I provvedimenti spiegati alle aziende
con guide, checklist, modelli; AI assisted
Osservatorio a cura del dott. V. Spataro 



   documento 2023-02-05 ·  NEW:   Appunta · Stampa · Cita: 'Doc 96350' · pdf

Aepd Expediente Nº: E/10529/2021 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES

abstract:



Documento annotato il 05.02.2023 Fonte: GPDP
Link: https://www.aepd.es/es/documento/e-10529-2021.pdf




analisi:

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni




index:




testo:

E

estimated reading time: 30 min 1 / 15
 Expediente Nº: E/10529/2021
RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y
teniendo como base los siguientes:
HECHOS
PRIMERO: Don A.A.A. (en adelante, la parte reclamante), con fecha 21 de agosto de
2020, interpuso reclamación ante la Agencia Española de Protección de Datos. La
reclamación se dirige contra GOOGLE LLC y la REAL ACADEMIA ESPAÑOLA (en
adelante, esta última RAE o la parte reclamada).
Los motivos en que basa la reclamación son los siguientes:
- A través de código HTML incrustado en la página web WWW.RAE.ES, se han
recogido datos personales del reclamante y se han transferido a EEUU a través de los
servicios de Google Analytics y Google Ads contratados por el responsable del portal,
la RAE.
- Durante la visita de la parte reclamante al mencionado sitio web, el responsable trató
sus datos personales (al menos, la dirección IP y "cookies"), y, aparentemente,
algunos de estos datos fueron transferidos a Google LLC. La parte reclamante había
iniciado sesión en su cuenta de Google asociada a su buzón de correo electrónico.
- La parte reclamante sostiene que la transferencia de datos personales a EEUU por
parte del responsable a través de su encargado de tratamiento no tiene base jurídica,
toda vez que el TJUE ha invalidado la decisión sobre el "EU-US privacy Shield" en el
fallo C-311/18 ("Schrems II"), y el responsable ya no puede basar la transferencia de
datos a Google en los EEUU en una decisión de adecuación en virtud del art. 45 del
RGPD.
- El responsable tampoco puede basar la transferencia de datos en las cláusulas
contractuales tipo previstas en los arts. 46.2.c y 46.2.d del RGPD, si el tercer país de
destino no garantiza una protección adecuada de los datos personales transferidos
con arreglo a esas cláusulas, con arreglo a la legislación de la UE. El TJUE ha fallado
explícitamente que las transferencias ulteriores a empresas comprendidas en el
artículo 50 del Código de los Estados Unidos (USC), como es el caso de Google,
violan los artículos pertinentes del Capítulo 5 del RGPD, ya que, en virtud de esta
normativa (50 USC Par. 1881, o "FISA 702"), están sujetas a la vigilancia de la
inteligencia de EEUU. Como se desprende de las "Snowden Slides" y del propio
Transparency Report del Google, esta entidad está proporcionando activamente datos
personales al gobierno de los EEUU bajo ese precepto.
- El responsable y Google han seguido confiando en el "EU-US privacy Shield" y en
las cláusulas estándares de protección de datos para las mencionadas transferencias
de datos.
Por lo que solicita se investigue plenamente la reclamación y se establezca:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

