En un desarrollo significativo, Google Analytics 4 se considera legal en Europa luego de la reciente adopción del marco de privacidad de datos UE-EE. UU. por parte de la Comisión Europea.
La noticia llega en medio de advertencias de la Autoridad Sueca para la Protección de la Privacidad (IMY) sobre los posibles riesgos de vigilancia asociados con GA4.
El estado legal de GA4 en Europa y la advertencia de IMY son partes interconectadas de una narrativa global más amplia sobre privacidad de datos, regulaciones de protección y transferencias transatlánticas de datos.
Marco de privacidad de datos UE-EE. UU. adoptado
La Comisión Europea ratificó el nuevo marco de privacidad de datos UE-EE. UU., afirmando que Estados Unidos proporciona una protección equivalente para los datos personales transferidos desde la UE a los proporcionados dentro de la Unión.
Esta decisión permite la transmisión segura de datos de la UE a las empresas estadounidenses involucradas en el Marco sin necesidad de medidas de protección de datos adicionales.
El Marco introduce salvaguardias estrictas que abordan las preocupaciones planteadas anteriormente por el Tribunal de Justicia de las Comunidades Europeas. Estas salvaguardas restringen el acceso de los servicios de inteligencia de EE. UU. a los datos de la UE, limitándolo a lo que es esencial y proporcional y estableciendo un Tribunal de Revisión de Protección de Datos (DPRC). Los ciudadanos de la UE tendrán acceso a este tribunal.
Salvaguardias mejoradas sobre los mecanismos anteriores
El nuevo marco ofrece mejoras significativas en comparación con el mecanismo anterior del Escudo de privacidad. Por ejemplo, si la DPRC determina que se han recopilado datos que violan las nuevas salvaguardas, puede ordenar la eliminación de dichos datos.
Las empresas estadounidenses que importan datos de la UE deben cumplir con las obligaciones que complementan las nuevas salvaguardas relativas al acceso del gobierno a los datos.
El organismo sueco de vigilancia de la privacidad advierte contra Google Analytics
El anuncio del nuevo marco de privacidad de datos UE-EE. UU. coincide con las advertencias emitidas por IMY para las empresas que utilizan GA4, citando preocupaciones sobre los riesgos de vigilancia que plantea el gobierno de EE. UU.
La investigación de la autoridad sobre cuatro empresas suecas reveló violaciones de los requisitos de transferencia de datos y consentimiento de GDPR, lo que dio lugar a sanciones y órdenes de dejar de usar Google Analytics.
En respuesta a la decisión del IMY, Google enfatizó que Google Analytics no identifica ni rastrea a personas específicas en la web. La compañía declaró que los editores de sitios web son responsables del cumplimiento y el uso ético de los datos, mientras que Google proporciona garantías, controles y recursos.
Declaración del presidente de la Comisión
La presidenta de la Comisión Europea, Ursula von der Leyen, comentó:
“El nuevo marco de privacidad de datos UE-EE. UU. garantizará flujos de datos seguros para los europeos y brindará seguridad jurídica a las empresas de ambos lados del Atlántico. Hoy damos un paso importante para brindarles a los ciudadanos la confianza de que sus datos están seguros, para profundizar nuestros lazos económicos entre la UE y los EE. UU. y, al mismo tiempo, para reafirmar nuestros valores compartidos”.
Protocolo Marco de Cumplimiento para Empresas Estadounidenses
Las empresas estadounidenses pueden unirse al Marco comprometiéndose a cumplir con un conjunto específico de obligaciones de privacidad.
Estos incluyen la eliminación de datos personales cuando ya no son necesarios para su propósito original y garantizar la protección continua cuando los datos se comparten con terceros.
Los ciudadanos de la UE tendrán varias vías de reparación si las empresas estadounidenses manejan mal sus datos. Esto incluye mecanismos de resolución de disputas gratuitos e independientes y un panel de arbitraje.
Protección del acceso a los datos transferidos
El marco legal de los EE. UU. proporciona varias garantías con respecto al acceso a los datos por parte de las autoridades públicas de los EE. UU. El acceso a los datos se limita a lo necesario y proporcionado para proteger la seguridad nacional.
Los ciudadanos de la UE tendrán acceso a un mecanismo de reparación independiente e imparcial en relación con la recopilación y el uso de sus datos por parte de las agencias de inteligencia de EE. UU., incluida la RPDC recientemente establecida. Este tribunal investigará y resolverá las quejas de forma independiente.
Estas salvaguardas facilitarán flujos de datos transatlánticos más generales, ya que se aplican cuando los datos se transfieren utilizando otras herramientas, como cláusulas contractuales estándar y normas corporativas vinculantes.
Pasos futuros
La adopción del marco de privacidad de datos UE-EE. UU. y la decisión de la Comisión Europea no hace que las preocupaciones planteadas por la autoridad sueca sean irrelevantes. Los dos eventos abordan diferentes aspectos de la cuestión más amplia de la privacidad de los datos.
El Marco de Privacidad de Datos UE-EE. UU. está diseñado para garantizar la protección general de los datos de los ciudadanos de la UE cuando sus datos se transfieren a los EE. UU. Proporciona garantías y establece el Tribunal de Revisión de Protección de Datos (DPRC).
Si bien el nuevo Marco debería mejorar la protección de datos, las empresas individuales siguen siendo responsables de garantizar que sus prácticas cumplan con GDPR y otras regulaciones relevantes.
Incluso con el nuevo Marco, las empresas deben mantenerse alerta en la gestión de sus prácticas de privacidad de datos.
En resumen
Si bien el marco de privacidad de datos de la UE y los EE. UU. es un paso significativo hacia una mejor privacidad de los datos, no resuelve automáticamente problemas específicos relacionados con empresas o servicios individuales, como los planteados por el IMY sobre Google Analytics.
El funcionamiento del marco de privacidad de datos UE-EE. UU. estará sujeto a revisiones periódicas realizadas por la Comisión Europea, las autoridades europeas de protección de datos y las autoridades estadounidenses competentes. La primera revisión está programada dentro de un año de la implementación de la decisión de adecuación.
Con información de Search Engine Journal.
Leer la nota Completa > GA4 Legal en Europa siguiendo el nuevo marco de privacidad de datos