Tras la sentencia del Tribunal Supremo en la que se define la seguridad de los datos personales como una obligación de medios, y no de resultado, quedan claras las acciones que deben realizar las empresas para cumplir los dos objetivos que contiene la obligación de medios en materia de seguridad de la información.

Conclusiones de la sentencia en relación con las obligaciones de resultado

Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de resultado son las siguientes:

1. En las obligaciones de resultado existe un compromiso que consiste en el cumplimiento de un determinado objetivo, asegurando el logro o resultado propuesto. 
2. En el caso de un tratamiento de datos personales, el resultado sería garantizar la seguridad de los datos personales y la inexistencia de filtraciones de datos o brechas de seguridad. 
3. Este objetivo es imposible en casos como los de los ataques de día cero, en los que se explota una vulnerabilidad no conocida hasta el momento.
4. En la obligación de resultado la empresa responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y cualquiera que sea la diligencia acreditada por la empresa. 

Conclusiones de la sentencia en relación con las obligaciones de medios

Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de medios son las siguientes:

1. En las obligaciones de medios el primer compromiso que adquiere el responsable del tratamiento es el de adoptar los medios técnicos y organizativos adecuados.
2. El segundo compromiso es desplegar una actividad diligente en su implantación y utilización que tienda a conseguir el resultado esperado con medios que razonablemente puedan calificarse de idóneos y suficientes para su consecución.
3. En la obligación de medios la empresa no será responsable si ha establecido medidas técnicamente adecuadas, las ha implantado y las mantiene activas y actualizadas con una diligencia razonable.
4. La suficiencia y la adecuación de las medidas de seguridad que el responsable planee establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con la tipología de los datos personales tratados, pero no se garantiza un resultado. 
5. Es decir, no se asegura que no haya incidentes de seguridad, ya que este estado de garantía total es imposible de conseguir.

La obligación de medios en el RGPD y en la LOPDGDD

Tanto el RGPD como la LOPDGDD se refieren a obligaciones de medios:

1. El artículo 32 del RGPD establece, respecto a la seguridad del tratamiento, que las medidas técnicas y organizativas apropiadas lo son teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
2. La LOPDGDD distingue dos obligaciones e infracciones autónomas. En el artículo 73, apartados d), e) y f) sanciona la falta de adopción de las medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. En el artículo 73, apartado g) sanciona la falta de la debida diligencia en la utilización de las medidas técnicas y organizativas implantadas.

Los dos compromisos que subyacen en la obligación de medios

El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. Es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.

Esquema basado en dos niveles o fases

El esquema a tener en cuenta a partir de ahora es que las medidas de seguridad tienen dos niveles o fases:

1. La adopción de las medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
2. La correcta implantación y aplicación de las medidas, manteniéndolas activas y actualizadas con una diligencia razonable.

Estos dos niveles representan obligaciones de medios, pero si sólo se aplica el primer nivel y no el segundo no se completa el umbral de seguridad exigido en el RGPD y se produce un incumplimiento. La AEPD y la Audiencia Nacional confundían este segundo nivel con una obligación de resultado, pero el Tribunal Supremo ha aclarado que los dos niveles de cumplimiento forman parte de las obligaciones de medios.

Acciones a realizar a partir de ahora

De acuerdo con el esquema descrito en la normativa, y confirmado con el Tribunal Supremo, las acciones a realizar con el fin de asegurar el cumplimiento del RGPD en materia de seguridad, son las siguientes:

FASE 1 – Análisis de la adecuación de las medidas

1. Verificar que se han adoptado las medidas técnicas adecuadas para el tratamiento según el estado de la técnica.
2. Verificar que se han adoptado las medidas organizativas adecuadas y suficientes para el tratamiento.
3. Verificar que estas medidas se ajustan al análisis de riesgos realizado previamente en relación con el tratamiento.
4. Verificar que en la selección de las medidas se ha tenido en cuenta la probabilidad y el impacto de los riesgos identificados.
5. Verificar que las medidas se han implantado de forma completa y diligente.

