vigilancia sueca recibió elogios por emitir las primeras multas por el uso indebido de Google Analytics. No obstante, la entidad también recibió críticas de algunas empresas que consideran que las sanciones son desproporcionadas.
Ante las decisiones del DPA sueco, Google respondió a través de un comunicado publicado por TechCrunch, destacando que proporciona herramientas y recursos para que los editores controlen qué datos se recopilan y cómo se utilizan en Google Analytics.
Conclusiones y perspectivas
Estas multas emitidas por el organismo de vigilancia de la protección de datos de Suecia tienen importantes implicaciones para las empresas que utilizan Google Analytics y otras herramientas de análisis de datos. Es un claro recordatorio de la importancia de cumplir con las normas de privacidad y protección de datos, especialmente cuando se trata de transferencias de datos personales a terceros países.
La aplicación del Reglamento General de Protección de Datos (RGPD) es fundamental para garantizar la privacidad y seguridad de los datos de los ciudadanos europeos. Las multas a Tele2 y CDON muestran que las empresas deben ser diligentes en adoptar las medidas adecuadas para proteger los datos de sus usuarios y clientes, y no pueden depender únicamente de cláusulas contractuales estándar para asegurar la legalidad de sus transferencias de datos.
Además, el hecho de que otras dos empresas, Coop y Dagens Industries, también hayan sido señaladas por incumplir el RGPD con el uso de Google Analytics, pero no hayan recibido multas, destaca la necesidad de revisar y mejorar continuamente las prácticas de protección de datos en el ámbito empresarial. La advertencia emitida por el organismo de vigilancia debe ser tomada en serio por todas las compañías que manejan datos personales, y se espera que este caso sirva como un llamado de atención para otras empresas que utilizan herramientas similares de análisis y seguimiento.
El futuro de las transferencias de datos internacionales sigue siendo un tema de discusión y debate, y es probable que continúen surgiendo desafíos legales y consideraciones sobre la privacidad en un mundo cada vez más interconectado y dependiente de la tecnología.