{"id":2982,"date":"2022-08-29T08:44:58","date_gmt":"2022-08-29T08:44:58","guid":{"rendered":"https:\/\/lexcrea.com\/?p=2982"},"modified":"2025-07-29T08:46:21","modified_gmt":"2025-07-29T08:46:21","slug":"google-analytics-incumple-el-rgpd","status":"publish","type":"post","link":"https:\/\/lexcrea.com\/en\/google-analytics-incumple-el-rgpd\/","title":{"rendered":"Google Analytics incumple el RGPD"},"content":{"rendered":"<p>Recientemente, hemos tenido conocimiento que las Autoridades de Protecci\u00f3n de Datos de Austria (<em>Datenschutzbeh\u00f6rde<\/em>) Francia (<strong><em>Commission Nationale de l\u2019Informatique et des Libert\u00e9s<\/em>, \u201cCNIL\u201d)<\/strong> e Italia (<em>Garante per la Protezione dei dati<\/em>) han declarado que <em>Google Analytics <\/em>incumple el Reglamento General de Protecci\u00f3n de Datos (RGPD) y en particular, las normas relativas a las transferencias internacionales de datos. Despu\u00e9s de estas resoluciones, \u00bfEn qu\u00e9 situaci\u00f3n nos encontramos? \u00bfQu\u00e9 opciones y alternativas tenemos?<\/p>\n\n\n\n<p>Es necesario remarcar que actualmente, hay un alto grado de inseguridad jur\u00eddica en Espa\u00f1a, pendiente de que se pronuncie la <a href=\"https:\/\/www.aepd.es\/es\" rel=\"nofollow noopener\" target=\"_blank\">Agencia Espa\u00f1ola de Protecci\u00f3n de datos<\/a> (AEPD). No tenemos a fecha de hoy pronunciamiento de la AEPD sobre el asunto de <em>Google Analytics<\/em>, aunque se espera en las pr\u00f3ximas semanas o meses<em>.<\/em><\/p>\n\n\n\n<h5 class=\"wp-block-heading\">Dicho esto, a priori, tendr\u00edamos las siguientes opciones.<\/h5>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Cesar en el uso de\u00a0<em>Google Analytics<\/em>.<\/li>\n\n\n\n<li>Buscar otro proveedor europeo que ofrezca tecnolog\u00edas similares y que no realice transferencias de datos a los Estados Unidos. Esta ser\u00eda la v\u00eda que m\u00e1s nos garantiza el cumplimiento de la normativa en materia de protecci\u00f3n de datos, con todos los costes que implica.<\/li>\n\n\n\n<li>Esperar a que la Uni\u00f3n Europea y Estados Unidos fijen un nuevo acuerdo marco que permita que las transferencias de datos puedan realizarse de manera l\u00edcita (lo que no parece probable que suceda, al menos, a corto plazo).<\/li>\n\n\n\n<li>Adoptar medidas adicionales y solicitar el consentimiento de una manera muy transparente y espec\u00edfica para el uso de <em>Google Analytics<\/em>, siempre que se pueda demostrar que dichas medidas son eficaces y justificar detalladamente su implementaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<h5 class=\"wp-block-heading\" id=\"h-de-la-lectura-de-la-resolucion-de-la-cnil-autoridad-de-proteccion-de-datos-francesa-se-derivan-las-siguientes-consideraciones\">De la lectura de la resoluci\u00f3n de la CNIL (Autoridad de Protecci\u00f3n de Datos Francesa), se derivan las siguientes consideraciones:<\/h5>\n\n\n\n<ol class=\"wp-block-list\">\n<li>El responsable del tratamiento (empresa que utiliza la herramienta <em>Google Analytics<\/em> en su web) puede transferir los datos a EE. UU. si acredita que ha aplicado medidas para que:<\/li>\n\n\n\n<li>Los identificadores \u00fanicos <strong>no permitan identificar al usuario.<\/strong><\/li>\n\n\n\n<li>Las <strong>direcciones IP hayan sido anonimizadas<\/strong> antes de transferir los datos a EE. UU.<\/li>\n<\/ol>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El responsable del tratamiento puede transferir los datos a EE.UU. si acredita que ha aplicado medidas para identificar y excluir del tratamiento los campos que, combinados con los identificadores \u00fanicos, permitan a Google identificar al interesado (titular de los datos). Esta \u201cseudonimizaci\u00f3n\u201d, en el caso de ser irreversible para Google, impedir\u00eda que pudiese entregar datos de personas identificables a una agencia de inteligencia de EE. UU. que le requiriese para ello.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La CNIL alega falta de detalle en la descripci\u00f3n de la forma en que se aplica el cifrado a los datos transferidos. Si el cifrado se aplica a los datos tratados en EE. UU. y Google conserva las claves de cifrado, esta medida no es v\u00e1lida. Pero si el <strong>cifrado se aplica a los datos en tr\u00e1nsito<\/strong>, y el responsable del tratamiento explica con detalle las caracter\u00edsticas y el alcance de esta medida, <strong>el cifrado es una opci\u00f3n viable.<\/strong><\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La CNIL no excluye la opci\u00f3n del consentimiento expl\u00edcito del interesado. Ello abre la puerta a la <strong>obtenci\u00f3n del consentimiento expl\u00edcito para la transferencia a Google<\/strong> en el mismo banner que se utiliza para obtener el consentimiento expl\u00edcito para el uso de cookies.