FASE 2 – Análisis de la efectiva aplicación de las medidas

1. Verificar que las medidas se han implantado de forma completa y diligente.
2. Verificar que las medidas se están aplicando de manera continuada en todos los niveles de la organización.
3. Verificar que las medidas están activas y siguen siendo idóneas y suficientes a lo largo del tiempo y de la evolución de la tecnología.
4. Verificar la eficacia de las medidas con las correspondientes pruebas y simulaciones.
5. Verificar que las medidas permitan razonablemente evitar las violaciones de la confidencialidad, integridad y disponibilidad de los datos.

La resolución de la CNIL sobre Google Analytics no se limita a decir lo que Google y el cliente de Google Analytics han hecho mal, sino que describe, directamente o a contrario sensu, la forma en que podrían haber actuado de conformidad con el RGPD.

A continuación se relacionan las conclusiones obtenidas tras la lectura de la resolución, que pueden ser la base para una utilización correcta de Google Analytics.

Estas conclusiones son aplicables tanto a los datos gestionados a través de JavaScript como a los obtenidos mediante las cookies de GA.

Imposibilidad de identificar al interesado

La CNIL se basa en el considerando 30 del RGPD, y en la posibilidad de que el uso de identificadores únicos permita elaborar perfiles e identificar a los usuarios, para afirmar que el responsable del tratamiento debe acreditar las medidas aplicadas para asegurar el anonimato de los identificadores recogidos. En ausencia de tal acreditación, la CNIL establece que estos identificadores no pueden calificarse como anónimos.

El responsable del tratamiento afirma que las direcciones IP están anonimizadas, pero no especifica el proceso que aplica para anonimizar las direcciones.

Sin entrar a valorar a quién corresponde en esta caso la carga de la prueba, teniendo en cuenta el principio de presunción de inocencia administrativa, de estos dos puntos de la resolución se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para que:

1. Los identificadores únicos no permitan identificar al usuario.
2. Las direcciones IP hayan sido anonimizadas antes de transferir los datos a EEUU.

Imposibilidad de individualizar al interesado no registrado

La CNIL mantiene que los identificadores únicos pueden combinarse con otros datos obtenidos del interesado y conseguir individualizarlo. De acuerdo con el considerando 26 del RGPD dicha individualización puede ser suficiente para hacer que los interesados sean identificables.

De esta afirmación se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para identificar y excluir del tratamiento los campos que, combinados con los identificadores únicos, permitan a Google identificar al interesado.

Un identificador único puede ser utilizado para seudonimizar los datos si Google no dispone de la información necesaria para revertir la seudonimización e individualizar o singularizar al usuario de manera suficiente para identificarlo.

Esta seudonimización, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.

Imposibilidad de individualizar al interesado registrado

La CNIL también contempla la posibilidad de que el identificador único pueda ser asociado a interesados que dispongan de una cuenta de usuario en el sitio web, que hayan realizado un pedido o cumplimentado un formulario o que estén identificados o vinculados a datos de identificación por cualquier otra razón.

Igual que en el caso anterior, la seudonimización de los datos, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.

Cifrado de los datos en tránsito

La CNIL alega falta de detalle en la descripción de la forma en que se aplica el cifrado a los datos transferidos. Cabe indicar que la norma que permite a una agencia de inteligencia de EEUU requerir la entrega de los datos estáticos es distinta de la que le permite interceptar los datos en tránsito.

Si el cifrado se aplica a los datos tratados en EEUU y Google conserva las claves de cifrado, esta medida no es válida.

Pero si el cifrado se aplica a los datos en tránsito, y el responsable del tratamiento explica con detalle las características y el alcance de esta medida, el cifrado es una opción viable.