2 / 15
1. Qué datos personales fueron transferidos del responsable a Google LLC en
los EEUU o a cualquier otro país tercero y organización internacional.
2. En qué mecanismo de transferencia en virtud del artículo 44 y siguientes del
RGPD el responsable basó esta transferencia de datos.
3. Si las disposiciones de las Condiciones del Servicio de Google Analytics y las
nuevas Condiciones para el tratamiento de datos de Google Ads en su versión actúal
y con efecto a partir del 31/08/2020 cumplen con los requisitos del artículo 28 RGPD
con respecto a la transferencia de datos personales a terceros países.
4. Que se imponga inmediatamente una prohibición o suspensión de cualquiera
flujo de datos a Google LLC en los EEUU y ordene la devolución de esos datos a la
UE/EEE o a otro país que ofrezca la protección adecuada en virtud de los artículos
58(2)(d), (f) y (j) RGPD.
5. Que se impongan multa administrativa al responsable y a Google.
Y, entre otra, anexa la siguiente documentación:
- Fichero HAR donde consta, entre otras:
a. Una petición GET con la siguiente cabecera:
“Host www.rae.es
User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0)
Gecko/20100101 Firefox/79.0
Accept text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/
*;q=0.8
Accept-Language en-GB,en;q=0.5
Accept-Encoding gzip, deflate, br
Connection keep-alive
Cookie _ga=GA1.2.345900854.1597222413; cookie-agreed=2;
__unam=67c8073-173e205d800-f576793-2;
TS018cf77a=017ccc203c9e7bc4149f20e42e6a3643881397eb41e025f2c54bb
e7141c720c53441c2483c; has_js=1; _gid=GA1.2.1837808855.1597415922;
_gat=1
Upgrade-Insecure-Requests 1
If-None-Match " 1597405902-1"
Cache-Control max-age=0”
b. Una petición GET con la siguiente cabecera y parámetros codificados en la url:
https://www.google-analytics.com/collect?
v=1&_v=j83&a=1005550321&t=pageview&_s=1&dl=https%3A%2F
%2Fwww.rae.es%2F&ul=en-gb&de=UTF-8&dt=Real%20Academia
%20Espa%C3%B1ola&sd=24-
bit&sr=1920x1080&vp=1903x716&je=0&_u=AACAAEAB~&jid=&gjid=&cid
=345900854.1597222413&tid=UA-44263049-
1&_gid=1837808855.1597415922&z=1892337212
“Host www.google-analytics.com
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

3 / 15
User-Agent Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0)
Gecko/20100101 Firefox/79.0
Accept image/webp,*/*
Accept-Language en-GB,en;q=0.5
Accept-Encoding gzip, deflate, br
Referer https://www.rae.es/
Connection keep-alive
TE Trailers”
Parámetros codificados en la url:
“v 1
_v j83
a 1005550321
t pageview
_s 1
dl https://www.rae.es/
ul en-gb
de UTF-8
dt Real Academia Española
sd 24-bit
sr 1920x1080
vp 1903x716
je 0
_u AACAAEAB~
jid
gjid
cid 345900854.1597222413
tid UA-44263049-1
_gid 1837808855.1597415922
z 1892337212”
SEGUNDO : Con fecha 5 de octubre de 2020, se admitió a trámite la reclamación
presentada por la parte reclamante, al amparo de lo establecido en el artículo 65.5 de
la LOPDGDD .
TERCERO: La Subdirección General de Inspección de Datos procedió a la realización
de actuaciones previas de investigación para el esclarecimiento de los hechos en
cuestión, en virtud de los poderes de investigación otorgados a las autoridades de
control en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de
Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el
Título VII, Capítulo I, Sección segunda, de la LOPDGDD, teniendo conocimiento de los
siguientes extremos:
- Con fecha 8 de septiembre de 2020 se comprueba que en la url
www.rae.es/info/aviso-legal consta la información siguiente:
1. Se informa la identificación y contacto del responsable, sobre la finalidad,
base legitimadora, así como plazo de conservación, ejercicio de derechos de los
datos de carácter personal recogidos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

4 / 15
2. Consta “ La RAE no efectúa transferencias internacionales de datos ni
cesiones de la información facilitada por los usuarios ”.
- Con fecha 10 de diciembre de 2020, la RAE remite a esta Agencia la siguiente
información y manifestaciones:
1. Que la RAE es una corporación de derecho público integrada en el Instituto de
España ya que:
a. Según el art. 4 del Reglamento de la RAE “de acuerdo con lo previsto
en sus estatutos, la Academia tiene por misión principal velar por la unidad de
la lengua española, en estrecha colaboración con todas las academias
integradas en la Asociación de Academias de la Lengua Española (ASALE)"
b. Según art- 1.2.a) del Real Decreto 1160/2010 de 17 de septiembre por
el que se regula el Instituto de España la RAE forma parte del Instituto de
España, que conforme al artículo 1.1 del meritado Real Decreto " es una
corporación de derecho público, con personalidad jurídica y capacidad de
obrar para el cumplimiento de sus fines, que reúne a las Reales Academias de
ámbito nacional que se relacionan en el apartado siguiente, para la
coordinación de las funciones que deban ejercer en común ".
2. Que según apartado 1 del art XXXVIII de los Estatutos de la RAE:
“Consistirán los caudales de la Academia:
1.9 En la asignación ordinaria que se le concede en los presupuestos del
Estado, y en las extraordinarias con que el Gobierno y donadores o
fundadores particulares quieran favorecer las actividades de la corporación.”
3. Que según art 39 de su Reglamento
“el patrimonio y los recursos de la Real Academia Española comprenderán los
bienes muebles e inmuebles, los derechos y rentas de cualquier clase que le
pertenezcan, la asignación ordinaria prevista en los presupuestos del Estado,
así como las subvenciones y ayudas que acuerde cualquier administración
pública. Contará entre sus ingresos las donaciones que patrocinadores
privados acuerden otorgarle, especialmente las provenientes de la Fundación
pro-RAE. Integrarán su patrimonio los beneficios derivados de la explotación
económica de sus obras. Asimismo, las subvenciones, legados, donaciones o
prestaciones personales que reciba y acepte, con carácter perpetuo o
temporal”.
4. Que todo ello quiere decir que, si bien el uso de las herramientas de Google
Analytics puede tener por objetivo la obtención de un rédito comercial o empresarial,
en el caso de la RAE dicha utilización tiene por única y exclusiva finalidad el
cumplimiento de los fines de interés general que constituyen su objeto cuales son
garantizar el desarrollo, divulgación, difusión, buen uso y actualización de la lengua
española.
5. Que es imprescindible contar con herramientas que le permitan conocer datos
estadísticos relacionados con el acceso y utilización de dichos instrumentos,
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

