Estos últimos días, si uno busca en internet “Google Analytics y Noruega” encuentra artículos con títulos como: Google Analytics podría desaparecer de Noruega, Noruega podría prohibir Google Analytics, Noruega prohibiría Google Analytics por violación a la ley de protección de datos o Google Analytics Could Be Banned In Norway.

En su mayoría, los artículos, especialmente los de la prensa extranjera, que hemos leído son bastante críticos con la actuación del Gobierno noruego  y nos hemos dado cuenta de que existe bastante desinformación legal sobre el asunto, por eso nos gustaría explicar con algo de detalle qué es lo que se está cociendo (por si tenemos que poner nuestras propias barbas en remojo).

¿Qué se ha dicho en los últimos días?

Se critica que Noruega investigue únicamente a Google y no a otras compañías.

Se ha criticado que Noruega argumente contra Google Directivas Europeas a pesar de no ser miembro de la Unión Europea, insinuando así que se hace un uso arbitrario e interesado de las normas europeas.

Se ha criticado igualmente que la IP se considere a nivel europeo un dato personal para unas cosas (como para este asunto), pero no para otras (conferencia explícita a la Ley francesa que permite rastrear e identificar las IP de aquellos que descarguen contenido pirateado de internet a través de redes P2P).

Estas críticas demuestran la falta de conocimiento de las instituciones europeas así como de los cimientos de la normativa en protección de datos, y es por ello que creemos importante explicaros qué esta pasando.

¿Cómo ha empezado todo esto?

La Agencia de Protección de Datos noruega está investigando las webs de algunas instituciones públicas noruegas. Estas webs (repito: públicas, estatales) emplean, todas ellas, el servicio de Google Analytics, por eso es por lo que Google Analytics está siendo investigado y no porque Noruega le tenga ninguna manía especial a Google.

¿Por qué Noruega hace referencia a la normativa europea?

Es verdad que Noruega no es parte de la Unión Europea pero es que no sólo existe la Unión Europea sino también el Espacio Económico Europeo del que Noruega es parte a través del Acuerdo del Espacio Económico Europeo (1994). Por ejemplo, no necesitamos pasaporte para entrar en Noruega.  Dentro de toda la normativa aplicable el Estado Noruego se compromete a mantener los mismos estándares europeos en materia de protección de datos.

¿Por qué las IP se pueden trackear, por ejemplo en Francia, dentro del marco de las leyes antipiratería?

Precisamente porque hay una norma con rango de Ley que establece las situaciones en las que esto se puede hacer y habilita una serie de garantías para los ciudadanos. Por el mismo motivo, las compañías telefónicas guardan en España nuestras IP: hay una Ley (la 25/2007) que lo ordena para que los Juzgados (y sólo a través de Orden Judicial justificada) puedan investigar delitos en los que se use internet. Solo otra Ley puede crear una excepción a la regla general de protección de datos.

¿Qué hace realmente Google Analytics?

Google Analytics presta un servicio de medición de tráfico web que está resultando ser muy exitoso por estar muy bien diseñado, ser sencillo de usar y muy completo. Y además gratis.

No se discute el derecho de las webs a medir su tráfico pero no de cualquier manera.

Efectivamente, las web que usan Google Analytics dan acceso a los datos de sus usuarios para que Google pueda prestar el servicio de analítica pero también para que pueda emplearlos para otros fines (por ejemplo publicidad)  y otros servicios de Google. Ése es el error que la Agencia Noruega está poniendo encima de la mesa: el dato personal es de cada individuo y es el individuo el que debe dar su consentimiento, no el webmaster.

No se cuestiona el derecho de Google a prestar servicios de analítica web si no la falta de garantías que ofrece dicho servicio a los dueños de esos datos.

La pregunta del millón es: ¿qué es un dato personal?. Un dato personal es aquel que te identifica o te hace identificable. Hace años que se determinó que la IP es un dato que nos hace identificables y por tanto tiene consideración de dato personal.

La Directiva europea de protección de datos, que es del año 95, expone en el artículo 7 en qué casos podrán ser tratado los datos personales de alguien. Esos casos son los siguientes:

  1. el interesado ha dado su consentimiento de forma inequívoca,
  2. es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o
  3. es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o
  4. es necesario para proteger el interés vital del interesado, o
  5. es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o
  6. es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Desde luego la relación del usuario que está en su casa navegando por internet, y Google, no encaja en ninguna de las 5 primeras justificaciones. Google, suponemos, intentará demostrar que tiene interés legítimo en el tratamiento de datos.

¿Cuál ha sido la reacción de Google?

