Por primera vez, la Agencia Sueca de Protección de Datos ha decidido imponer una multa de 1 millón de euros a dos empresas. La razón es que al usar Google Analytics para crear estadísticas sobre el uso web, estaban vulnerando el reglamento de la Unión Europea. Esto puede sentar un precedente con un impacto mayúsculo.
¿Google Analytics vulnera las leyes de protección de datos?
La Unión Europea cuenta con el RGPD (Reglamento General de Protección de Datos) para legislar las medidas que deben llevar a cabo las empresas con sede en la UE o que tratan con los datos de los ciudadanos europeos. La Agencia Sueca de Protección de Datos (IMY) asegura que dos empresas vulneraron este reglamento, concretamente el Artículo 46 (1). Este apartado prohíbe la transferencia de datos personales a países u organizaciones internacionales que no cuenten con salvaguardias adecuadas que garanticen la seguridad y los mecanismos legales de remedio. Además, hay otras dos empresas que han recibido una advertencia por actuar de forma similar.
El proceso comenzó con la organización austríaca NOYB (None of your business), dedicada a la protección de derechos digitales y que presentó una protesta formal. A raíz de esto, se realizó una auditoría que concluyó con el descubrimiento que dió lugar a las multas. Efectivamente, mediante Google Analytics se enviaban datos personales a Estados Unidos y en el proceso se vulneraba la ley europea. La investigación sucedió en agosto de 2020 y decretó que el carácter de los datos transferidos por Google Analytics era personal ya que se podía vincular con otra información sensible. También, puso de manifiesto que las medidas llevadas a cabo por las empresas en cuanto a protección de datos no eran suficientes para cumplir con los estándares de la UE.
La empresa multada con una mayor parte de la sanción es Tele2, un proveedor de servicios online sueco que ya anunció su intención voluntaria de prescindir de Google Analytics. Las otras tres empresas (CDON, Coop, y Dagens Industri) han sido obligadas a cesar en el uso de Google Analytics y adherirse de manera adecuada a la legislación de protección de datos en el próximo mes. Es evidente que la Agencia Sueca de Protección de Datos tiene la intención de establecer un precedente sólido y firme que impida en el futuro acciones similares por parte de otras empresas. Sin embargo, Google Analytics es una herramienta utilizada por la gran mayoría de empresas del sector digital, por lo que potencialmente miles de empresas podrían ser sujeto de investigaciones y multas similares.
¿Qué se consideran datos personales?
De acuerdo al RGPD, son aquellos datos que están relacionados con una persona identificada o identificable. Por ejemplo: nombre y apellidos, dirección, número de documento de identidad/pasaporte, ingresos, perfil cultural, dirección de protocolo internet (IP), datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios). La legislación europea también determina una serie de categorías sobre las que no se puede recopilar datos de ningún tipo: origen racial o étnico, orientación sexual, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos o sanitarios (salvo en casos específicos, por ejemplo, cuando se da un consentimiento explícito o cuando el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho nacional o de la UE), condenas e infracciones penales (a menos que lo autorice el Derecho nacional o de la UE).
La Unión Europea en el centro de la legislación digital
La mano firme demostrada por Suecia en este caso concuerda con las acciones lideradas por la UE en los últimos meses con respecto a la legislación de las empresas online. El Parlamento Europeo ya aprobó el AI Act, un paquete de medidas y leyes pioneras para regular la inteligencia artificial y las medidas de protección de datos que deben seguir las empresas que operan en suelo europeo. Debido a las acciones legales emprendidas por la UE, hemos visto a grandes empresas como Meta limitar sus lanzamientos en la región, con el caso de Threads. En esta ocasión, Meta no fue permitida por el Digital Markets Act a conectar las cuentas de Threads con las de Instagram en los 27 países de la UE. Por miedo a las leyes que van a entrar en vigor y lo que acusan de incertidumbre, el portavoz de Meta ha trasladado la intención de retrasar el lanzamiento aquí.
En el caso de Threads, llegará a la UE una vez se revise su funcionamiento y se asegure de que cumple con la normativa vigente de protección de datos y competencia. En última instancia, las leyes más estrictas en la UE logran que los usuarios puedan estar más seguros ante la extracción de datos y los nuevos lanzamientos de los gigantes digitales. Por contrapartida, las empresas con sede en la UE o que tienen un gran número de usuarios allí, van a tener que considerar los costes y riesgos legales de operar en esta zona. Lo que está claro es que los pasos hacia una mayor legislación en el sector digital son una realidad, y los está liderando la UE por diferencia.
