Posibles soluciones para el sudoku de Google Analytics

En este artículo relaciono telegráficamente algunas de las posibles soluciones a explorar y analizar para verificar su viabilidad, y en caso positivo su aplicación al uso de Google Analytics en sitios web europeos. Las opciones más viables serán desarrolladas en artículos posteriores.

Tratamiento de Google en la Unión Europea

Google podría tratar los datos a través de una filial europea que no tenga ninguna obligación legal ni contractual de enviar datos a la matriz en el caso de que ésta sea requerida por una autoridad de inteligencia exterior estadounidense.

Google como responsable único del tratamiento

Google podría convertirse en responsable único del tratamiento. Ello exigiría valorar cuestiones técnicas y jurídicas, como la posibilidad de obtener la información suministrada por la cookies de Google Analytics directamente desde un servidor de Google, de acuerdo con la configuración realizada por el responsable del sitio web en la consola de Google Analytics. También habría que valorar la eficacia jurídica de informar al interesado, en el aviso de la primera capa, de la obtención de los datos analíticos y estadísticos por parte de Google en EEUU, asociando el consentimiento explícito a la transferencia directa del interesado a Google y a la política de privacidad de Google Analytics cuyo enlace debería estar disponible. Esta opción exigiría la aplicación de las medidas complementarias que después veremos.

Google como corresponsable del tratamiento

Esta opción la ofrece Google como alternativa a su papel habitual como encargado del tratamiento y ha sido analizada por alguna autoridad de control. La mecánica sería similar a la del punto anterior y exigiría un reparto de responsabilidades que implicase una transferencia directa del interesado a Google. También en este caso sería necesaria la aplicación de medidas complementarias.

Hosting en EEUU

La cuestión a valorar en este caso sería si técnicamente habría una transferencia a EEUU, ya que el interesado sería informado en el aviso de la primera capa de que está visitando un sitio web ubicado en EEUU y que sus datos se obtendrán directamente en EEUU, siendo el interesado el artífice de la transferencia.

Información de la transferencia en la primera capa

Esta opción consistiría en informar adecuadamente al interesado en el aviso de la primera capa sobre la transferencia de sus datos estadísticos a Google en EEUU, con el correspondiente consentimiento explícito del interesado y el enlace a la política de privacidad de Google Analytics. Esta alternativa exigiría el cumplimiento de los requisitos técnicos y jurídicos contemplados al hablar de las cookies gestionadas directa y únicamente por Google. El escenario coincidiría con el patrón de un encargado del tratamiento estadounidense que obtiene los datos directamente del interesado, sin pasar por el responsable europeo del tratamiento. También en este caso sería necesaria la aplicación de medidas complementarias.

Medidas complementarias comunes

Esta medida transversal, aplicable a todos los escenarios a valorar, consistiría en verificar la eficacia de las medidas complementarias y las garantías esenciales contempladas en las recomendaciones del Comité Europeo de Protección de Datos. Entiendo que el cifrado sería válido para los datos en tránsito pero no para los datos a tratar por Google en EEUU, ya que debe poder acceder a ellos de modo inteligible. Tampoco sería aplicable la seudonimización ni la anonimización, ya que Google basa su tratamiento analítico en la dirección IP del interesado. Esta opción ya ha sido valorada y descartada por las autoridades de control europeas. La fragmentación entre varios encargados del tratamiento tampoco sería viable en este caso.

Protocolo de gestión de requerimientos de acceso

La obligación contractual complementaria de las Cláusulas Contractuales Tipo consistente en aplicar un protocolo de gestión de los requerimientos de acceso a datos remitidos por las autoridades de inteligencia exterior de EEUU es una recomendación histórica de nuestro despacho, que ya ha demostrado su eficacia en proveedores B2B. En el caso de Google Analytics no ha habido ocasión de aplicarlo ya que, según los datos suministrados por Google, nunca ha recibido un requerimiento de esta índole. Esta declaración de Google es verosímil, dada la escasa relevancia de los datos de Google Analytics para la investigación de las actividades terroristas, y dada la posibilidad técnica y jurídica de que las agencias de inteligencia obtengan esta información por sus propios medios.

Este protocolo incluye un apartado clave, que consiste en la posibilidad legal de discutir e incluso conseguir la exención de dar respuesta a un requerimiento de entrega de datos en determinados casos. El análisis de la viabilidad del requerimiento se basa, entre otros factores, en la tipología de los datos, la solvencia jurídica del responsable del tratamiento, la naturaleza del servicio prestado por el encargado del tratamiento, la falta de relevancia de los datos para una investigación de inteligencia exterior (por ejemplo, la consulta del diccionario de la RAE) o la posibilidad de obtener los datos directamente por parte de las agencias de inteligencia exterior.

Es evidente que la NSA puede obtener datos mucho más relevantes de la actividad de los usuarios por sus propios medios y sin tener que solicitar los de Google Analytics. Por eso Google no ha recibido requerimientos en relación a este servicio.

Es una lástima que los activistas que han promovido este sudoku no hayan explorado de forma conjunta y constructiva todas las opciones técnicas y jurídicas posibles antes de lanzar un ataque de fuerza bruta contra sitios web como el de la RAE cuyas estadísticas no son capaces de suscitar interés para las agencias de inteligencia estadounidenses, no son relevantes para la lucha antiterrorista y no tienen un potencial significativo para generar riesgos para los derechos y libertades de los interesados.