Dinamarca ha decidido ir un paso más allá. Habíamos visto países como Austria o Francia que decidieron que el uso de Google Analytics era ilegal, pero ahora Dinamarca ha ordenado prohibir el uso de todos los productos de Google en uno de sus municipios y potencialmente en el resto del país.
La Agencia de Protección de Datos danesa se pone seria. La decisión surge a raíz de un caso concreto del ayuntamiento de Helsingør. La Agencia danesa supervisó el uso de los Chromebooks y Google Workspace en las escuelas, para posteriormente acabar bloqueando su uso en ese municipio. La prohibición es para Google Workspace, pero a la práctica supone todos los productos de Google para las escuelas públicas de ese municipio.
En principio la prohibición directa aplica sobre Helsingør, pero según Allan Frank, abogado de la Agencia Danesa de Protección de Datos, hay 26 casos de otros municipios relacionados con los Chromebooks. Unos casos que se irán resolviendo de manera paralela en el futuro y donde la Agencia danesa podría aplicar el mismo criterio.
Desde Google explican que "los colegios son dueños de sus propios datos. Solo procesamos sus datos de acuerdo con nuestros contratos con ellos. En Workspace for Education, los datos de los estudiantes nunca se utilizan para publicidad u otros fines comerciales".
Los datos no se pueden enviar a Estados Unidos. La autoridad de datos ha concluido que el uso de Google Workspace no cumple con el Reglamento General de Protección de Datos. Los datos de esas escuelas se podían estar enviando a Estados Unidos sin los niveles de seguridad necesarios. Para evitarlo, se prohíbe el uso de esos productos de Google.
El argumento no es nuevo, ya que es el mismo utilizado por otras agencias de protección de datos europeas. El debate es consecuencia de la finalización del denominado como 'Privacy Shield', por el cual desde Europa se podían enviar datos a Estados Unidos. Una vez la justicia determinó que eso era ilegal, el uso de estas herramientas está en entredicho.
De aplicación casi inmediata. El ayuntamiento tiene hasta el 3 de agosto para dejar de usar Google. Además deberán eliminar todos los datos previamente transferidos, bajo penas de hasta 6 meses de cárcel en caso de no hacerlo. No es una tarea fácil, porque como explica Paloma Llaneza, abogada especializada en Protección de Datos, "han de ponerse en contacto con los padres de los alumnos inscritos para llevar a cabo las correcciones, anonimizaciones o eliminaciones de los datos personales que los padres no puedan hacer por sí mismos".
Ahora es Dinamarca, mañana puede ser España. El caso de este municipio de Dinamarca puede extenderse rápidamente por el resto del país y por Europa, a medida que más organizaciones de Protección de Datos tomen una decisión. En el caso de España, a mediados de febrero se solicitó a la AEPD que explicase su postura, pero todavía no se ha pronunciado. Habrá que estar atento a la posible posición de la AEPD. En nuestro país se ha preguntado sobre Google Analytics, pero el caso de Dinamarca muestra que este debate puede acabar extendiéndose a todos los productos de Google.
La "solución" está pactada, pero sin hacer. El pasado marzo, Estados Unidos y la Unión Europea llegaron a un acuerdo para la realización de un tercer tratado de datos transoceánicos. Un nuevo 'Privacy Shield' que ampare este flujo de datos, como el de las aplicaciones de Google. Sin embargo, el encaje a nivel legal con las reglas de privacidad europeas no es fácil. Este acuerdo todavía no se ha concretado, no se conocen los detalles de cómo se aplicará y tampoco está asegurado que la justicia europea no vaya de nuevo a decir que es ilegal.
Hasta que este acuerdo de datos transoceánicos no se materialice, muchas agencias de protección de datos europeas tienen la potestad de hacer cumplir el RGPD. Y esto implica que la privacidad de los ciudadanos europeos puede no ser compatible con el uso de algunas herramientas de Google.
Ver 83 comentarios