El pasado 11 de enero se publicó una resolución de la autoridad de protección de datos francesa (CNIL) que sancionaba a una empresa por distintas infracciones del RGPD (Reglamento de Protección de Datos). Entre las infracciones que se contemplan, y la que nosotros analizamos, nos encontramos la de instalación de las cookies de Google Analytics sin el consentimiento de los usuarios. En la citada resolución, la CNIL afirma que cualquiera que sea la configuración elegida en relación con las funcionalidades publicitarias de la herramienta, los datos recogidos a través de las cookies de Google Analytics pueden reutilizarse para mantener y proteger el servicio Analytics (y así lo afirma Google en sus políticas y términos de uso). De la anterior afirmación podemos deducir que la CNIL considera que Google Analytics siempre será considerado como un responsable del tratamiento porque trata los datos para fines propios y que, por tanto, se requiere el consentimiento del interesado tanto para instalar las cookies relacionadas con la herramienta, como para la cesión de sus datos a Google. Relacionado con esto, en nuestro país, la Agencia Española de Protección de Datos (AEPD) publicó, también el pasado 11 de enero, una nueva Guía sobre el uso de cookies para herramientas de medición de audiencia. La AEPD, ha abierto la posibilidad en esta nueva Guía de que las cookies de medición de audiencia o cookies analíticas puedan estar exentas del consentimiento del interesado (siempre que cumplan determinados requisitos). En relación con esto, expone que “algunos servicios de analítica y medición de audiencia […] no entran en el ámbito de aplicación de la exención. […] cuando declaran que reutilizan los datos para otras finalidades, como es el caso de varias ofertas de medición de audiencia disponibles en el mercado”. Por tanto, podemos interpretar que la AEPD incluye a Google Analytics como una de estas herramientas que reutilizan los datos y que, por tanto, no permitirá la exención del consentimiento de las cookies. Conclusiones En resumen, dos ideas que podemos deducir:

  1. Google será responsable de tratamiento cuando usamos su herramienta de Google Analytics, independientemente de la configuración que hayamos elegido.
  2. Se requiere el consentimiento de los usuarios tanto para la instalación de cookies de Google Analytics como para su uso. Como idea adicional, relacionada con Google y que la CNIL trata también en su resolución: el mecanismo reCaptcha de Google no está destinado únicamente a asegurar la autenticación en beneficio de los usuarios, sino que también permite a Google llevar a cabo operaciones de análisis, tal y como indica la propia Google en sus condiciones generales de uso. ¿Qué quiere decir esto? Que, según la CNIL para el uso del reCaptcha de Google, será necesario recabar previamente el consentimiento del usuario.