5 / 15
permitiéndole no solo configurar estrategias que garanticen un mejor conocimiento y
difusión de nuestra lengua y gramática sino incluso conocer su evolución y
adaptación a la realidad del uso de la lengua en cada momento (e.g. estadísticas
relacionadas con el uso de términos no incluidos en el diccionario puede permitir un
mejor conocimiento de la evolución en el uso de le lengua y la posible inclusión de
dichos términos en el futuro).
6. Que mediante el uso de Google Analytics podían conocer información
esencial relacionada con el uso de la lengua española y su difusión a nivel mundial,
pudiendo acceder de forma agregada sobre la procedencia geográfica de los
visitantes de su página web, con un nivel mínimo de agregación por ciudad, su flujo
de visita por el sitio web, las configuraciones de sus dispositivos de navegación, así
como la del navegador y sistema operativo, resolución de pantalla y la recurrencia de
sus visitas.
7. Que el uso de Google Analytics se ha limitado única y exclusivamente al
acceso a información estadística y agregada que no permitirá identificar a los citados
usuarios.
8. Que sí mantuvo incrustado en su web la herramienta de Google Analytics.
9. Que no se obtenía ningún dato que pudiera ser considerado como dato
personal, al no tratarse información que identificase o permitiese identificar directa o
indirectamente a dichos usuarios.
10. Que no tenían acceso a la dirección IP de los usuarios ni a ninguna
información que pudiera ser considerada dato personal.
11. Que la única información que podría individualizar a los usuarios sería la
relacionada con el ID aleatorio que Google otorga a sus usuarios. Que la RAE no
puede, en base a esa información, llevar a cabo ninguna acción para lograr su
reidentificación.
12. Que todas las páginas del dominio rae.es están establecidas en España. Que
la RAE no se encuentra establecida en ningún otro Estado.
13. Que desde la fecha de 3 de diciembre de 2020 ningún dominio de la RAE
hace uso de la herramienta Google Analytics.
14. Que la relación jurídica entre RAE y Google LLC es la propia de la relación
existente entre responsable y encargado del tratamiento, siendo RAE el responsable
y Google encargado del tratamiento. Que así consta en las Condiciones para el
Tratamiento de Datos de Google Ads tanto en sus versiones anteriores como en su
última versión de fecha 16 de agosto de 2020 y en las Condiciones del Servicio de
Google Analytics.
15. Que en respuesta a las medidas adoptadas para que Google no procese
datos personales para sus propios fines o para fines de terceros, se remite al
apartado 5.2. y 5.3. de las Condiciones para el Tratamiento de Datos de Google Ads.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

