
El duro Reglamento General de Protección de Datos (RGPD) de Europa se ha visto principalmente como un problema para las grandes empresas tecnológicas, durante los casi cuatro años en que ha estado en vigor. Ahora se está convirtiendo en un verdadero problema para los clientes europeos de los servicios en la nube de Estados Unidos, desde los minoristas hasta los gobiernos.
El jueves, los defensores de la privacidad en Europa se adjudicaron una victoria parcial en un caso austriaco relacionado con una persona que visitó un sitio web relacionado con la salud que utiliza Google Analytics, el conjunto de herramientas más extendido en el mundo para que los propietarios de sitios web hagan un seguimiento de cómo los usuarios utilizan su sitio.
Según la Autoridad de Protección de Datos austriaca, los operadores del sitio web violaron el RGPD al transferir los datos personales del usuario a Google en EE.UU. Tal y como se estableció en una sentencia de gran alcance de 2020 del máximo tribunal de la UE, el envío de datos personales a una empresa en EE.UU. es ilegal si esa empresa no puede garantizar la seguridad de los datos frente a los servicios de inteligencia estadounidenses. Y gracias a la Ley de Vigilancia de la Inteligencia Extranjera (FISA) de Estados Unidos, ninguna empresa estadounidense puede ofrecer esa garantía.
Las implicaciones podrían ser de gran alcance. Aunque esta denuncia afectaba a un solo editor de sitios web, fue una de las 101 denuncias presentadas al mismo tiempo, hace un año y medio, por el titiritero de las grandes tecnologías Max Schrems y su grupo de defensa de la privacidad NOYB ("None of your business"). Esa ofensiva masiva llevó a las autoridades de protección de datos de la UE a coordinar sus respuestas, por lo que es muy probable que lleguen hasta 100 decisiones similares.
De ser así, el resultado sería que los sitios web que operan en Europa tienen un fuerte desincentivo para dejar de utilizar Google Analytics y otros servicios en la nube basados en Estados Unidos.
Caída de fichas de dominó
"Hemos presentado 101 quejas en básicamente todos los estados miembros [de la UE]", dijo Schrems a Fortune el jueves. "Formaron un grupo de trabajo, por lo que esperamos que las otras [autoridades de protección de datos] se presenten ahora con decisiones similares. Ahora pueden caer fichas de dominó país por país".
El fallo no fue totalmente a favor de NOYB, ya que aunque el regulador austriaco decidió contra el editor del sitio web sin nombre -que, según entiende Fortune, ahora es propiedad de una empresa de medios de comunicación alemana-, desestimó la parte de la demanda que apuntaba a la propia Google, razonando que la parte pertinente del GDPR sólo imponía obligaciones legales a la empresa que exportaba los datos.
Tampoco está claro si el editor del sitio web recibió una multa o alguna otra sanción; la decisión completa aún no se ha publicado.
Aunque la decisión austriaca es la primera que aborda una de esas 101 reclamaciones, sigue a una decisión similar publicada a principios de esta semana por el Supervisor Europeo de Protección de Datos (SEPD), que tiene jurisdicción específicamente sobre las principales instituciones de la UE. El organismo de control sancionó al Parlamento Europeo por utilizar Google Analytics y el servicio de pagos Stripe en un sitio web interno para organizar las pruebas de PCR de COVID-19.
Opciones restantes
Google dijo en un comunicado que las empresas y organizaciones que utilizan Google Analytics "controlan qué datos se recogen con estas herramientas y cómo se utilizan".
"Google ayuda proporcionando una serie de salvaguardias, controles y recursos para el cumplimiento", dijo, añadiendo que el conjunto de herramientas no identifica a las personas ni las rastrea en la web.
En cuanto a lo que las empresas y organizaciones europeas deben hacer ahora, hay algunas soluciones posibles. Una de ellas es dejar de utilizar los servicios en la nube de Estados Unidos. Otra sería que Estados Unidos aprobara reformas significativas en materia de vigilancia que permitieran a los proveedores estadounidenses de la nube garantizar la seguridad de los datos personales de los extranjeros; hay pocos indicios de que esto ocurra pronto.
La otra opción sería que los proveedores de la nube de Estados Unidos establecieran centros de datos europeos protegidos en asociación con empresas locales que controlaran el acceso a los datos personales almacenados en los servidores. Recientemente, Google ha anunciado un servicio de este tipo para clientes empresariales en Alemania, con el gigante informático local T-Systems como socio.