El organismo de control de datos de Francia advierte sobre el uso ilegal de Google Analytics – TechCrunch

El organismo de control de datos de Francia advierte sobre el uso ilegal de Google Analytics – TechCrunch

El organismo de keep watch over de protección de datos de Francia, los angeles CNIL, ha emitido orientación actualizada sobre el uso de Google Analytics luego de una decisión a principios de este año que encontró que el uso de los angeles herramienta por parte de un sitio internet native infringía los angeles ley de los angeles Unión Europea.

También ha confirmado que desde entonces ha emitido avisos formales a otras organizaciones para que cumplan con su uso de Google Analytics.

El problema criminal, que no solo afecta el uso de los angeles in style herramienta de análisis en Francia sino en toda los angeles UE, depende de los angeles transferencia de los datos del usuario a los EE. UU. para que Google los procese, una exportación de datos personales que carece de las protecciones legales adecuadas. de una decisión de 2020 del tribunal awesome de Europa que invalidó un acuerdo emblemático de transferencia de datos (también conocido como el Escudo de privacidad UE-EE. UU.) por el riesgo de acceso ilegal a los datos de los europeos por parte de las agencias de inteligencia de EE. UU.

Desde entonces, los angeles UE y los EE. UU. anunciaron (en marzo) un acuerdo político sobre un mecanismo de transferencia de reemplazo.

Pero, como señala los angeles CNIL, su declaración conjunta no es un marco criminal y los usuarios de los servicios en los angeles nube de EE. UU. no pueden confiar en ella para procesar los datos de los europeos antes de que los angeles UE adopte formalmente un acuerdo de reemplazo actual, que los angeles Comisión ha sugerido que puede no ocurrir hasta finales de año. (También es casi seguro que enfrentará nuevos desafíos legales para probar si el acuerdo es tan defectuoso como los anteriores, ya que los expertos en protección de datos sospechan.)

Por lo tanto, los angeles conclusión es que los sitios internet de los angeles UE pueden realizar cambios en el uso de Google Analytics o arriesgarse a los angeles aplicación de las normas, lo que podría incluir una orden para modificar sus procesos y una sanción financiera por incumplimiento. Y es possible que el riesgo de multas por incumplimiento esté aumentando ahora que los angeles orientación regulatoria sobre el tema se está volviendo más detallada porque significa que hay menos excusas plausibles para no haber realizado los cambios necesarios.

“Todos los responsables del tratamiento que utilicen Google Analytics de forma an identical a [already notified] las organizaciones ahora deben considerar este uso como ilegal según el RGPD. Por lo tanto, deben recurrir a un proveedor de servicios que ofrezca suficientes garantías de conformidad”, advierte los angeles CNIL en los angeles guía. [which we’ve translated from French with machine translation].

Todos los sitios que reciben un aviso formal del regulador sobre su uso de Google Analytics tienen un mes para cumplir, con los angeles posibilidad de una prórroga de un mes más.

Las preguntas frecuentes de los angeles CNIL sobre el uso de Google Analytics continúan sugiriendo que es esencialmente imposible que las organizaciones con sede en los angeles UE utilicen los angeles herramienta sin aplicar ciertas salvaguardas adicionales propias.

“Ninguna de las garantías adicionales presentadas a los angeles CNIL como parte de los angeles notificación formal impediría o haría ineficaz el acceso de los servicios de inteligencia estadounidenses a los datos personales de los usuarios europeos cuando utilizan únicamente los angeles herramienta Google Analytics”, escribe en respuesta a los angeles pregunta. de si es posible confiar en medidas de seguridad adicionales que Google afirma que aplica a los angeles herramienta.

Las cláusulas contractuales estándar tampoco son suficientes para cerrar los angeles brecha criminal en las exportaciones de datos, también enfatiza los angeles CNIL, señalando que no es posible configurar Google Analytics para que no transfiera los datos personales de los europeos fuera del bloque y advirtiendo: “Incluso en En ausencia de transferencia, es possible que el uso de soluciones ofrecidas por empresas sujetas a jurisdicciones no europeas plantee dificultades en términos de acceso a los datos. De hecho, las organizaciones pueden verse obligadas por las autoridades de terceros países a revelar datos personales alojados en servidores ubicados en los angeles Unión Europea”.

Según las preguntas frecuentes, las posibles salvaguardas adicionales que los usuarios de Google Analytics con sede en los angeles UE podrían aplicar para usar los angeles herramienta sin infringir los angeles ley se limitan a: Cifrado (pero solo si las claves se mantienen bajo el keep watch over exclusivo del exportador de datos o otras entidades establecidas en un territorio que ofrezca un nivel adecuado de protección); o un servidor proxy (para evitar cualquier contacto directo entre el terminal del usuario de Web y los servidores de los angeles herramienta de medición).

El regulador sugiere que también se puede obtener el consentimiento explícito de los usuarios para una transferencia de datos, pero solo en circunstancias excepcionales, ya que los angeles CNIL señala que los angeles excepción no se puede utilizar para transferencias sistemáticas (que son esencialmente los flujos de datos de Google Analytics). Por lo tanto, el consentimiento explícito no es una solución viable, incluso si pensó que es una buena thought interrumpir a todos los visitantes con dicha solicitud.

L. a. CNIL ha publicado anteriormente una lista de herramientas de análisis alternativas ha determinado que puede configurarse de manera que se evite los angeles necesidad basic de obtener el consentimiento del usuario para procesar los datos. Sin embargo, advierte que los angeles lista no tiene en cuenta el problema de las transferencias internacionales: ergo, los propietarios de los sitios aún deben hacer su propio trabajo preliminar para determinar si las herramientas de análisis alternativas, por ejemplo, las ofrece un fabricante de device con sede en los angeles UE que lleva a cabo todo el procesamiento en el UE, podría ofrecer una opción menos riesgosa legalmente que Google Analytics.

Otras autoridades de protección de datos de los angeles UE (como los angeles de Austria) también han emitido sitios internet con decisiones relacionadas con el uso no conforme de Google Analytics.

El escrutinio regulatorio siguió a una serie de quejas presentadas por el grupo de defensa de los angeles privacidad de los angeles UE, noyb, en agosto de 2020, dirigido a Google Analytics y Fb Attach. Entonces, si bien los angeles herramienta de análisis de Google ha sido los angeles primera en los angeles fila para las decisiones de DPA, el problema no se limita a Google ni a las herramientas de análisis y puede afectar muchos más servicios basados ​​en EE. UU. con clientes en los angeles UE.

Se contactó a Google para obtener una respuesta a los angeles orientación de los angeles CNIL.