¿Recuerdas las 101 reclamaciones que interpuso NOYB por el uso de Google Analytics? Aquí tienes la resolución de la AEPD sobre EDREAMS, y ojo al resuelve que es bastante novedoso. Sigue la estela de otras autoridades sobre este tipo de reclamaciones.
|
etiquetas: protección de datos , schrems ii , privacidad , privacy shield
Por lo tanto, de acuerdo con la legislación aplicable la Directora de la Agencia
Española de Protección de Datos RESUELVE:
PRIMERO: ORDENAR a VACACIONES EDREAMS, S.L., con NIF B61965778, por
una infracción del Artículo 44 del RGPD, tipificada en el Artículo 83.5 del RGPD, a que
en el plazo de un UN MES acredite ante esta Agencia lo siguiente:
- adaptar la actividad de tratamiento de datos al servicio de Google Analytics a lo
dispuesto en los artículos 44 y siguientes del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, en particular mediante el
cese de la transferencia internacional de datos hasta que se acredite que el servicio de
Google Analytics cumple con las citadas disposiciones del Reglamento
- www.meneame.net/story/cnil-declara-ilegal-uso-google-analytics-francia
- www.meneame.net/story/google-analytics-ahora-ilegal-austria-espera-mis
- www.meneame.net/story/mas-presion-proteccion-datos-piden-diga-google-a
- www.meneame.net/story/guia-configuracion-privacidad-google-analytics
- www.meneame.net/story/vision-general-regulaciones-despues-schrems-ii-i
- www.meneame.net/story/regulador-italiano-prohibe-uso-google-analytics-
- www.meneame.net/m/actualidad/pagar-rechazar-cookies-como-autoridades-p
Entonces, Google analítics no puede usarse, o el problema es que sus cookies no podían deshabilitarse en eDreams?
Edit, veo que en #2 se declaró ilegal en gran parte de europa ya
De conformidad con las evidencias de las que se dispone en el presente momento de
resolución del procedimiento sancionador, esta Agencia considera que:
a) Los datos personales de la parte reclamante (y de los usuarios que visitaron la web
de EDREAMS) se exportaron a Google LLC, 1600 Amphitheatre Parkway, Mountain
View, CA 94043 debido a la implementación por parte del EDREAMS de la
funcionalidad «Google Analytics» en el sitio web *URL.15, y para esta exportación
b) las cláusulas tipo de protección de datos suscritas entre EDREAMS y Google LLC
no garantizan un nivel de protección garantizado por el artículo 44 del RGPD, como
quiera que Google LLC es un proveedor de servicios de comunicaciones electrónicas en el
sentido del apartado (a) del punto 4 del artículo 1881 del título 50 del Código de
los Estados Unidos y está sujeto a la vigilancia por los servicios secretos de
EE. UU. de conformidad con el apartado (a) del artículo 1881 del título 50 del
Código de los Estados Unidos, y las medidas complementarias adoptadas por Google LLC además de las
cláusulas contractuales tipo (SCC) no protegen los datos personales de la
parte reclamante (ni del resto de usuarios que visitaron la web de EDREAMS)
del acceso de los servicios secretos de EE. UU.
c) no se puede considerar aplicable ningún otro supuesto del Capítulo V GDPR, y, por
lo tanto
d) por lo tanto, debe concluirse que EDREAMS no puede invocar ninguna de las
herramientas previstas en el capítulo V del RGPD para justificar la transferencia de datos personales de los visitantes a su sitio web, en particular identificadores únicos, direcciones IP, datos del navegador y metadatos, a Google LLC en los Estados
Unidos.
En consecuencia, de conformidad con las evidencias de las que se dispone en esta
resolución de procedimiento sancionador, se considera que los hechos conocidos son
constitutivos de una infracción, imputable a EDREAMS, por vulneración del 44,
“Principio general de las transferencias”, del RGPD, que señala que solo se realizarán
transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras
su transferencia a un tercer país u organización internacional si, a reserva de las
demás disposiciones del RGPD, el responsable y el encargado del tratamiento
cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a
las transferencias ulteriores de datos personales desde el tercer país u organización
internacional a otro tercer país u otra organización internacional.
Pero vamos, que no se enfaden las webs, que para eso existe Matomo que si cumple RGPD
Me preocupa a nivel general (usuarios/empresas) lo insensatos que somos con Google, sus prácticas y demás. A nivel usuario puedo entenderlo por desconocimiento/pasotismo, a nivel de empresas un poco de esto hay pero entiendo que vendan su alma al diablo por supuesto pragmatismo.
Eso me preocupa, pero la alegría con la que se utiliza en la administración pública me da miedo.
A nivel de usuario final te va dando más igual.