Conformidad legal en el uso de Google Analytics (IV): Obligaciones en materia de privacidad por el uso de Google Analytics
Categorías: Intimidad / Privacidad / Protección de Datos / Tecnología
(Ver los anteriores posts de esta serie: I, II, III)
En este post de la serie sobre Google Analytics vamos a ver cómo Google reconoce que estamos ante un conjunto de datos de carácter personal, y cómo nos obliga contractualmente a que conjuntamente con él procedamos a cumplir los principios de protección de datos de carácter personal.
Recordemos que en el apartado anterior habíamos concluido que se produce un tratamiento de datos de carácter personal de nuestra responsabilidad, que Google Inc. es nuestro encargado de tratamiento mediando una transferencia internacional de datos, y que Google Inc. podría ser al mismo tiempo que encargado de tratamiento un cesionario en la medida que decidiéramos compartir con ella los datos de uso de Google Analytics
Cláusula 8 «Privacidad» de las Condiciones de Uso de Google Analytics
Pocos sitios web se encuentran por Internet que empleando Google Analytics se hayan tomado la molestia de cumplir con la cláusula 8 “Privacidad” de las Condiciones de Uso del servicio de la que destaca lo siguiente:
- impone la obligación de no asociar ni permitir que ningún tercero asocie ninguna información recogida de nuestros sitios web o de los de terceros con ninguna información personal identificativa, aunque ya hemos visto en su sitio web nos ofrecen aplicaciones que permiten asociar visitas y números de teléfono;
- impone la obligación de cumplir con la normativa de protección de datos que nos sea aplicable en relación con el uso de Google Analytics y la recogida de sus datos en nuestros sitios web;
- deberemos incluir de forma relevante un aviso o política de privacidaddonde se incluye un texto que:
- informa sobre el uso de cookies y direcciones IP de nuestros usuarios,
- manifiesta que la traza de las visitas a nuestros sitios web serán transmitidas y almacenadas por Google en Estados Unidos;
- indica que la traza de las visitas será tratada por Google por cuenta nuestra con el propósito de seguir la pista del uso del website, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet.
- se acuerda que Google podrá transmitir dicha información a terceros cuando así se lo requiera la legislación, o cuando dichos terceros procesen la información por cuenta de Google.
- se conviene que Google no asociará la dirección IP de los visitantes de nuestros sitios web con ningún otro dato del que disponga Google.
- informa a nuestros usuarios sobre la posibilidad de rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada del navegador, sin embargo, indicándoles también que si lo hacen puede ser que no puedan usar la plena funcionabilidad del sitio web,
- se incluye una declaración al respecto de que consiente el tratamiento de la traza de las visitas web por Google en la forma y para los fines arriba indicados.
- Obliga a consentir que Google pueda revisar nuestros sitios web en cualquier momento para verificar que se ha incluido el comunicado apropiado descrito con anterioridad, así como a realizar los cambios en el contenido o situación de la comunicación que Google (actuando de manera razonable) considere necesarios para asegurar el cumplimiento de la Cláusula 8.
- Se acepta que Google, sus filiales totalmente propiedad de Google usen los datos recogidos para el servicio, así como los datos relativos a nuestro uso del servicio conforme a su Política de Privacidad y para proporcionarnos análisis de web y los servicios de seguimiento.
- Se acuerda que Google no compartirá dicha información con terceros a no ser que Google (i) tenga nuestro consentimiento; (ii) concluya que así se lo requiere la legislación; o (iii) facilite a terceros dicha información con nuestro consentimiento en ciertas circunstancias concretas y limitadas para que lleven a cabo trabajos por cuenta de Google (por ejemplo, facturación o almacenamiento de información) necesarios para prestar el Servicio con restricciones estrictas que previenen que la información sea usada o compartida excepto como lo indique Google. Asimismo, se acuerda que cuando esto se haga, estará sujeto a contratos que obligan a dichas partes a procesar dicha información solo siguiendo las instrucciones de Google y de acuerdo con Contrato del Servicio, y con las medidas de confidencialidad y de seguridad apropiadas.
