¿Recuerdas las 101 reclamaciones que interpuso NOYB por el uso de Google Analytics? Aquí tienes la resolución de la AEPD sobre EDREAMS, y ojo al resuelve que es bastante novedoso. Sigue la estela de otras autoridades sobre este tipo de reclamaciones.
#3 en #4 he puesto la parte de la resolución que hace incumplir RGPD, básicamente es lo que llevamos diciendo hace tiempo los que nos preocupamos un poco por la privacidad, que debido a la ley Cloud ACT de USA, que permite a sus servicios de inteligencia acceder a todos los datos de usuarios de empresas con sede en USA sea donde sea que estén almacenados esos datos, toda empresa con sede en USA, incumple RGPD
#5 Eso es algo que mucha gente desconoce. Recuerdo cuando en una empresa para que trabajaba, en una reunión, les preguntamos a los de Verizon si podían garantizar que nadie podria acceder a nuestros datos, y al final, dijeron que no, que son una companhia americana ...
#3 respecto al tema de cookies, entiendo que las aceptó, ya que inició sesion en su cuenta de google desde edreams (y para ello, tienes que aceptarlas), con lo cual, el uso de google analitycs se declara ilegal aunque des tu consentimiento, ya que no cumple las garantías mínimas de protección para la transferencia de datos.
Pero vamos, que no se enfaden las webs, que para eso existe Matomo que si cumple RGPD
Resuelve:
Por lo tanto, de acuerdo con la legislación aplicable la Directora de la Agencia
Española de Protección de Datos RESUELVE:
PRIMERO: ORDENAR a VACACIONES EDREAMS, S.L., con NIF B61965778, por
una infracción del Artículo 44 del RGPD, tipificada en el Artículo 83.5 del RGPD, a que
en el plazo de un UN MES acredite ante esta Agencia lo siguiente:
- adaptar la actividad de tratamiento de datos al servicio de Google Analytics a lo
dispuesto en los artículos 44 y siguientes del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, en particular mediante el
cese de la transferencia internacional de datos hasta que se acredite que el servicio de
Google Analytics cumple con las citadas disposiciones del Reglamento
#1 Otros aspectos de la resolución (me falta leerla en profundidad):
De conformidad con las evidencias de las que se dispone en el presente momento de
resolución del procedimiento sancionador, esta Agencia considera que:
a) Los datos personales de la parte reclamante (y de los usuarios que visitaron la web
de EDREAMS) se exportaron a Google LLC, 1600 Amphitheatre Parkway, Mountain
View, CA 94043 debido a la implementación por parte del EDREAMS de la
funcionalidad «Google Analytics» en el sitio web *URL.15, y para esta exportación
b) las cláusulas tipo de protección de datos suscritas entre EDREAMS y Google LLC
no garantizan un nivel de protección garantizado por el artículo 44 del RGPD, como
quiera que Google LLC es un proveedor de servicios de comunicaciones electrónicas en el
sentido del apartado (a) del punto 4 del artículo 1881 del título 50 del Código de
los Estados Unidos y está sujeto a la vigilancia por los servicios secretos de
EE. UU. de conformidad con el apartado (a) del artículo 1881 del título 50 del
Código de los Estados Unidos, y las medidas complementarias adoptadas por Google LLC además de las
cláusulas contractuales tipo (SCC) no protegen los datos personales de la
parte reclamante (ni del resto de usuarios que visitaron la web de EDREAMS)
del acceso de los servicios secretos de EE. UU.
c) no se puede considerar aplicable ningún otro supuesto del Capítulo V GDPR, y, por
lo tanto
d) por lo tanto, debe concluirse que EDREAMS no puede invocar ninguna de las
herramientas previstas en el capítulo V del RGPD para justificar la transferencia de datos personales de los visitantes a su sitio web, en particular identificadores únicos, direcciones IP, datos del navegador y metadatos, a Google LLC en los Estados
Unidos.
En consecuencia, de conformidad con las evidencias de las que se dispone en esta
resolución de procedimiento sancionador, se considera que los hechos conocidos son
constitutivos de una infracción, imputable a EDREAMS, por vulneración del 44,
“Principio general de las transferencias”, del RGPD, que señala que solo se realizarán
transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras
su transferencia a un tercer país u organización internacional si, a reserva de las
demás disposiciones del RGPD, el responsable y el encargado del tratamiento
cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a
las transferencias ulteriores de datos personales desde el tercer país u organización
internacional a otro tercer país u otra organización internacional.
#0 Muchísimas gracias por luego ir desgranando en los comentarios (me he ido a laso 92 folios y estaba leyendo por encima, pero el lenguaje jurídico me puede)
Me preocupa a nivel general (usuarios/empresas) lo insensatos que somos con Google, sus prácticas y demás. A nivel usuario puedo entenderlo por desconocimiento/pasotismo, a nivel de empresas un poco de esto hay pero entiendo que vendan su alma al diablo por supuesto pragmatismo.
Eso me preocupa, pero la alegría con la que se utiliza en la administración pública me da miedo.
Comentarios
#3 en #4 he puesto la parte de la resolución que hace incumplir RGPD, básicamente es lo que llevamos diciendo hace tiempo los que nos preocupamos un poco por la privacidad, que debido a la ley Cloud ACT de USA, que permite a sus servicios de inteligencia acceder a todos los datos de usuarios de empresas con sede en USA sea donde sea que estén almacenados esos datos, toda empresa con sede en USA, incumple RGPD
#5 Eso es algo que mucha gente desconoce. Recuerdo cuando en una empresa para que trabajaba, en una reunión, les preguntamos a los de Verizon si podían garantizar que nadie podria acceder a nuestros datos, y al final, dijeron que no, que son una companhia americana ...
