Siguiendo los pasos de Austria y Francia, la Autoridad de Protección de Datos de Italia se ha convertido en el regulador más reciente en encontrar que el uso de Google Analytics no cumple con las regulaciones de protección de datos de la UE.
La Garante per la Protezione dei Dati Personali, en comunicado de prensa publicado la semana pasada, criticó a un editor web local por usar la herramienta de análisis ampliamente utilizada de una manera que permitía que partes clave de los datos personales de los usuarios se transfirieran ilegalmente a los EE. UU. sin las garantías necesarias.
Esto incluye las interacciones de los usuarios con los sitios web, las páginas individuales visitadas, las direcciones IP de los dispositivos utilizados para acceder a los sitios web, las características específicas del navegador, los detalles relacionados con el sistema operativo del dispositivo, la resolución de pantalla y el idioma seleccionado, así como la fecha y tiempo de las visitas.
La autoridad supervisora italiana (SA) dijo que llegó a esta conclusión luego de un «complejo ejercicio de investigación» que comenzó en colaboración con otras autoridades de protección de datos de la UE.
La agencia dijo que la transferencia de información personal viola la legislación de protección de datos porque EE. UU. es un «país sin un nivel adecuado de protección», al tiempo que destaca la «posibilidad de que las autoridades del gobierno de EE. UU. y las agencias de inteligencia accedan a datos personales transferidos sin las debidas garantías».
Al sitio web en cuestión, Caffeina Media SRL, se le ha dado un período de 90 días para dejar de utilizar Google Analytics para garantizar el cumplimiento del RGPD. Además, Garante llamó la atención de los webmasters sobre la ilegalidad de las transferencias de datos a los EE. UU. derivadas del uso de Google Analytics, recomendando que los propietarios de sitios cambien a herramientas alternativas de medición de audiencia que cumplan con los requisitos de GDPR.
«Al expirar el plazo de 90 días establecido en su decisión, la SA italiana verificará que las transferencias de datos en cuestión cumplan con el RGPD de la UE, incluso mediante inspecciones ad-hoc», afirmó.
A principios de este mes, el organismo de control de protección de datos francés, la CNIL, emitió actualizado guía sobre el uso de Google Analytics, reiterando la práctica como ilícita según el Reglamento General de Protección de Datos (RGPD) leyes y dando a las organizaciones afectadas un plazo de un mes para cumplir.
«La implementación del cifrado de datos por parte de Google ha demostrado ser una medida técnica insuficiente porque Google LLC cifra los datos por sí mismo y tiene la obligación de otorgar acceso o proporcionar los datos importados que están en su poder, incluidas las claves de cifrado necesarias para hacer que los datos inteligible», dijo el regulador.
Google dicho TechCrunch que está revisando la última decisión. En enero de 2022, el gigante tecnológico estresado que Google Analytics «no rastrea a las personas ni perfila a las personas en Internet» y que las organizaciones pueden controlar los datos recopilados a través del servicio.
La firma con sede en Mountain View, que aloja todos los datos recopilados a través de la plataforma de análisis en los EE. UU., también dijo que ofrece una Función de enmascaramiento de direcciones IP que, cuando está habilitado, anonimiza la información en los servidores locales antes de que se transfiera a cualquier servidor fuera de la UE Vale la pena señalar que esta característica es habilitado por defecto con Google Analytics 4.