PROCEDIMIENTO SANCIONADOR EDREAMS

Se abre un expediente sancionador en la AEPD a eDreams por el uso de Google Analytics. La reclamación se basa en que el uso de esta herramienta realiza transferencias de datos personales a EEUU a través del encargo de tratamiento realizado por Google.

 

Que concluye la AEPD:

  • La AEPD indica que la transferencia internacional de datos personales no tiene base jurídica, puesto que se basa en el «EU-US Privacy Shield«, el cual quedó invalidado por el fallo C-311/18 («Schrems II»). eDreams alega una serie de cambios normativos en materia de protección de datos, concretamente, la aprobación de la Orden Ejecutiva 14086 de 7 de octubre de 2022, complementada por el Reglamento relativo al Tribunal de Revisión en materia de Protección de Datos, mediante las cuales se establecen salvaguardias vinculantes que limitan el acceso a datos por parte de las autoridades de inteligencia estadounidenses, proporcionando mayor nivel de protección de la privacidad de los interesados de todo el mundo, y, por último, con la creación de una autoridad de recurso independiente e imparcial. No obstante, la AEPD concluye que, si bien es cierto que se ha adoptado una nueva decisión de adecuación por la Comisión Europea, esta no estaba en vigor en la fecha de apertura del presente procedimiento sancionador, lo que conlleva a que las transferencias de datos realizadas con anterioridad no tengan base jurídica para su tratamiento.

 

  • La AEPD afirma que eDreams tampoco puede basar la transferencia de datos en las cláusulas contractuales tipo, puesto que la utilización de estas cláusulas contractuales no puede por sí sola garantizar un nivel de protección, ya que las garantías que ofrecen quedan sin cumplir dado que la naturaleza contractual de las mismas no puede ser vinculante para las autoridades de terceros países.
    Asimismo, Google LLC alega que dispone de medidas complementarias adoptadas, pero la AEPD resuelve que no son eficaces, puesto que ninguna de ellas impide las posibilidades de acceso de los servicios de inteligencia estadounidenses ni hace que estos accesos sean ineficaces.

 

  • La AEPD hace referencia a que varias autoridades de protección de datos (Austria, Francia e Italia) han considerado que las transferencias internacionales de datos a EEUU., realizadas mediante la herramienta Google Analytics, carecen de las garantías que establece el RGPD.

 

  • La AEPD, establece que, actualmente, para garantizar que una transferencia internacional de datos cumple con el RGPD, la decisión de ejecución de la Comisión de fecha 10 de julio de 2023, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo sobre el nivel adecuado de protección de los datos personales en el “Marco de Privacidad de Datos UE-EEUU”, deben cumplir una serie de requisitos:
    • Autocertificación ante el Departamento (o a su persona designada);
    • Adhesión a los Principios del Marco de privacidad de datos UE-EEUU.

 

Los beneficios del Marco de Privacidad UE-EEUU están asegurados a partir de la fecha en que el Departamento coloca a la organización en la Lista Marco de Privacidad de Datos.

 

 

Recomendaciones:

  • Valorar la necesidad y uso que la organización realiza de la herramienta de Google Analytics. En el caso de disponer de la herramienta y no hacer el uso necesario, se recomienda eliminarla del Sitio Web.

 

  • En el supuesto de escoger un proveedor de EEUU, verificar que el proveedor escogido está dentro del Marco de Privacidad de Datos UE-EEUU. Para el resto de países fuera del espacio económico europeo, verificar que cumple con lo establecido en la regulación de transferencias internacionales del RGPD.

 

  • Seguir las instrucciones que ha realizado la CNIL (autoridad protección de datos francesa) sobre la medición de audiencia y transferencias de datos para garantizar el cumplimiento del RGPD:
    • Utilizar un servidor proxy (o “proxy”) para evitar cualquier contacto directo entre el terminal del internauta y los servidores de la herramienta de medición. El servidor que realiza el proxy deberá implementar una serie de medidas para limitar los datos transferidos:
    • Ausencia de transferencia de la dirección IP a los servidores de la herramienta de medición;
    • Sustitución del identificador de usuario por el servidor de proxy;
    • Eliminación de información del sitio de referencia (o » referente «) externa al sitio;
    • Eliminación de cualquier parámetro contenido en las URL recopiladas (por ejemplo, UTM, pero también parámetros de URL que permiten el enrutamiento interno del sitio);
    • Ausencia de cualquier colección de identificadores entre sitios (cross-site) o deterministas (CRM, ID único);
    • La reutilización de la información que puedan participar en la generación de una huella dactilar, para eliminar las configuraciones más raras que podrían conducir a una reidentificación; y
    • Supresión de cualquier otro dato que pueda conducir a la reidentificación.

 

Asimismo, el servidor proxy también deberá alojarse en condiciones que garanticen que los datos que procesará no serán transferidos fuera de la Unión Europea a un país que no garantice un nivel equivalente al previsto en el Espacio Económico Europeo.

Compartir:

Share on facebook
Share on twitter
Share on linkedin

Más entradas de blog:

CAMPAÑA #CUIDATUCLICK #CUIDAELTEUCLICK

🚨¡Atención familias!🚨 Unámonos para proteger a los más jóvenes en el mundo digital con #CuidaTuClick. Junto a #misdatos soy, @TodoPDP, #PrevenciónCiberViolencia, @apandetec, e @ilvalegal, aprendamos

V ENCUENTRO #MIS DATOS SOY YO

Un año más, se celebra el encuentro #Mis Datos Soy Yo en Montevideo, donde volveremos a tener el privilegio de participar en el mismo de

ILVALEGAL es un despacho de abogados especializado en el derecho de las nuevas tecnologías en el que asesoramos al cliente,
desde el dinamismo y la innovación, basándonos en la cercanía y la inmediatez. Ofrecemos soluciones integrales unificando los aspectos tecnológicos con los legales.