#9 #5 Entre empresas está claro, la pregunta "dónde están alojados los servidores" la respondo varias veces a la semana.
A nivel de usuario final te va dando más igual.
Relacionadas:
- La CNIL declara ilegal el uso de Google Analytics en Francia debido a que viola el RGPD [FR]
La CNIL declara ilegal el uso de Google Analytics ...
cnil.fr- google-analytics-ahora-ilegal-austria-espera-mis
- mas-presion-proteccion-datos-piden-diga-google-a
- Guía para la configuración de la privacidad de Google Analytics [NL]
Guía para la configuración de la privacidad de Goo...
autoriteitpersoonsgegevens.nl- vision-general-regulaciones-despues-schrems-ii-i
- Regulador italiano prohíbe el uso de Google Analytics. No hay salvaguardias adecuadas para la transferencia de datos a los EE.UU. [ITA]
Regulador italiano prohíbe el uso de Google Analyt...
garanteprivacy.it- Pagar para rechazar cookies, o como las autoridades de protección de datos se saltan el RGPD... Y como rechazarlas sin pagar
Pagar para rechazar cookies, o como las autoridade...
plume.nogafam.esHostia puta 92 folios.
Entonces, Google analítics no puede usarse, o el problema es que sus cookies no podían deshabilitarse en eDreams?
Edit, veo que en #2 se declaró ilegal en gran parte de europa ya
#3 respecto al tema de cookies, entiendo que las aceptó, ya que inició sesion en su cuenta de google desde edreams (y para ello, tienes que aceptarlas), con lo cual, el uso de google analitycs se declara ilegal aunque des tu consentimiento, ya que no cumple las garantías mínimas de protección para la transferencia de datos.
Pero vamos, que no se enfaden las webs, que para eso existe Matomo que si cumple RGPD
#6 me lo apunto para futuros proyectos, y voy investigando postdog y otras alternativas para cuando necesite. Gracias por el aporte
Resuelve:
Por lo tanto, de acuerdo con la legislación aplicable la Directora de la Agencia
Española de Protección de Datos RESUELVE:
PRIMERO: ORDENAR a VACACIONES EDREAMS, S.L., con NIF B61965778, por
una infracción del Artículo 44 del RGPD, tipificada en el Artículo 83.5 del RGPD, a que
en el plazo de un UN MES acredite ante esta Agencia lo siguiente:
- adaptar la actividad de tratamiento de datos al servicio de Google Analytics a lo
dispuesto en los artículos 44 y siguientes del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016, en particular mediante el
cese de la transferencia internacional de datos hasta que se acredite que el servicio de
Google Analytics cumple con las citadas disposiciones del Reglamento
#1 Otros aspectos de la resolución (me falta leerla en profundidad):
De conformidad con las evidencias de las que se dispone en el presente momento de
resolución del procedimiento sancionador, esta Agencia considera que:
a) Los datos personales de la parte reclamante (y de los usuarios que visitaron la web
de EDREAMS) se exportaron a Google LLC, 1600 Amphitheatre Parkway, Mountain
View, CA 94043 debido a la implementación por parte del EDREAMS de la
funcionalidad «Google Analytics» en el sitio web *URL.15, y para esta exportación
b) las cláusulas tipo de protección de datos suscritas entre EDREAMS y Google LLC
no garantizan un nivel de protección garantizado por el artículo 44 del RGPD, como
quiera que Google LLC es un proveedor de servicios de comunicaciones electrónicas en el
sentido del apartado (a) del punto 4 del artículo 1881 del título 50 del Código de
los Estados Unidos y está sujeto a la vigilancia por los servicios secretos de
EE. UU. de conformidad con el apartado (a) del artículo 1881 del título 50 del
Código de los Estados Unidos, y las medidas complementarias adoptadas por Google LLC además de las
cláusulas contractuales tipo (SCC) no protegen los datos personales de la
parte reclamante (ni del resto de usuarios que visitaron la web de EDREAMS)
del acceso de los servicios secretos de EE. UU.
c) no se puede considerar aplicable ningún otro supuesto del Capítulo V GDPR, y, por
lo tanto
d) por lo tanto, debe concluirse que EDREAMS no puede invocar ninguna de las
herramientas previstas en el capítulo V del RGPD para justificar la transferencia de datos personales de los visitantes a su sitio web, en particular identificadores únicos, direcciones IP, datos del navegador y metadatos, a Google LLC en los Estados
Unidos.
En consecuencia, de conformidad con las evidencias de las que se dispone en esta
resolución de procedimiento sancionador, se considera que los hechos conocidos son
constitutivos de una infracción, imputable a EDREAMS, por vulneración del 44,
“Principio general de las transferencias”, del RGPD, que señala que solo se realizarán
transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras
su transferencia a un tercer país u organización internacional si, a reserva de las
demás disposiciones del RGPD, el responsable y el encargado del tratamiento
cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a
las transferencias ulteriores de datos personales desde el tercer país u organización
internacional a otro tercer país u otra organización internacional.
#0 Muchísimas gracias por luego ir desgranando en los comentarios (me he ido a laso 92 folios y estaba leyendo por encima, pero el lenguaje jurídico me puede)
Me preocupa a nivel general (usuarios/empresas) lo insensatos que somos con Google, sus prácticas y demás. A nivel usuario puedo entenderlo por desconocimiento/pasotismo, a nivel de empresas un poco de esto hay pero entiendo que vendan su alma al diablo por supuesto pragmatismo.
Eso me preocupa, pero la alegría con la que se utiliza en la administración pública me da miedo.