Análisis de conformidad con respecto a los principios de protección de datos de carácter personal
El hecho de que usemos Google Analytics supone un tratamiento de datos de carácter personal en el que, conforme a las Condiciones de Uso del servicio, podemos identificar los siguientes agentes:
- Responsable de fichero: Nosotros mismos como responsables de nuestros sitios web y de la decisión de emplear Google Analytics para analizar lo que sucede en aquellos;
- Encargado de tratamiento: Google Inc. como encargado de tratamiento, dado que trata los datos del servicio por nuestra cuenta;
- Subcontratas: Proveedores de Google Inc. que necesiten el acceso a los datos del servicio para prestarle servicios a Google Inc.;
- Cesionarios: Google Inc. y terceros en caso de que exista nuestro consentimiento previo (uso de la funcionalidad de compartir datos en Google Analytics) o alguna legislación que habilite la cesión
Sin ánimo de ser exhautivos, véamos ahora cuál es el grado de conformidad con los principios en materia de protección de datos de carácter personal existente en base a las Condiciones de Uso de Google Analytics
- Principio de calidad de los datos
En principio, los datos tratados son adecuados, pertinentes y no excesivos, no son tratados para finalidades incompatibles y sabemos que las direcciones IP se borran por Google Inc. a los 9 meses y las cookies a los 18 meses
- Principios de información, consentimiento y cesión de datos
Tratamiento:
En nuestra política de privacidad de los sitios web hemos de incluir la finalidad de analítica web junto al resto de finalidades que pudieran concurrir y el resto de pormenores que nos exige el artículo 5 LOPD. Dado que no se exige consentimiento expreso y por escrito dada la naturaleza de los datos, habremos recabado el consentimiento libre, voluntario, informado e inequívoco ofreciendo además información para que se pueda evitar el tratamiento de las cookies o incluso eliminar las cookies ya instaladas. En principio, bastaría ya con haber adecuado nuestra política de privacidad para poder considerarse que hemos informado y recogido el consentimiento adecuadamente, pero aún y todo tenemos la obligación contractual de añadir el aviso de seguridad incorporado en la cláusula 8 de las Condiciones de Uso de Google Analytics, que nada impide que respetando su contenido se hagan precisiones o correciones como por ejemplo la indicación de cómo nuestros visitantes pueden eliminar las cookies ya registradas en sus navegadores.
Cesión:
En el momento de inicio del servicio los datos ya se hacen accesibles a Google Inc., que tan sólo los empleará para prestarnos el servicio de analítica web, no produciéndose cesión alguna por tanto. En cambio, pudiera ser que más adelante decidiéramos compartir los datos con Google Inc., lo cual implicaría estar cediendo los datos a Google Inc., que sabemos utilizará conforme a su Política de Privacidad general y la específica para Google Analytics, precisando que además lo hará exclusivamente «para mejorar los productos y servicios de Google«.
El problema es que en el aviso de privacidad que Google Inc. nos obliga incluir en nuestras políticas de privacidad NADA se dice al respecto de esta posible cesión de datos, con lo que por tanto no ha sido previamente informada ni puede ser consentida por los visitantes de nuestro sitio web.
Por lo que entiendo es un error Google Inc. nos solicita a nosotros el consentimiento para estas cesiones en el apartado 8.3 de la cláusula de privacidad de las condiciones de uso del servicio, y sólo leyendo adicionalmente la política específica de privacidad de Google Analytics podemos enterarnos de cuál es la finalidad con la que Google Inc. tratará los datos de la traza de las interacciones de los visitantes de nuestros sitios web: mejorar los productos y servicios de Google.
Pero es que además localizar la política específica de privacidad de Google Analytics no es evidente. Bien es cierto que si buscamos «política privacidad Google Analytics» con el buscador de la misma Google Inc. la encontraremos como segundo resultado, pero en el Centro de Privacidad no se incluye un vínculo a la política específica de este producto, como sucede por ejemplo con otros productos Chrome, Street View o Historial Web y «algunos» de los servicios provistos por Google Inc.
Por todo ello se hace especialmente recomendable NUNCA COMPARTIR con Google Inc. los datos que tenemos disponibles por medio de Google Analytics, al menos mientras no se resuelvan las carencias
Cookies:
El aviso de privacidad que Google Inc.nos exige incluir en las políticas de privacidad de nuestros sitios web se informa la existencia de cookies y su finalidad, además de informar sobre la posibilidad de rechazarlas mediante la configuración de las funcionalidades de gestión de cookies de nuestros navegadores, si bien advirtiendo de la posibilidad de que ello perjudique el funcionamiento de nuestros sitios web, lo cual puede ser cierto en caso de que empleemos cookies para habilitar funcionalidades como un carro de compra, pero no se perjudica el funcionamiento de los sitios web en todo caso. Lo que no se informa es del procedimiento para borrar las cookies que ya estuvieran registadas en nuestros navegadores, de nuevo haciendo uso de las facilidades que estos mismos nos ofrecen para ello.
Está en periodo de transposición la Directiva 2009/136/CE, que vino a modificar la Directiva 2002/58/CE o Directiva de Privacidad Electrónica, añadiendo un artículo 5.3 que viene a insistir en las exigencias de información que ya tenemos en el artículo 22.2 LSSI, pero trayendo la novedad que tiene aparejado el problema que aquí se apunta. Se está trabajando a nivel internacional en varias iniciativas que aporten mayor transparencia y facilidad de gestión del consentimiento de los usuarios de Internet en lo que respecta a la trazabilidad de su actividad en sitios web, pero actualmente de no ser que hayamos activado el bloqueo de cookies en nuestros navegadores, el hecho es que las cookies se almacenan en nuestros ordenadores sin darnos siquiera tiempo a leer las políticas de privacidad de los sitios visitados.
