La revolución que ha supuesto Internet en el mundo de los negocios es inmensa e innegable, permitiendo compartir información en todo el mundo en cuestión de instantes. De hecho, sobre dicha capacidad de compartir información se asientan una buena parte de servicios y modelos económicos que han nacido a raíz del uso de la red, permitiendo a compañías situadas en un determinado territorio ofrecer sus servicios en todo el mundo, tal y como hemos podido vivir con el auge de los gigantes tecnológicos.
Dentro de los servicios digitales que mayor relevancia tienen en el mundo digital, encontramos los servicios de analítica web. Estos servicios permiten obtener información sobre la utilización que los usuarios hacen de un sitio web (por ejemplo, desde donde acceden, como llegan hasta el sitio web, cuánto tiempo permanecen, qué páginas visitan, etc.). Estos servicios funcionan normalmente a través de la implementación de una cookie que aplica un identificador al usuario y guarda información sobre su navegación, información que se pone en conjunto con la extraída de otros usuarios para proporcionar a los gestores de los sitios web métricas e información general relevante que les ayudan a tomar mejores decisiones y ofrecer contenidos más relevantes para sus usuarios.
Uno de los principales retos jurídicos que derivan de estos servicios es que, pese a que la cookie no llegaría a conocer el nombre y apellidos del usuario, tanto el identificador que le adjudica, así como la información que se recoge sobre su comportamiento, serían considerados datos personales (Artículo 4(1) del Reglamento General de Protección de Datos). Por tanto, el tratamiento de datos derivado de los servicios de analítica web están sometidos a la normativa de protección de datos personales.
En este sentido, una cuestión especialmente problemática bajo el régimen de la protección de datos europeo serían las transferencias internacionales de datos. Esto sucedería cuando una organización en la Unión Europea transmite datos personales a países fuera de la Unión Europea que no cuentan con una decisión de adecuación. Esto sería el caso de, por ejemplo, Estados Unidos, el cual además está especialmente en el punto de mira tras la Sentencia “Schrems II” del Tribunal de Justicia de la Unión Europea, en la que invalidó el “Privacy Shield” y determinó que era necesario evaluar detenidamente las transferencias internacionales de datos antes de realizarlas.
Basándose en los pilares sentados por dicha sentencia, la autoridad austriaca de protección de datos (“Datenschutzbehörde” o “DSB”) acaba de dictaminar una resolución en Enero de 2022 determinando que el uso continuado de una herramienta concreta de analítica proporcionada por un proveedor de Estados Unidos es ilegal. Esto es debido a que la DSB considera que no se estarían proporcionando medidas suficientes para evitar el acceso de las autoridades estadounidenses a los datos personales de ciudadanos europeos. Esta misma resolución podría considerarse aplicable a cualquier otro servicio similar proporcionado por proveedores localizados en Estados Unidos.
A raíz de la decisión anterior, la autoridad Noruega de protección de datos ha seguido el mismo camino, dictaminando en contra de la utilización del mismo servicio. Asimismo, la autoridad de protección de datos de Países Bajos también ha anunciado que es “posible” que resuelva en el mismo sentido dentro de poco. Esta decisión, por tanto, puede determinar que otras autoridades de protección de datos decidan en el mismo sentido en las próximas semanas, lo cual significaría un importante precedente en lo relativo al uso de servicios digitales relativos a datos ofrecidos por empresas estadounidenses.