6 / 15
16. Que en relación a las garantías que Google otorga a la RAE a efectos de
verificar el cumplimiento de lo establecido se remite a los apartados 7.5.1. y 7.5.2 de
las Condiciones para el Tratamiento de Datos de Google Ads.
Aporta copia de las Condiciones para el Tratamiento de Datos de Google Ads donde
consta:
"[…]
5.2 Instrucciones del cliente. Al celebrar las presentes Condiciones del
tratamiento de datos, el Cliente instruye a Gooqle para que efectúe el
tratamiento de los Datos personales del cliente solo de acuerdo con la
legislación aplicable: (a) para proporcionar los Servicios del encarqado del
tratamiento y cualquier soporte técnico relacionado; (b) tal y como se
especifica más a través del uso por parte del Cliente de los Servicios del
encarqado del tratamiento (incluida la configuración y otras funcionalidades de
los Servicios del encargado del tratamiento) y cualquier soporte técnico
relacionado; (c) según se documenta por medio del Contrato, incluidas las
presentes Condiciones del tratamiento de datos; y (d) tal y como se
documenta en otras instrucciones proporcionadas por escrito por el Cliente y
reconocidas por Google como instrucciones constitutivas para los propósitos
de las presentes Condiciones del tratamiento de datos.
5.3 Cumplimiento de las instrucciones por parte de Google. Gooqle cumplirá
las instrucciones descritas en la Sección 5.2 (Instrucciones del cliente)
(incluidas las relativas a transferencias de datos), a menos que las Leves
Europeas o Nacionales a las que está sujeta Gooqle requiera otro tratamiento
de datos personales por parte de Gooqle, en cuyo caso Gooqle informará al
Cliente (a menos que alguna de dichas leyes prohíba a Google hacerlo por
motivos importantes de interés público).
[…]
7.5.1 Revisiones de la documentación de seguridad. Para demostrar el
cumplimiento por parte de Gooqle de sus obligaciones en virtud de las
presentes Condiciones del tratamiento de datos, Gooqle proporcionará la
Documentación de seguridad Dara su revisión por parte del Cliente.
7.5.2 Derechos de auditoría del Cliente.
(a) Gooqle permitirá que el Cliente o un auditor externo designado por el
Cliente realice auditorías (incluidas inspecciones) para verificar que Gooqle
cumpla las obligaciones contraídas en virtud de las presentes Condiciones del
tratamiento de datos de acuerdo con la Sección 7.5.3 (Condiciones
comerciales adicionales para auditorías). Google contribuirá a tales auditorías
tal y como se describe en la Sección 7.4 (Certificación de seguridad) y en la
presente Sección 7.5 (Revisiones y auditorías de cumplimiento normativo).
(b) Si las Cláusulas Contractuales Tipo se aplican en virtud de la Sección 10.2
(Transferencias de datos), Gooqle permitirá al Cliente o a un auditor externo
designado por el Cliente realizar auditorías como se describe en las Cláusulas
Contractuales Tipo de acuerdo con la Sección 7.5.3 (Condiciones comerciales
adicionales para las auditorías).
(c) El Cliente también puede realizar una auditoría para verificar el
cumplimiento de Google de las obligaciones contraídas en virtud de las
presentes Condiciones del tratamiento de datos mediante la revisión del
certificado emitido para la Certificación ISO 27001 (que refleja el resultado de
una auditoría realizada por un auditor externo)."
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

7 / 15
Aporta copia de las Condiciones del Servicio de Google Analytics donde consta:
“[…]
7. Privacidad
El Usuario no debe enviar información a Google que Google pueda considerar
información personal identificable o utilizar como tal, ni debe permitir que un
tercero lo haga, ni ayudarle a hacerlo. El Usuario debe tener una Política de
Privacidad adecuada y cumplirla. Asimismo, debe cumplir todas las leyes,
políticas y normativas aplicables relacionadas con la recogida de información
de los Usuarios y publicar una Política de Privacidad que avise del uso de
cookies, identificadores de dispositivos móviles (p. ej., el identificador de
publicidad para Android o el identificador de publicidad para iOS) o tecnología
similar para recoger datos. Además, debe revelar el uso de Google Analytics y
la manera en que este Servicio recoge y trata los datos. Para ello, puede
incluir un enlace bien visible en el sitio web "Cómo utiliza Google la
información de sitios web o aplicaciones que utilizan nuestros partners" (que
se encuentra en www.google.com/polici es/privacy/partners/ o en cualquier
otra URL que proporcione Google). El Usuario debe adoptar medidas
comercialmente razonables para asegurarse de que los Usuarios reciban
información completa y clara sobre el almacenamiento de las Cookies y el
acceso a ellas o cualquier otra información sobre el dispositivo de los
Usuarios, y de que estos den su consentimiento al respecto, cuando tal
actividad se produzca en relación con el Servicio y cuando la ley exija
proporcionar tal información y obtener tal consentimiento.
[…]”
17. Que la RAE no facilitó ni comunicó dato alguno que pudiera derivarse del uso
de Google Analytics a ninguna tercera entidad. Que tampoco ha accedido a dato
personal alguno por lo que difícilmente es posible que realice una transferencia a
terceros. Que no puede especificar los concretos proveedores o localizaciones a los
que Google pudiera haber transmitido los datos recabados por Google Analytics. Que
en las Condiciones para el Tratamiento de Datos de Google Ads se incluyen enlaces
con la identificación de los subencargados del tratamiento https://privacy.google.com/
businesses/subprocessors/ y con las localizaciones geográficas
https://www.google.com/intl/es/about/datacenters/locations/
18. Que solo se hizo uso de las funcionalidades básicas de Google Analytics
garantizando la min imización del impacto en la privacidad de los usuarios para que
no se produjera tratamiento alguno de información referida a personas identificadas o
identificables sino únicamente información agregada. Que no han llevado a cabo
tratamiento de datos alguno relacionado con la IP de los usuarios.
19. Que solo han tenido acceso a la siguiente información agregada facilitada por
Google Analytics:
a. Identificación de la zona geográfica (ciudad y país) desde la que el
usuario del Sitio Web accede al mismo y estadísticas de acceso por país.
b. Idioma.
c. Fuente de la que proviene la visita.
d. Flujo estadístico de las visitas en el Sitio Web.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