Recientemente Google ha manifestado que: “Google Analytics cumple totalmente con las leyes de protección de datos de Noruega y de Europa. Cada día muchas empresas noruegas usan Google Analytics para mejorar su presencia online y hacer sus sitios web mejores para sus usuarios. Google Analytics ha sido diseñada para mantener la información a salvo. Los webmasters que usan Google Analytics tienen completo control sobre los datos que envían al servicio y sobre cómo Google usa o puede usar la información que recibe de sus sitios. Hemos pedido reunirnos varias veces con la Agencia de Protección de Datos de Noruega para responder a cualquier pregunta sobre Google Analytics”.

Está claro que Google no está dispuesto a ponerlo fácil aunque la verdad es que tampoco se pude decir que den demasiados argumentos:

  1. El cumplimiento de la normativa por parte de Google dependerá de que se considere legítimo su derecho al tratamiento de los datos de los usuarios. Sin embargo si se determina que no existe tal interés legítimo parece que Google no cumpliría con la normativa de protección de datos al no pedir permiso explicito al usuario (no al webmaster) para compartir con otros servicios Google la información obtenida de cada usuario;
  2. Que el servicio esté diseñado para mantener la información a salvo es algo lógico pero no es eso de lo que estamos hablando, eso es continuidad de negocio no protección de datos;
  3. Que el webmaster tenga completa información de los datos enviados y de cómo Google los usa está muy bien pero es que es el usuario que visita la página del webmaster el que debe dar su autorización no para que el sitio mida las visitas sino (y repito que esto es lo que se critica a Google) para que Google use esa información en otros servicios que el usuario pueda tener (Gmail, Youtube..)  o incluso con otros terceros a través de Google AdWords.

¿Qué está pasando?

Por resumir: la Agencia noruega de Protección de Datos al inspeccionar determinadas web públicas y comprobar cómo funcionaba el servicio de analítica web que éstos usaban (Google Analytics) se han percatado de que el uso de los datos que hace Google puede no cumplir con la normativa de protección de datos.

Hace unos meses el W29 (el grupo de trabajo europeo que aúna a todas las autoridades europeas de protección de datos) realizó un análisis de las cookies que las páginas webs podrían instalar en nuestros ordenadores para determinar si es necesario pedir previamente el consentimiento de los usuarios. Se llegó a la conclusión de que (para las cookies analíticas) no es necesario solicitar el consentimiento previo del usuario siempre que se dé un nivel adecuado de protección y especifica, al menos, los siguientes requisitos:

  • Que la web proceda a anonimizar la IP del usuario de tal manera que el tercero (en este caso Google Analytics) no tenga acceso a la IP real del usuario;
  • Que exista un procedimiento sencillo (user-friendly) por el cual los usuarios puedan negarse al tratamiento de sus datos (la propia Google ha creado un plug-in que bloquea la recogida de información por parte de Google Analytics);
  • Que la página web informa claramente en su política de privacidad de la información que se recoge a través de estas cookies.

La Agencia Alemana de Protección de Datos pide también para el servicio Google Analytics un contrato de tratamiento de datos de carácter personal entre la web y Google (de hecho existe un modelo de contrato acordado entre la Agencia y Google).

Lo que Noruega está pidiendo a Google no es ni más ni menos que acredite que lleva a cabo estas acciones (no sé si exige también contrato de tratamiento de datos o no).

Erik Thon, Director de la Agencia Noruega de Protección de Datos señalaba hace unos días el meollo de la cuestión:  “Cuando aceptan los términos de uso del servicio, las empresas también dan acceso de los datos personales de los visitantes del sitio Web a Google. Así que ceden el control a los datos recogidos. Si el usuario se registra además en otros servicios de Google, Google puede personalizar las búsqueda en la web y la publicidad para el individuo”.

¿Realmente lo hace mal Google?

Lo cierto es que todo este asunto está bajo investigación y  se espera, sobre el 10 de septiembre, que la Agencia Noruega de Protección de Datos emita una resolución preliminar aunque todo indica que seguirán los pasos de la Agencia Alemana de Protección de Datos que, a su vez, plasma la opinión manifestada por el W29 sobre el consentimiento y las cookies. Además en Alemania, Google ya se ha plegado a las exigencias de la Agencia Alemana de Protección de Datos, lo cual nos lleva a pensar que no hay motivo para que no pase lo mismo en Noruega.

Lo que está claro es que los tiempos del salvaje oeste en los que se podía medir de cualquier forma y usar los datos de cualquier manera llegan a su fin, se puede (y para ser competitivos se debe) medir pero respetando los derechos de los usuarios. Y parece que las autoridades europeas están dispuestas a elevar el nivel de garantías de los usuarios. Habrá que esperar al dictamen noruego, lo que parece claro es que si se confirma la senda iniciada por Alemania no será la última vez que oigamos hablar en Europa de la privacidad de Google Analytics.