Viola la legislación de protección de datos de la Unión Europea
Siguiendo los pasos de Austria y Francia, la Autoridad de Protección de Datos de Italia se ha convertido en el regulador más reciente en descubrir que el uso de Google Analytics no cumple con la normativa de protección de datos de la UE.
El Garante per la Protezione dei Dati Personali, en un comunicado de prensa publicado la semana pasada, criticó a un editor web local por usar la herramienta de análisis ampliamente utilizada de una manera que permitía transferir ilegalmente partes clave de los datos personales de los usuarios a los EE. UU. sin salvaguardias necesarias.
Esto incluye las interacciones de los usuarios con los sitios web, las páginas individuales visitadas, las direcciones IP de los dispositivos utilizados para acceder a los sitios web, las características específicas del navegador, los detalles relacionados con el sistema operativo del dispositivo, la resolución de pantalla y el idioma seleccionado, así como la fecha y tiempo de las visitas.
La autoridad supervisora italiana (SA) dijo que llegó a esta conclusión luego de un "complejo ejercicio de investigación" que comenzó en colaboración con otros miembros de las autoridades de protección de datos de la UE.
La agencia dijo que la transferencia de información personal viola la legislación de protección de datos porque EE. UU. es un "país sin un nivel adecuado de protección", al tiempo que destaca la "posibilidad de que las autoridades del gobierno de EE. UU. y las agencias de inteligencia accedan a datos personales transferidos sin las debidas garantías".
Al sitio web en cuestión, Caffeina Media SRL, se le ha dado un período de 90 días para dejar de utilizar Google Analytics para garantizar el cumplimiento del RGPD. Además, Garante llamó la atención de los webmasters sobre la ilegalidad de las transferencias de datos a los EE. UU. derivadas del uso de Google Analytics, recomendando que los propietarios de sitios cambien a herramientas alternativas de medición de audiencia que cumplan con los requisitos del RGPD.
"Al expirar el plazo de 90 días establecido en su decisión, la SA italiana verificará que las transferencias de datos en cuestión cumplan con el RGPD de la UE, incluso mediante inspecciones ad-hoc", afirmó.
A principios de este mes, el organismo de control de protección de datos francés, la CNIL, emitió una guía actualizada sobre el uso de Google Analytics, reiterando la práctica como ilegal según las leyes del Reglamento General de Protección de Datos (GDPR) y otorgando a las organizaciones afectadas un período de un mes para cumplirlo.
"La implementación del cifrado de datos por parte de Google ha demostrado ser una medida técnica insuficiente porque Google LLC cifra los datos por sí mismo y tiene la obligación de otorgar acceso o proporcionar los datos importados que están en su poder, incluidas las claves de cifrado necesarias para hacer que los datos inteligibles", dijo el regulador.
Google dijo a TechCrunch que está revisando la última decisión. En enero de 2022, el gigante tecnológico enfatizó que Google Analytics "no rastrea a las personas ni perfila a las personas en Internet" y que las organizaciones pueden controlar los datos recopilados a través del servicio.
La firma con sede en Mountain View, que aloja todos los datos recopilados a través de la plataforma de análisis en los EE. UU., también dijo que ofrece una función de enmascaramiento de direcciones IP que, cuando está habilitada, anonimiza la información en los servidores locales antes de que se transfiera a cualquier servidor fuera de la UE. Vale la pena señalar que esta función está habilitada de forma predeterminada con Google Analytics 4.