Seudonimización

La CNIL menciona de nuevo el potencial de un identificador único para individualizar a un interesado, pero siempre que se realiza una seudonimización se utiliza un identificador único que permite que la disociación sea reversible. Si la disociación fuese irreversible estaríamos ante una anonimización.

Por lo tanto, y como se ha dicho en puntos anteriores, la seudonimización es válida siempre que la combinación de los datos transferidos a Google con el identificador único no le permitan identificar al interesado.

Anonimización

Queda claro que la anonimización de los datos antes de la transferencia a Google hace que éstos dejen de ser datos personales y excluye la aplicación del RGPD a la transferencia.

Consentimiento explícito del interesado

La CNIL no excluye la opción del consentimiento explícito del interesado. únicamente indica que el responsable del tratamiento no acredita que lo haya obtenido.

Ello abre la puerta a la obtención del consentimiento explícito para la transferencia a Google en el mismo banner que se utiliza para obtener el consentimiento explícito para el uso de cookies.

Protocolo de gestión de solicitudes

La CNIL no reconoce la eficacia del protocolo que Google aplica a la gestión de las solicitudes que recibe de las agencias de inteligencia, porque Google se limita a describir el análisis que realiza de la legalidad de cada solicitud.

Sin embargo, la eficacia de este protocolo ha sido acreditada por otras empresas que tratan datos en EEUU demostrando que se han denegado previamente solicitudes de agencias de inteligencia.

Esta denegación de la solicitud puede basarse en la no aplicación de la norma al caso concreto debido, entre otras, a las siguientes razones:

1. La disponibilidad de los datos en otras fuentes.
2. La imposibilidad de acceder a los datos a causa de las medidas aplicadas.
3. La tipología del servicio.
4. La tipología de los clientes del servicio.
5. La tipología de los interesados.
6. La tipología de los datos.

Si se analizan las estadísticas relativas a las solicitudes realizadas por las agencias de inteligencia a empresas que únicamente prestan servicios B2B veremos que predominan dos tipos de situaciones:

1. La ausencia de solicitudes, debido a la irrelevancia de los datos para un investigación de actividades terroristas.
2. La denegación de la solicitud derivada de los motivos antes expresados.

En mi opinión, el reto que plantea Google Analytics y cualquier otra herramienta tecnológica en la actualidad reside en nuestra capacidad de alejarnos de los titulares y explorar las alternativas que las propias autoridades de control nos ofrecen en sus resoluciones. Todo ello sin olvidar a los proveedores europeos de servicios analíticos, como es natural.

En este artículo relaciono telegráficamente algunas de las posibles soluciones a explorar y analizar para verificar su viabilidad, y en caso positivo su aplicación al uso de Google Analytics en sitios web europeos. Las opciones más viables serán desarrolladas en artículos posteriores.

Tratamiento de Google en la Unión Europea

Google podría tratar los datos a través de una filial europea que no tenga ninguna obligación legal ni contractual de enviar datos a la matriz en el caso de que ésta sea requerida por una autoridad de inteligencia exterior estadounidense.

Google como responsable único del tratamiento

Google podría convertirse en responsable único del tratamiento. Ello exigiría valorar cuestiones técnicas y jurídicas, como la posibilidad de obtener la información suministrada por la cookies de Google Analytics directamente desde un servidor de Google, de acuerdo con la configuración realizada por el responsable del sitio web en la consola de Google Analytics. También habría que valorar la eficacia jurídica de informar al interesado, en el aviso de la primera capa, de la obtención de los datos analíticos y estadísticos por parte de Google en EEUU, asociando el consentimiento explícito a la transferencia directa del interesado a Google y a la política de privacidad de Google Analytics cuyo enlace debería estar disponible. Esta opción exigiría la aplicación de las medidas complementarias que después veremos.

Google como corresponsable del tratamiento

Esta opción la ofrece Google como alternativa a su papel habitual como encargado del tratamiento y ha sido analizada por alguna autoridad de control. La mecánica sería similar a la del punto anterior y exigiría un reparto de responsabilidades que implicase una transferencia directa del interesado a Google. También en este caso sería necesaria la aplicación de medidas complementarias.

