Deje de usar Google Analytics, advierte el comisionado de privacidad sueco, ya que enfrenta multas de más de $ 1 millón

[ad_1]

La Autoridad de Protección de Datos de Suecia ha emitido varias multas relacionadas con la exportación de datos de usuarios europeos a través de Google Analytics, ya que violan las normas de protección de datos de la UE debido a los riesgos que plantea la vigilancia del gobierno de EE. UU. También ha advertido a otras empresas contra el uso de la herramienta de Google.

Las multas (un poco más de 1,1 millones de dólares para la empresa de telecomunicaciones sueca Tele2 y menos de 30 000 dólares para el minorista local en línea CDON) son notables, ya que son las primeras de su tipo en una serie de quejas estratégicas de privacidad contra Google Analytics (y Facebook Connect) en agosto de 2020. vientos alisios.

El regulador encontró que las llamadas medidas complementarias que Google aplica a los datos de los usuarios europeos enviados a los EE. UU. para su procesamiento no son suficientes para elevar el nivel de protección al nivel legal requerido. Incluyendo el uso del truncamiento de la dirección IP de Google (una medida de anonimización), ya que en el caso de Tele2, la empresa no aclaró si el truncamiento se realizó antes o después de enviar los datos a los EE. UU. y, por lo tanto, no proporcionó ninguna prueba. No hay "acceso potencial a toda la dirección IP antes de que se trunque el último octeto".

La autoridad de control también constató infracciones a lo dispuesto en el Reglamento General de Protección de Datos (RGPD) por transferencias a terceros países en el caso del uso de Google Analytics por parte de otras dos empresas, Coop y Dagens Industries, pero no impuso multas en estos casos. casos.

“Durante sus auditorías, IMY [the Swedish DPA] cree que los datos transmitidos a los Estados Unidos a través de la herramienta de estadísticas de Google son datos personales, ya que los datos pueden vincularse a otros datos únicos transmitidos. La autoridad también llega a la conclusión de que las medidas técnicas de seguridad adoptadas por las empresas no son suficientes para garantizar un nivel de protección que se corresponda esencialmente con el garantizado dentro de la UE/EEE.

“Las cuatro empresas han basado sus decisiones de transferir datos personales a través de Google Analytics en cláusulas contractuales estándar. Las auditorías de IMY muestran que ninguna de las medidas técnicas de seguridad adicionales de las empresas es suficiente. IMY impone una sanción administrativa de 12 millones SEK a Tele2 y de 300 000 SEK a CDON, que no ha tomado las mismas medidas de protección amplias que Coop y Dagens Industri. Tele2 recientemente dejó de usar la herramienta de estadísticas por iniciativa propia. IMY instruye a las otras tres empresas para que dejen de usar la herramienta”.

En la publicación del blog, titulada "Las empresas deben dejar de usar Google Analytics", el regulador agregó que las cuatro decisiones deben verse como pautas, y enfatizó que tendrían implicaciones más amplias.

El año pasado, varias autoridades de protección de datos de la Unión Europea, incluidos los reguladores franceses e italianos, advirtieron contra el uso de la herramienta de análisis de Google después de encontrar que varios usuarios no cumplían con las reglas del bloque sobre transferencias internacionales de datos. Sin embargo, otros reguladores no han impuesto sanciones financieras, según la ONG noyb, que estuvo detrás de las quejas originales, y parece estar a favor de un enfoque más suave para la aplicación de GDPR hacia los usuarios de una herramienta tan familiar a pesar de que todos comparten el mismo subyacente. problema de transferencia de datos.

Las 101 quejas estratégicas originales de noyb se dirigieron a una variedad de sitios web en toda Europa que usan Google Analytics o servicios similares de Facebook, luego de un fallo histórico del Tribunal de Justicia de la Unión Europea en julio de 2020 que descartó un acuerdo de transferencia de datos entre la UE y los EE. UU. llamado "Privacy Shield" fue invalidado solo unos años después de la abolición de su predecesor Safe Harbor.

La UE y EE. UU. están en el proceso de finalizar un tercer acuerdo de transferencia de datos denominado "Marco de privacidad de datos UE-EE. UU.", que se espera que finalice a finales de este mes, y eliminará, al menos a corto plazo, la inseguridad jurídica. que enturbia las transferencias de datos entre la UE y EE. UU. desde la decisión del TJUE.

Aún así, se esperan desafíos legales al nuevo marco y varias instituciones europeas han expresado su preocupación de que los aspectos del acuerdo renegociado no van lo suficientemente lejos como para abordar las preocupaciones de los jueces. Por lo tanto, queda por ver si habrá una solución de alto nivel al conflicto entre los derechos de protección de datos de la UE y las prácticas de vigilancia de EE. UU. por tercera vez.

En una declaración sobre la decisión del regulador sueco de imponer las primeras sanciones por el uso ilegal de Google Analytics, Marco Blocher, defensor de la protección de datos de noyb, dijo: "Estamos muy contentos de recibir más aclaraciones de la autoridad de protección de datos sueca". También es importante tener en cuenta que hay multas: esta es la única forma de lograr que otras empresas cumplan.

Se contactó a Google para comentar sobre las decisiones de la DPA.

[ad_2]

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir