La CNIL indica el camino para utilizar Google Analytics de conformidad con el RGPD

La resolución de la CNIL sobre Google Analytics no se limita a decir lo que Google y el cliente de Google Analytics han hecho mal, sino que describe, directamente o a contrario sensu, la forma en que podrían haber actuado de conformidad con el RGPD.

A continuación se relacionan las conclusiones obtenidas tras la lectura de la resolución, que pueden ser la base para una utilización correcta de Google Analytics.

Estas conclusiones son aplicables tanto a los datos gestionados a través de JavaScript como a los obtenidos mediante las cookies de GA.

Imposibilidad de identificar al interesado

La CNIL se basa en el considerando 30 del RGPD, y en la posibilidad de que el uso de identificadores únicos permita elaborar perfiles e identificar a los usuarios, para afirmar que el responsable del tratamiento debe acreditar las medidas aplicadas para asegurar el anonimato de los identificadores recogidos. En ausencia de tal acreditación, la CNIL establece que estos identificadores no pueden calificarse como anónimos.

El responsable del tratamiento afirma que las direcciones IP están anonimizadas, pero no especifica el proceso que aplica para anonimizar las direcciones.

Sin entrar a valorar a quién corresponde en esta caso la carga de la prueba, teniendo en cuenta el principio de presunción de inocencia administrativa, de estos dos puntos de la resolución se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para que:

  1. Los identificadores únicos no permitan identificar al usuario.
  2. Las direcciones IP hayan sido anonimizadas antes de transferir los datos a EEUU.

Imposibilidad de individualizar al interesado no registrado

La CNIL mantiene que los identificadores únicos pueden combinarse con otros datos obtenidos del interesado y conseguir individualizarlo. De acuerdo con el considerando 26 del RGPD dicha individualización puede ser suficiente para hacer que los interesados sean identificables.

De esta afirmación se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para identificar y excluir del tratamiento los campos que, combinados con los identificadores únicos, permitan a Google identificar al interesado.

Un identificador único puede ser utilizado para seudonimizar los datos si Google no dispone de la información necesaria para revertir la seudonimización e individualizar o singularizar al usuario de manera suficiente para identificarlo.

Esta seudonimización, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.

Imposibilidad de individualizar al interesado registrado

La CNIL también contempla la posibilidad de que el identificador único pueda ser asociado a interesados que dispongan de una cuenta de usuario en el sitio web, que hayan realizado un pedido o cumplimentado un formulario o que estén identificados o vinculados a datos de identificación por cualquier otra razón.

Igual que en el caso anterior, la seudonimización de los datos, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.

Cifrado de los datos en tránsito

La CNIL alega falta de detalle en la descripción de la forma en que se aplica el cifrado a los datos transferidos. Cabe indicar que la norma que permite a una agencia de inteligencia de EEUU requerir la entrega de los datos estáticos es distinta de la que le permite interceptar los datos en tránsito.

Si el cifrado se aplica a los datos tratados en EEUU y Google conserva las claves de cifrado, esta medida no es válida.

Pero si el cifrado se aplica a los datos en tránsito, y el responsable del tratamiento explica con detalle las características y el alcance de esta medida, el cifrado es una opción viable.

Seudonimización

La CNIL menciona de nuevo el potencial de un identificador único para individualizar a un interesado, pero siempre que se realiza una seudonimización se utiliza un identificador único que permite que la disociación sea reversible. Si la disociación fuese irreversible estaríamos ante una anonimización.

Por lo tanto, y como se ha dicho en puntos anteriores, la seudonimización es válida siempre que la combinación de los datos transferidos a Google con el identificador único no le permitan identificar al interesado.

Anonimización

Queda claro que la anonimización de los datos antes de la transferencia a Google hace que éstos dejen de ser datos personales y excluye la aplicación del RGPD a la transferencia.

Consentimiento explícito del interesado

La CNIL no excluye la opción del consentimiento explícito del interesado. únicamente indica que el responsable del tratamiento no acredita que lo haya obtenido.

Ello abre la puerta a la obtención del consentimiento explícito para la transferencia a Google en el mismo banner que se utiliza para obtener el consentimiento explícito para el uso de cookies.

Protocolo de gestión de solicitudes

La CNIL no reconoce la eficacia del protocolo que Google aplica a la gestión de las solicitudes que recibe de las agencias de inteligencia, porque Google se limita a describir el análisis que realiza de la legalidad de cada solicitud.

Sin embargo, la eficacia de este protocolo ha sido acreditada por otras empresas que tratan datos en EEUU demostrando que se han denegado previamente solicitudes de agencias de inteligencia.

Esta denegación de la solicitud puede basarse en la no aplicación de la norma al caso concreto debido, entre otras, a las siguientes razones:

  1. La disponibilidad de los datos en otras fuentes.
  2. La imposibilidad de acceder a los datos a causa de las medidas aplicadas.
  3. La tipología del servicio.
  4. La tipología de los clientes del servicio.
  5. La tipología de los interesados.
  6. La tipología de los datos.

Si se analizan las estadísticas relativas a las solicitudes realizadas por las agencias de inteligencia a empresas que únicamente prestan servicios B2B veremos que predominan dos tipos de situaciones:

  1. La ausencia de solicitudes, debido a la irrelevancia de los datos para un investigación de actividades terroristas.
  2. La denegación de la solicitud derivada de los motivos antes expresados.

En mi opinión, el reto que plantea Google Analytics y cualquier otra herramienta tecnológica en la actualidad reside en nuestra capacidad de alejarnos de los titulares y explorar las alternativas que las propias autoridades de control nos ofrecen en sus resoluciones. Todo ello sin olvidar a los proveedores europeos de servicios analíticos, como es natural.