Las cookies de Google Analytics realizan un exhaustivo seguimiento de los usuarios de las páginas webs que las utilizan. Este seguimiento no sólo proporciona datos acerca del tiempo de navegación o el dispositivo utilizado, sino que también asigna un número de identificación a su navegador que se puede vincular con otros datos.
No obstante, el problema va más allá de la mera obtención de datos. La información monitoreada por Google Analytics termina en los servidores de Google en Estados Unidos, donde la ley estadounidense permite a la Agencia de Seguridad Nacional (NSA) o al FBI investigar las bases de datos de sus multinacionales sin un principio de proporcionalidad.
Como resultado, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó en 2020 el acuerdo bilateral entre Washington y Bruselas, conocido como Privacy Shield, por lo que no existe actualmente acuerdo entre Europa y EEUU en materia de transferencia de datos.
Tanto Google como Facebook pidieron que se adopte un nuevo acuerdo que aporte seguridad jurídica. Así, Facebook declaró a la SEC (regulador del mercado de valores estadounidense) que si no se adopta un nuevo acuerdo transatlántico no podrán ofrecer algunos de sus principales productos y servicios en Europa, como Facebook o Instagram.
Sin embargo, pese a mostrarse favorables a que se llegue a un nuevo acuerdo, la mayoría de las empresas estadounidenses han optado por hacer caso omiso del TJUE y limitarse a añadir un apéndice a sus políticas de privacidad, en lugar de adaptar sus servicios para cumplir con las normas europeas. En consecuencia, en enero de 2022, las autoridades de protección de datos austriaca y francesa han declarado ilegal el uso del servicio de Google Analytics en determinados servidores, de conformidad con el Reglamento General de Protección de Datos de la Unión (RGPD).
En nuestro país, la Agencia Española de Protección de Datos (AEPD) ha rechazado emitir un informe jurídico sobre si las cookies de Google Analytics suponen o no una transferencia de datos a Estados Unidos. El motivo es que la AEPD ya está tramitando varias denuncias contra empresas e instituciones como eDreams, Airbnb o la Real Academia Española.
En conclusión, el fallo del TJUE significa que las grandes empresas estadounidenses tendrán a partir de ahora más dificultades para transferir datos europeos, lo que podrá conducir, bien a un escrutinio más estricto por parte de sus reguladores de privacidad, o bien a la imposición de multas o incluso la salida de algunas de estas compañías del mercado europeo.
