La Autoridad Sueca para la Protección de la Privacidad (IMY) ha sancionado a cuatro empresas por presuntamente enviar datos personales a los Estados Unidos a través de Google Analytics, una herramienta ampliamente empleada para analizar el tráfico web. Las multas superaron en total los US$1.1 millones de dólares después de que la IMY determinó que estas prácticas infringían las normativas de privacidad de la Unión Europea. Tres de las compañías fueron instadas a dejar de usar Google Analytics para recopilar estadísticas web, mientras que una cuarta ya había suspendido su uso por iniciativa propia.
Las empresas auditadas, Coop, Tele2, Dagens Industrie y CDON, no pudieron demostrar tener medidas de seguridad técnica suficientes. Tele2 fue la más multada, recibiendo una sanción de 12 millones de SEK (1,1 millones de dólares), mientras que CDON fue multada con 300.000 SEK (27.700 dólares). Coop y Dagens Industrie habían adoptado algunas medidas de seguridad y Tele2 había cesado previamente el uso de Google Analytics.
Esta acción fue impulsada por las quejas de la organización sin fines de lucro None of Your Business (No es asunto tuyo, o NYOB), y se relaciona con la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (CJEU). El fallo Schrems II de 2020 invalidó la decisión del denominado “Escudo de Privacidad” (Privacy Shield) de la Comisión Europea por preocupaciones sobre lo que consideraba programas de monitoreo invasivos de Estados Unidos. La medida calificó de ilegal la transferencia de datos personales y dictó requisitos más estrictos para la transferencia de los mismos con base en cláusulas contractuales estándar, garantizando una protección equiparable a la del Reglamento General de Protección de Datos (GDPR).
La IMY consideró que los datos enviados a los Estados Unidos a través de Google Analytics por las empresas auditadas eran personales, dado su potencial para asociarse con otros datos únicos. Sandra Arvidsson, asesora legal de la IMY, aclaró que estas decisiones precisan los requisitos de seguridad técnica para transferir datos personales a un tercer país, en este caso, los Estados Unidos. Además, destacó las implicaciones más amplias de estos fallos, que podrían proporcionar orientación para otras organizaciones que usan Google Analytics.
Finalmente, vale la pena mencionar que las auditorías mencionadas se refieren a la versión de Google Analytics lanzada el 14 de agosto de 2020. Google mantiene que el control de los datos recogidos a través de sus herramientas reside en las propias organizaciones y no en Google. En los últimos años, gigantes tecnológicos como Google y Microsoft han tomado medidas para garantizar a los usuarios europeos la soberanía de los datos y la privacidad. Asimismo, Google lanzó el 1 de julio su nueva versión de Google Analytics, GA-4, que sustituye la versión anterior, Google Universal Analytics, con aún mayor énfasis en la protección de datos.
