El organismo regulador de protección de datos de Suecia ha multado a dos organizaciones y ha advertido a varias más en relación al uso de Google Analytics. En concreto, por realizar transferencias internacionales de datos con dicha herramienta. La resolución puede consultarse aquí.
Cosas que ya teníamos cristalinas desde la Sentencia Schrems II del TJUE:
Desde el punto de vista del tratamiento:
- Que el responsable del tratamiento es la organización que implementa las cookies en su sitio web.
- Que Google se configura como encargado del tratamiento.
- Que ese acceso a datos y la transferencia internacional tiene que estar regulado y que para ello existen las SCC.
Desde el punto de vista legal:
- Que la única habilitación legal para la transferencia internacional a Estados Unidos son las cláusulas contractuales tipo porque no puede estar habilitada por otros requisitos del artículo 45 del RGPD.
- Que las SCC no valen por sí mismas porque es un acuerdo que se firma entre las partes pero Google, como importador de datos, está sujeto a vigilancia por parte de las agencias de inteligencia de EEUU. y, por lo tanto, está obligado a proporcionar al gobierno de EEUU datos personales en ejecución del 702 FISA.
- Que esa vigilancia a la que está sujeto Google es, precisamente, lo que puede afectar a los derechos de los ciudadanos europeos como titulares de los datos porque la sentencia Schrems II del TJUE ya estableció que los mecanismos de vigilancia estadounidense derivados de la normativa aplicable, no cumplen los requisitos mínimos del Derecho de la UE en virtud del principio de proporcionalidad.
- Que las SCC no se están considerando suficientes para lograr un nivel aceptable de la protección de datos transferidos.
Que aporta el análisis del organismo regulador sueco:
La IP como dato de carácter personal:
Se ratifica en que los datos que se recaban a través de cookies son datos que permiten identificar a las personas y, por tanto, datos de carácter personal.
Los llamados «identificadores en línea» como las direcciones IP o la información almacenada en las cookies, se pueden usar para identificar a un usuario, especialmente cuando se combinan con otros tipos de información similares. Esto puede dejar rastros que, especialmente en combinación con identificadores únicos y otros datos recopilados, pueden utilizarse para perfilar e identificar a personas físicas.
El organismo regulador sueco analiza si, a través de la implementación de la herramienta de Google Analytics, tanto importador como exportador, pueden identificar a personas cuando visitan el Sitio web o si el riesgo de hacerlo es despreciable. Y concluye que sí se puede identificar a las personas
Desde el punto de vista de medidas adicionales a las cláusulas Contractuales Tipo (SCC):
Para el importador: Google
El importador (Google), describió en un informe las medidas contractuales, organizativas y técnicas que ha implementado para complementar las SCC. El organismo regulador se pregunta si son efectivas y concluye que no.
Para el exportador: la organización propietaria del sitio web
- El exportador (la empresa en cuya web se implementan las cookies) debe garantizar:
- El cumplimiento del RGPD.
- Analizar y evaluar de manera individual cada transferencia internacional.
- Identificar qué salvaguardas adicionales deben utilizarse.
- Evaluar si esas salvaguardas, tanto desde el punto de vista del responsable del tratamiento (exportador) como desde el punto de vista del encargado del tratamiento (importador), son suficientes para garantizar un nivel adecuado de protección.
Sobre el análisis de las medidas adicionales a las SCC descritas por el exportador:
- Truncar el último octeto de la IP antes de la transferencia. De nuevo afirma el regulador que no queda claro cuándo se produce ese truncamiento. Así que no se ha demostrado que después de la transferencia no haya acceso potencial a toda la dirección IP antes de que se trunque el último octeto.
- Aunque se produjera antes de la transferencia, no es una medida suficiente porque la IP truncada se puede vincular a otros datos y permitir la identificación.
Las medidas adicionales tomadas por el responsable del tratamiento tampoco son suficientes.
En conclusión las medidas adicionales tomadas no pueden amparar la transferencia y fue sancionada la empresa.
Debe tenerse en cuenta que, si no puede garantizarse la transferencia internacional segura de datos personales, dichas transferencias deben suspenderse.