8 / 15
e. Análisis estadístico de las visitas, ofreciendo porcentajes de visitas
recurrentes o de primer acceso.
f. Navegador utilizado en su acceso.
g. Tipo de dispositivo móvil utilizado.
h. Resolución de la pantalla del dispositivo y su sistema operativo.
Aporta capturas de pantalla de Google Analytics donde constan las
clasificaciones de:
a. idioma con al menos 10 valores diferentes
b. país con al menos 10 valores diferentes
c. ciudad con al menos 10 valores diferentes
d. Sistema con los subapartados:
i. navegador con al menos 10 valores diferentes
ii. Sistema operativo con al menos 10 valores diferentes
iii. Proveedor de servicios
e. Móvil con los subapartados de:
i. Sistema operativo con al menos 10 valores diferentes
ii. Proveedor de servicios
iii. Resolución de pantalla con al menos 10 valores diferentes.
f. Dispositivos móviles/dispositivos con al menos 9 valores diferentes.
No constan datos de edad ni sexo. No constan datos de intereses.
No consta activado Google Signals.
No constan activadas las Comparativas.
No constan variables personalizadas ni definidas por el usuario.
Por el contrario, la RAE no ha hecho uso de ninguna de las informaciones
avanzadas proporcionadas por Google Analytics, que necesitan una
habilitación específica dentro de la herramienta. Que no han tenido acceso a:
a. Edad.
b. Sexo.
c. Categorías de afinidad.
d. Segmentos con intención de compra.
e. Apartado de multidispositivo.
f. Apartados de comparativas.
20. Que no hay tratamientos de categorías especiales de datos.
21. Que, ya que no trataban datos de edad, no disponen de información para
especificar si alguno de los usuarios del sitio web pudiera ser menor de edad.
22. Que a la RAE no le sería de aplicación el art. 22.2 de la LSSI ya que su
actividad ha de ser calificada como de prestación de un servicio público.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