<\/li>\n<\/ul>\n\n\n\n<h5 class=\"wp-block-heading\">En conclusi\u00f3n:<\/h5>\n\n\n\n<p>Debemos ser prudentes y estar atentos al pr\u00f3ximo pronunciamiento de la AEPD sobre el uso de&nbsp;<em>Google Analytics<\/em>, sin perjuicio de que, seg\u00fan las circunstancias concretas, resulte apropiado llevar a cabo un plan de prevenci\u00f3n que permita encontrar soluciones o alternativas, a tiempo.<\/p>\n\n\n\n<p>Por el momento, y seg\u00fan las consideraciones mencionadas, la \u00fanica alternativa a cesar el uso de <em>Google Analytics<\/em> o cambiar a un proveedor europeo, ser\u00eda la adopci\u00f3n de medidas adicionales (como el cifrado, anonimizar las direcciones IP, y consentimiento expreso de los usuarios). Estas medidas se deber\u00edan analizar caso por caso. En ning\u00fan caso garantizan el cumplimiento de la normativa de protecci\u00f3n de datos al 100%, ya que se deber\u00edan justificar detalladamente en caso de una inspecci\u00f3n. Es decir, las autoridades de protecci\u00f3n de datos requerir\u00e1n demostrar que las medidas resultan eficaces.<\/p>\n\n\n\n<p>Recordemos, adem\u00e1s que, <strong>qui\u00e9n incumplir\u00eda con la norma ser\u00eda tambi\u00e9n el prestador de servicios o titular de una p\u00e1gina web<\/strong>&nbsp;puesto que es \u00e9l qui\u00e9n utiliza estas herramientas de un tercero que no cumple.<\/p>\n\n\n\n<p>En consecuencia, las empresas deben analizar esta situaci\u00f3n como m\u00ednimo y, en base al propio&nbsp;<strong>principio de proactividad<\/strong>&nbsp;que establece el RGPD, adelantarse a posibles situaciones, buscando las soluciones m\u00e1s adecuadas, menos arriesgadas y garantistas para su negocio.<\/p>\n\n\n\n<p>Hay que remarcar, como apunte final, que las resoluciones mencionadas, no imponen una sanci\u00f3n econ\u00f3mica, sino que requieren a las empresas afectadas cumplir con el RGPD en el plazo de 90 d\u00edas, y justificar ante las autoridades las acciones que han llevado a cabo para cumplir.<\/p>\n\n\n\n<div class=\"wp-block-media-text alignwide is-stacked-on-mobile\"><figure class=\"wp-block-media-text__media\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"461\" src=\"https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-1024x461.jpg\" alt=\"Anna Orellana\" class=\"wp-image-2070 size-full\" srcset=\"https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-1024x461.jpg 1024w, https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-300x135.jpg 300w, https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-768x346.jpg 768w, https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-1536x691.jpg 1536w, https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-2048x922.jpg 2048w, https:\/\/lexcrea.com\/wp-content\/uploads\/2020\/04\/Anna-Orellana-16x7.jpg 16w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure><div class=\"wp-block-media-text__content\">\n<p>Escrito por&nbsp;<a href=\"http:\/\/lexcrea.com\/equipo\/anna-orellana\/\">Anna Orellana<\/a>&nbsp;I Abogada IP&amp;IT<\/p>\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Recientemente, hemos tenido conocimiento que las Autoridades de Protecci\u00f3n de Datos de Austria (Datenschutzbeh\u00f6rde) Francia (Commission Nationale de l\u2019Informatique et <a class=\"read_more\" href=\"https:\/\/lexcrea.com\/en\/google-analytics-incumple-el-rgpd\/\" target=\"_blank\" style=\"font-weight: 700;\">&#8230; LEER M\u00c1S<\/a><\/p>","protected":false},"author":2,"featured_media":2910,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[4],"tags":[272,14,2905,397,1604,2769,1670,2764,9,848],"class_list":["post-2982","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-capital-riesgo","tag-emprendedores","tag-google-analytics","tag-inversores","tag-ipit","tag-lopd","tag-proteccion-de-datos","tag-rgpd","tag-startups","tag-venture-capital","wpautop"],"jetpack_featured_media_url":"https:\/\/lexcrea.com\/wp-content\/uploads\/2022\/04\/Logo-Lexcrea-Rojo.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/posts\/2982","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/comments?post=2982"}],"version-history":[{"count":10,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/posts\/2982\/revisions"}],"predecessor-version":[{"id":3686,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/posts\/2982\/revisions\/3686"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/media\/2910"}],"wp:attachment":[{"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/media?parent=2982"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/categories?post=2982"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lexcrea.com\/en\/wp-json\/wp\/v2\/tags?post=2982"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}