- Principios de seguridad y acceso a datos por cuenta de terceros
Aunque se pueda dar por hecho que Google Inc. puede contar con una más que diligente gestión de la seguridad de la información que trata en su infraestructura, pues la confianza de sus usuarios quizás sea el mayor de los activos a proteger, no puede descartarse que puedan sufrir problemas de seguridad como de hecho ya ha sucedido.
Lo que de nuevo resulta curioso es que en las Condiciones de Uso de Google Analytics no exista compromiso de seguridad alguno que no sea el que Google Inc. nos impone a nosotros en la cláusula 3.2 en cuanto a la confidencialidad de nuestras contraseñas de acceso o la notificación de incidentes de seguridad, o el que se impone ella misma al respecto del uso ocasional que pudieran hacer de nuestras contraseñas «para mantener o mejorar el Servicio, incluyendo la facilitación de ayuda en temas técnicos o de facturación«
Bien es cierto que, no obstante, la Política de Privacidad de Google Inc. nos detalla cuál es la política de gestión de seguridad de la información. En esta misma Política de Privacidad y en la cláusula 8.3 de las Condiciones de Uso de Google Analytics, con respecto a las subcontratas que pudieran llegar a tener acceso a nuestros datos, Google Inc. se compromete a que estos accesos queden sujetos a «contratos que obligan a dichas partes a procesar dicha información solo siguiendo las instrucciones de Google y de acuerdo con el presente Contrato, y con las medidas de confidencialidad y de seguridad apropiadas«.
Aunque posiblemente no se le pueda exigir a un operador global como Google Inc. que cumpla al dedillo los artículos 12 LOPD, 20 a 22, 82 y 88 apartados 5 y 6 RLOPD, sí que es cierto que al menos debería haberse incluido una cláusula de seguridad en la que se adquiriese el compromiso de proteger con adecuadas medidas de seguridad los sistemas y los datos relacionados con el servicio, o al menos nos referenciaran la Política de Privacidad en donde encontramos tal compromiso.
Lo que me resulta difícil de digerir es el hecho de que los administradores de sistemas de Google Inc. tengan que usar nuestras contraseñas para realizar labores de mantenimiento, ayuda o facturación. Esto incumple claramente con las buenas prácticas internacionales de seguridad de la información relativas a la exigencia de que los usuarios de sistemas sean asignados personalmente, de forma que identifiquen personalizada y unívocamente a los usuarios, como también exige nuestro artículo 93.2 RLOPD , y sea posible contar con una trazabilidad adecuada de las acciones ocurridas en los sistemas. En determinados casos esto puede ser difícil de conseguir por limitaciones técnicas u operativas, léase el caso de los usuarios genéricos y usuarios de grupo, pero en estos casos se habrán de establecer medios adicionales que permitan mantener una traza adecuada de quién estaba utilizando un usuario en un determinado momento, como pueden ser los registros de turnos de trabajo, o de órdenes de trabajo,… Desconozco cómo se actuará en estos casos en Google Inc., pero de una lectura de la cláusula parece que las contraseñas o no se almacenan cifradas en el sistema, o se guardan registros de las mismas, además de que parece los administradores puedan utilizarlas en cualquier momento.
- Principio de confidencialidad
Todos los datos son recogidos por Google Inc. en sus plataformas, quedando a nuestra disposición a través de la aplicación web de acceso con Google Analytics, y por medio de las cláusula 5 y 8.3 de sus Condiciones de Uso nuestro proveedor se obliga a sí mismo y obliga a sus subcontratas a mantener nuestros datos en secreto.
- Movimiento internacional de datos.
No es necesaria autorización del Director de la Agencia Española de Protección de Datos, dado que existe excepción en la medida en que Google Inc. se ha constituido como «puerto seguro«
Consecuencias derivadas de la falta de inclusión en nuestras políticas de privacidad del tratamiento para analítica web
Hemos podido observar que es muy relevante revisar las políticas de privacidad de nuestros sitios web en los que vayamos a emplear Google Analytics, al tiempo que añadir el aviso de privacidad que nos impone Google Inc., además siendo necesario hacer algunas correciones y ello es debido a que de no hacerlo así podemos vernos en situación de ser sancionados por infracciones en materia de protección de datos.
Estas serían las consecuencias que podríamos tener que afrontar en caso de no contar con una política de privacidad que informe adecuadamente para evitar posibles incumplimiento de los principios de protección de datos de carácter personal:
- Vulneración del deber de información, ya sea tanto del tratamiento como, en su caso, de la cesión de datos a Google, lo cual conllevaría una eventual sanción por infracción leve.
- Incumplimiento del principio de consentimiento, que aunque no siendo necesario que sea ni expreso ni por escrito, no existe por no haber informado a los visitantes de nuestros sitios web. Ello conllevaría una eventual sanción por infracción grave
- En caso de que además hubiéramos compartido con Google Inc. los datos de nuestra analítica web, incumplimiento del principio de cesión de datos, lo cual podría suponer una eventual sanción por infracción muy grave.
Como puede observarse aquí, se deduce que el problema que se nos podría plantear es incluso más grave que el que podría tener una organización usuaria de Google Analytics en Alemania.