El año apenas comienza y también los primeros problemas para Google: la Autoridad de Protección de Datos de Austria («Datenschutzbehörde» o «DSB») falló que el uso continuado de Google Analytics incumple la GDPR.
Este es el primer fallo acerca de las 101 quejas que la ONG austriaca de protección de datos «Noyb» ha presentado en relación con la llamada «decisión Schrems II«, un caso en 2020 en el que el Tribunal de Justicia (TJUE) decidió que el uso de proveedores de Estados Unidos, como Google, incumple la GDPR debido a que las empresas estadounidenses están obligadas por ley a compartir sus contenidos con las autoridades de ese país, lo que permite el acceso a datos de los usuarios europeos.
Esta decisión ha levantado alertas sobre el uso rutinario de las herramientas que requieren transferencia de datos personales de Europa hacia los Estados Unidos para su procesamiento. El organismo de control ha encontrado que la dirección IP así como los identificadores en los datos de las cookies incluyen datos de los visitantes del sitio web, lo que significa que estas transferencias están bajo el ámbito de la aplicación de la ley de protección de datos de la UE.
Hablando del caso específico de Google Analytics, se destacó que una función de «anonimización» de la dirección IP no se había implementado de forma correcta en el sitio web, pero de forma independiente a este problema técnico, el regulador encontró que los datos de la dirección IP que se compartían a EE.UU incluían datos personales de los usuarios, por lo que era posible identificar a un visitante.