Hosting en EEUU

La cuestión a valorar en este caso sería si técnicamente habría una transferencia a EEUU, ya que el interesado sería informado en el aviso de la primera capa de que está visitando un sitio web ubicado en EEUU y que sus datos se obtendrán directamente en EEUU, siendo el interesado el artífice de la transferencia.

Información de la transferencia en la primera capa

Esta opción consistiría en informar adecuadamente al interesado en el aviso de la primera capa sobre la transferencia de sus datos estadísticos a Google en EEUU, con el correspondiente consentimiento explícito del interesado y el enlace a la política de privacidad de Google Analytics. Esta alternativa exigiría el cumplimiento de los requisitos técnicos y jurídicos contemplados al hablar de las cookies gestionadas directa y únicamente por Google. El escenario coincidiría con el patrón de un encargado del tratamiento estadounidense que obtiene los datos directamente del interesado, sin pasar por el responsable europeo del tratamiento. También en este caso sería necesaria la aplicación de medidas complementarias.

Medidas complementarias comunes

Esta medida transversal, aplicable a todos los escenarios a valorar, consistiría en verificar la eficacia de las medidas complementarias y las garantías esenciales contempladas en las recomendaciones del Comité Europeo de Protección de Datos. Entiendo que el cifrado sería válido para los datos en tránsito pero no para los datos a tratar por Google en EEUU, ya que debe poder acceder a ellos de modo inteligible. Tampoco sería aplicable la seudonimización ni la anonimización, ya que Google basa su tratamiento analítico en la dirección IP del interesado. Esta opción ya ha sido valorada y descartada por las autoridades de control europeas. La fragmentación entre varios encargados del tratamiento tampoco sería viable en este caso.

Protocolo de gestión de requerimientos de acceso

La obligación contractual complementaria de las Cláusulas Contractuales Tipo consistente en aplicar un protocolo de gestión de los requerimientos de acceso a datos remitidos por las autoridades de inteligencia exterior de EEUU es una recomendación histórica de nuestro despacho, que ya ha demostrado su eficacia en proveedores B2B. En el caso de Google Analytics no ha habido ocasión de aplicarlo ya que, según los datos suministrados por Google, nunca ha recibido un requerimiento de esta índole. Esta declaración de Google es verosímil, dada la escasa relevancia de los datos de Google Analytics para la investigación de las actividades terroristas, y dada la posibilidad técnica y jurídica de que las agencias de inteligencia obtengan esta información por sus propios medios.

Este protocolo incluye un apartado clave, que consiste en la posibilidad legal de discutir e incluso conseguir la exención de dar respuesta a un requerimiento de entrega de datos en determinados casos. El análisis de la viabilidad del requerimiento se basa, entre otros factores, en la tipología de los datos, la solvencia jurídica del responsable del tratamiento, la naturaleza del servicio prestado por el encargado del tratamiento, la falta de relevancia de los datos para una investigación de inteligencia exterior (por ejemplo, la consulta del diccionario de la RAE) o la posibilidad de obtener los datos directamente por parte de las agencias de inteligencia exterior.

Es evidente que la NSA puede obtener datos mucho más relevantes de la actividad de los usuarios por sus propios medios y sin tener que solicitar los de Google Analytics. Por eso Google no ha recibido requerimientos en relación a este servicio.

Es una lástima que los activistas que han promovido este sudoku no hayan explorado de forma conjunta y constructiva todas las opciones técnicas y jurídicas posibles antes de lanzar un ataque de fuerza bruta contra sitios web como el de la RAE cuyas estadísticas no son capaces de suscitar interés para las agencias de inteligencia estadounidenses, no son relevantes para la lucha antiterrorista y no tienen un potencial significativo para generar riesgos para los derechos y libertades de los interesados.