¿Google Analytics es ilegal?
“Google Analytics es ilegal” o eso han declarado tres autoridades europeas en la misma semana.
¿Significa eso que si tienes Analytics en tu web estás en riesgo? “Depende”
¿Qué está pasando?
Indice
El problema
Tras las resoluciones del Supervisor de datos europeo y, sobre todo, de la Autoridad de protección de datos austriaca declarando hace unos días que el uso de Google analytics sin salvaguardias adecuadas constituye una transferencia internacional ilícita, el gigante de la BigTech no puede disimular su nerviosismo.
Simplificando mucho, desde la sentencia Schrems II, una empresa europea sólo puede contratar empresas estadounidenses que accedan a datos personales desde EEUU, si se asegura de que el FBI o la NSA no van a poder exigirles acceso a dichos datos.
Se estima que unos 28 millones de webs tienen instalado Google Analytics en todo el mundo.
Pero antes de que lanzarse a sustituir irreflexivamente Analytics por Matomo (alternativa ética y 100% compliant), vamos a ver qué demonios está pasando aquí.
Porque lo cierto es que:
- No tantas empresas fuera del mundo de la publicidad necesitan Google Analytics en sus webs
- A las que viven de la publi, en cualquier caso les tendrán que arrancar Analytics de sus manos muertas.
Tres puntos importantes restan fuerza a la resolución austriaca:
Desde el punto de vista jurídico: La resolución no impone pena alguna: declara que la competencia para castigar a la web denunciada es de la autoridad alemana, y respecto a Google abre un procedimiento distinto, como contamos por aquí. Es decir, la autoridad austriaca aprovecha para hacer una declaración rimbombante en una resolución sin consecuencias.
Desde el punto de vista técnico: La web denunciada no implementó medida alguna de las ofrecidas por Google. ¿Si lo hubiera hecho cambiaría la película? Depende.
Desde el punto de vista estratégico: Muy en la línea de NOYB, la ONG de Schrems, el denunciante estaba logueado en su cuenta de Google al acceder a la web denunciada, lo que simplifica drásticamente su identificación y emborrona el conjunto.
El victimismo según Google
En un primer post en su blog, Google tiró de la habitual retórica BigTech sobre lo mucho que hace por las PYMES para después enumerar las medidas de seguridad que pone a disposición de sus usuarios en relación con Google analytics. Esas que, de forma contundente y acertada, se declararon insuficientes por aquella autoridad.
Pues bien, Google en el mismo espíritu “spin doctor” radical, proclama ahora, en defensa de “Google analytics”, que “en 15 años no ha recibido un requerimiento de acceso del Gobierno USA” de los que motivaron la anulación del Privacy Shield.
Aquí:
Recordemos que una de las leyes de la desinformación eficaz es mezclar un parte de verdad con dos de bulo. Eso hace que el mensaje “cale”.
Siendo constructivos, hay que entender que Google se refiere a “requerimientos de acceso a datos obtenidos EXCLUSIVAMENTE a través de Google Analytics”.
Porque si no se quería decir eso, la literalidad de la afirmación en negrita es 100% bullshit.
Y lo digo basándome en la información facilitada por…. Google.
En esta web se publican sus informes de transparencia sobre los requerimientos de acceso formulados con base en las distintas normativas de inteligencia.
Sólo las basadas en FISA (hay más normativas, y más fórmulas de acceso) y sólo en 2019 afectaron a unas 150.000 cuentas de usuarios.
Pero el problema para nosotros no es ese.
When shit hits the fan
Pero lo peor de esa afirmación no es que -en su literalidad- sea falsa.
Lo grave es que Google en su afán gatopardiano por conseguir que “todo siga igual”, está tergiversando (y malbaratando) un argumento clave que puede beneficiar a muchos de sus clientes, pero nunca a Google.
Me refiero a la parte resaltada posterior a la negrita: “And we don´t expect to receive one because such a demand would be unlikely to fall within the narrow scope of the relevant law.”
Un poquito de “cultura pop”
Varys en Juego de Tronos
En Juego de Tronos, el maquiavélico informador Varys, indispensable activo de los Lannister, podría afirmar tajantemente que “en los últimos 15 años nadie ha denunciado a ninguno de mis pajaritos (los niños que utiliza como espías)”.
Y sería cierto, como cierto es que los magos siempre desvían la atención del público al otro lado del escenario, lejos de donde suceden los trucos. Y los tratos.
Quien pretende conseguir información relevante no se interesa por los pajaritos, sino que se la pide directamente a Varys. Y la consigue.
Es notorio que Google es quien es gracias a la información que extrae de millones de fuentes, aunque la mayoría de ellas, en especial si se consideran de una en una, resultan triviales.
Esta es la clave.
Los Harkonnen en Dune
Los malosísimos Harkonnen logran abatir fácilmente a los Atreides por la traición de un solo hombre; el Dr. Yueh.
Y seguramente tienen otros mil informadores intrascendentes, pero al defender la intrascendencia de esos mil, los Google/Harkonnen les contaminan interesadamente con la responsabilidad de lo que ocurre aguas abajo, todos los días, gracias a la colaboración, no de mil, sino de una sola fuente clave.
Y esta fuente clave sí sabe lo que está haciendo, sí sabe el riesgo que crea para sí y para terceros.
Juan Palomo: ni come ni deja comer
Defiendo que la responsabilidad de una empresa que utilice analytics en su web, puede ser cero perfectamente aun sin Privacy Shield, y sin medidas adicionales de seguridad.
Pero este argumento no está al alcance de todo el mundo.
Y ciertamente no está al alcance de Google o de Facebook, que con sólo tocarlo o mencionarlo, lo ponen en peligro (Google apuesta por subvertir el argumento a contrario, para «socializarlo»: «¿si no le sirve a Google, a quién le va a servir?«).
No, la responsabilidad del jefe de un grupo de narcotraficantes no se mide ni depende del número de clientes finales encarcelados por comprar una dosis.
Por eso, cuando Google esgrime este argumento, lo malgasta, porque como vamos a ver, su responsabilidad es otra.
Google´s sweet spot
Y esa responsabilidad deriva, no del tratamiento que hace cuando mide visitas y entrega un informe agregado de las mismas a su cliente: eso lo pueden hacer muchos servicios.
Deriva de los tratamientos que hace en nombre propio, para sus propios fines, cuando integra, estructura y explota discrecionalmente todos esos datos obtenidos de millones de fuentes triviales.
O como es el caso, cuando los entrega sin pestañear al Tío Sam infringiendo las garantías esenciales europeas. Y justo ahí es donde apunta la polémica resolución de la autoridad austriaca.
Muy buen fin de semana.
Jorge García Herrero
Abogado y Delegado de Protección de datos