Varias decisiones recientes de las autoridades de protección de datos de la UE afirman que el uso de Google Analytics infringe el Reglamento General de Protección de Datos (RGPD), ya que los datos personales -como las direcciones IP, los datos de las cookies y otros identificadores digitales similares- recogidos y transferidos a Estados Unidos son ilegales e infringen el artículo 44 del RGPD. En otras palabras, la transferencia de datos personales a Estados Unidos no está protegida por las leyes de vigilancia del gobierno estadounidense. Esto supone un reto para las numerosas empresas que usan tanto Google Analytics como plataformas de tecnología publicitaria y de marketing con sede en Estados Unidos, ya que todas ellas utilizan datos similares.
El 13 de enero de 2022, la Autoridad de Protección de Datos austriaca publicó un fallo en el que se afirmaba que el uso de Google Analytics infringía el RGPD de la UE. A la decisión austriaca le siguieron comunicados o fallos similares por parte de las autoridades de protección de datos de Holanda, Dinamarca y Francia. En general, las comunicaciones afirmaban que, en virtud de la configuración existente, los datos sobre ciudadanos europeos recogidos, transferidos y almacenados en los Estados Unidos infringen el RGPD, ya que el gobierno estadounidense tiene la capacidad de examinar los datos personales de los ciudadanos europeos en virtud de las leyes de vigilancia de los Estados Unidos. Las medidas complementarias (técnicas, jurídicas y organizativas) en estos casos se consideraron insuficientes para impedir el acceso del gobierno estadounidense.
Anders Pilgaard Andersen, Senior Vice President y General Counsel en Adform, explica: "El veredicto de la RGPD contra Google Analytics, basado en el veredicto Schrems II, es un enorme desafío para las empresas que utilizan plataformas de tecnología publicitaria y comercial con sede en Estados Unidos. Cualquier plataforma de este tipo que, de forma similar a Google Analytics, procese datos de cookies de ciudadanos europeos se verá probablemente afectada, y la DPA francesa declaró que su veredicto "se extiende a otras herramientas utilizadas por páginas web que dan lugar a la transferencia de datos de usuarios de Internet europeos a los Estados Unidos". La DPA danesa declaró que se publicarán más casos en toda la UE y que aún hay unos 100 casos pendientes.
En el pasado, la UE y EE.UU. consiguieron resolver la cuestión a través del ahora invalidado acuerdo del “Privacy Shield”, y aunque todo el mundo espera una solución similar, en la actualidad parece que la tolerancia de las autoridades europeas para el acceso de EE.UU. a los datos de los ciudadanos europeos es reducida. La rápida evolución de las sentencias en toda Europa, que parecen coordinadas y alineadas, así como el breve plazo de un mes que se ha dado para cumplir con el caso francés, no deja mucho tiempo a las empresas para actuar”.
La Österreichische Datenschutzbehörde, la Autoridad de Protección de Datos de Austria, publicó el 13 de enero de 2022 una decisión según la cual el uso de Google Analytics infringe el Reglamento General de Protección de Datos de la UE.
Ese mismo día, un comunicado de prensa de la Autoriteit Persoonsgegevens, las autoridades holandesas de protección de datos, declaró que las empresas de la UE debían abstenerse de utilizar Google Analytics y que "el uso de Google Analytics podría no estar permitido a corto plazo".
Una decisión posterior, publicada el 10 de febrero de 2022, por la Commission Nationale de L'informatique et des Libertes (CNIL), la autoridad francesa de protección de datos, ordena al propietario de un sitio web que deje de utilizar Google Analytics y lo califica de ilegal.
Elena Turtureanu, Senior Compliance Director, Legal & Privacy de Adform, afirma: "Lo que estas decisiones tienen en común es: (1) el alcance de los datos que se consideran transferidos ilegalmente son las direcciones IP truncadas, los identificadores digitales y los datos adicionales asociados a esos identificadores, y (2) las medidas adicionales, ya sean legales, contractuales, organizativas o técnicas no son "suficientes para excluir la accesibilidad de estos datos por parte de los servicios de inteligencia estadounidenses".
Turtureanu continúa: "Desde la introducción del GDPR -y más directamente desde que el Privacy Shieldd fue invalidado con la decisión Max Schrems II- ha habido mucha especulación sobre lo que esto significaba para las empresas europeas que utilizan los servicios tecnológicos de empresas tecnológicas con sede/domicilio/propiedad en Estados Unidos. La cuestión era si las cláusulas contractuales estándar eran suficientes para permitir el uso continuado de plataformas tecnológicas estadounidenses que almacenan datos en EE.UU. La decisión de la DPA austriaca, y todas las posteriores, envía un claro mensaje de que el uso de plataformas tecnológicas estadounidenses se ha vuelto más difícil e incluso imposible”. "Las empresas que operan en Europa y que recogen datos de sus clientes, ahora tienen que considerar si vale la pena el riesgo de seguir aprovechando los servicios de las plataformas con sede en Estados Unidos. Como siempre, las industrias altamente reguladas y con gran atención al cumplimiento de la normativa, como las empresas financieras, las empresas de telecomunicaciones y otras industrias similares, probablemente ya estén decidiendo cómo actuar en función de cómo se desarrollen los acontecimientos."