El lunes, Suecia ordenó a cuatro empresas que dejaran de usar la herramienta de análisis y medición de tráfico de Google para enviar datos personales a los Estados Unidos, multando a una empresa con más de 1,1 millones de dólares.
La agencia de privacidad de Suecia, IMY, dijo que estaba investigando el uso de Google Analytics por parte de las empresas luego de una queja del grupo austriaco de protección de datos noyb (none of your business), que ha presentado docenas de quejas contra Google en toda Europa.
noyb afirmó que el uso de Google Analytics por parte de las empresas para el análisis web resultó en la transferencia de datos europeos a los EE. UU. en violación de la regulación de protección de datos de la UE, GDPR.
El RGPD solo permite transferencias de datos a terceros países donde la Comisión Europea haya determinado que ofrecen al menos el mismo nivel de protección de la privacidad que la UE, y un fallo del Tribunal de Justicia de la UE de 2020 invalidó el Acuerdo de Transferencia de Datos UE-EE. UU. por insuficiente.
IMY declaró que considera que los datos enviados a Google Analytics en los EE. UU. por cuatro empresas son datos personales y que “las medidas técnicas de seguridad adoptadas por las empresas no son suficientes para proporcionar un nivel de protección que es ampliamente equivalente al garantizado en el UE…”
Multó a la empresa de telecomunicaciones Tele2 con 12 millones de coronas ya la plataforma en línea CDON con 300.000 coronas.
La cadena de supermercados Coop y el periódico Dagens Industri tomaron más medidas para proteger los datos en tránsito y no fueron multados.
Tele2 dejó de usar Google Analytics voluntariamente e IMY ordenó a otras empresas que dejaran de usarlo.
La asesora legal de IMY, Sandra Arvidsson, quien dirigió la investigación, dijo que los fallos de la agencia “establecen claramente qué requisitos se imponen sobre seguridad técnica y otras medidas cuando se transfieren datos personales a un tercer país, en este caso Estados Unidos”.
Nyob dio la bienvenida al fallo del IMY.
“Aunque muchas otras autoridades europeas (por ejemplo, Austria, Francia e Italia) ya han descubierto que el uso de Google Analytics viola el RGPD, esta es la primera sanción financiera impuesta a las empresas por el uso de Google Analytics”, dice el comunicado.
A fines de mayo, la Comisión Europea expresó la esperanza de que a fines del verano pudiera concluirse un nuevo marco legal para las transferencias de datos entre la UE y los EE. UU.
El RGPD, en vigor a partir de 2018, puede dar lugar a sanciones de hasta 20 millones de euros o el cuatro por ciento de los ingresos globales de una empresa.
© 2023 AFP