Hasta el año 2020 las transferencias de datos a EEUU se encontraban sujetas al marco-acuerdo Privacy Shield que permitía a empresas europeas transferir datos al otro lado del océano siempre que se cumpliesen ciertos requisitos.
Ese mismo año, y a raíz de que el abogado austriaco Max Schrems interpusiera reclamaciones en varias autoridades de protección de datos europeas por del uso de cookies en 101 páginas web europeas, el Tribunal de Justicia de la Comunidad Europea falló que el acuerdo Privacy Shield incumplía el RGPD.
Desde entonces la Autoridad Europea de protección de datos (EDPB) establecía que, para poder seguir operando de este modo, se necesitaban garantías adicionales en los contratos de transferencia. Por ello, servicios como Google o Facebook, actualizaron sus condiciones.
- El uso de analytics sin anonimizar supone una transferencia de datos a EEUU sin amparo en el RGPD
- Existen alternativas Europeas a Analytics y otros servicios que cumplen el RGPD
- Google no permitirá las cookies de terceros en 2023
Recientemente la Autoridad de Protección de Datos austriaca en una resolución sobre un procedimiento sancionador e igualmente la Autoridad francesa (CNIL) a través de un informe, han dictaminado que el uso de Analytics y otros servicios (formularios, calendarios, agendas, repositorios…) no se ajustan al RGPD porque el sistema de garantías adicionales en realidad no es suficiente.
- Uso de analytics de Google: Si los datos no se anonimizan se produce una transferencia internacional de datos a un entorno no seguro que no se sujeta al marco del RGPD.
- Uso de plataformas y servicios de terceros: Las plataformas de terceros que alojan o transfieren datos a EEUU se encuentran sin amparo normativo.
La Agencia Española de Protección de Datos deberá pronunciarse sobre el uso de estas herramientas, ya ante ella se presentó igualmente denuncia por el uso de cookies de varias webs. Dado que se trata de la aplicación de una sentencia del TJCE, no creemos que pueda separarse de este criterio.