9 / 15
23. “ Por otra parte, en el negado supuesto de que mi mandante hubiera llevado a
cabo un tratamiento de datos personales de los usuarios de su página web, el mismo
se habría desarrollado para el cumplimiento de las finalidades establecidas en sus
Estatutos y su Reglamento, siendo tal tratamiento necesario para el cumplimiento de
una misión de interés público y quedando, por ello, amparado en el artículo 6.1 e) del
RGPD.”
24. “ En cuanto a las transmisiones de datos a Google LLC, como ya se ha
indicado en un lugar anterior de este escrito, se fundamentaron en la condición de
encargado del tratamiento de la citada entidad y en la adhesión de la misma al
Acuerdo de "Escudo de la Privacidad", de conformidad con la Decisión de Ejecución
(UE) 2016/1250 de la Comisión, de 12 de julio de 2016, así como, con posterioridad,
en la aplicación, a partir del 12 de agosto de 2020, de las cláusulas contractuales tipo
para las transferencias internacionales de datos entre responsables y encargados del
tratamiento, aprobadas por Decisión de la Comisión 2010/87/UE, de 5 de febrero de
2010.”
25. Que Google Analytics establece un plazo predefinido de conservación de la
información recogida de 26 meses.
26. Que según cláusula 6.2 de las Condiciones para el Tratamiento de Datos de
Google Ads se establece “ Eliminación al vencimiento del periodo de vigencia. Al
vencimiento del periodo de vigencia, el Cliente le da instrucciones a Google de que
elimine todos los Datos personales del cliente (incluidas las copias existentes) de los
sistemas de Google de acuerdo con la legislación aplicable. Google cumplirá las
presentes instrucciones tan pronto como sea razonablemente posible y dentro de un
período máximo de 180 días, salvo que las Leyes Europeas o Nacionales exijan su
almacenamiento.”
- Con fecha 01/06/2021 REAL ACADEMIA ESPAÑOLA remite a esta Agencia la
siguiente información y manifestaciones:
1. Que la RAE es una corporación de derecho público, habiendo establecido el
habiendo establecido el Tribunal Supremo en su sentencia de 17 de noviembre de
2015 (recurso de casación 764/2014) el carácter público de la totalidad de las
funciones y actividades desarrolladas por las Reales Academias (apartado primero del
escrito de 10 de diciembre de 2010).
2. Que la herramienta de Google Analytics que usaban era la versión gratuita.
3. Que comenzaron a usar Google Analytics en la fecha 12 de septiembre de
2019.
4. Que no mantiene páginas web orientadas a terceros países, existiendo un
único dominio de la misma.
5. Que desde 1 de diciembre de 2019 al 30 de noviembre de 2020 se produjeron
210.555.443 visitas al portal de la RAE, correspondientes a un total de 100.131.355
usuarios.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

10 / 15
Se aporta informe donde consta que desde el 1 de diciembre de 2019 al 30 de
noviembre de 2020 hubo el siguiente desglose de visitas por países, siendo los 10
primeros en número de visitas:
Número de
visitas Porcentaje sobre el
total
Spain 77.829.236 36,96%
Mexico 35.409.134 16,82%
Colombia 16.817.104 7,99%
Argentina 15.312.395 7,27%
Perú 11.861.855 5,63%
Chile 10.642.227 5,05%
United
States 6.248.681 2,97%
Ecuador 4.511.765 2,14%
Venezuela 2.935.038 1,39%
Guatemala 2.669.888 1,27%
Y donde consta asimismo que:
France 1.261.921 0,60%
Italy 1.208.428 0,57%
Germany 1.091.227 0,52%
Honduras 989.860 0,47%
Portugal 325.589 0,15%
- Con fecha 08/09/2020 se comprueba que en el código de la página web www.rae.es
cargado en el navegador consta el siguiente código:

[…]



//

C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

11 / 15

- Con fecha 27 de octubre de 2021 se comprueba que:
1. En el código de la página web www.rae.es cargado en el navegador no consta
el código anterior.
2. Durante una navegación por la web www.rae.es no constan peticiones HTTP al
dominio google-analytics.com, ni se instalan Cookies asociadas a Google Analytics.
3. En la url https://policies.google.com/technologies/cookies?hl=es#types-of-
cookies consta:
“[…]
Analíticas
Las Cookies que se utilizan con fi nes de analíticas ayudan a recoger datos que
permiten a los servicios entender cómo interactúan con ellos los usuarios. Esta
información se utiliza para mejorar el contenido de los servicios y sus
funciones, así como para ofrecer una mejor experiencia a los usuarios.
Algunas Cookies ayudan a los sitios a entender cómo interactúan los visitantes
con sus propiedades. Por ejemplo, Google Analytics, un producto de Google
con el que los propietarios de sitios y aplicaciones pueden comprender cómo
interactúan los usuarios con sus servicios, utiliza un conjunto de Cookies para
recoger información y ofrecer estadísticas de uso de los sitios sin identi fi car
personalmente a cada visitante. La principal cookie que utiliza Google Analytics
es "_ga", que permite a los servicios distinguir a un usuario de otro y dura 2
años. La utilizan todos los sitios en los que se implementa Google Analytics,
incluidos los servicios de Google.
[,,,]
4. Se comprueba que en la url https://developers.google.com/analytics/devguides/
collection/analytics consta:
“La biblioteca analytics.js (conocida como "la etiqueta de Google Analytics") es
una biblioteca de JavaScript que sirve para medir las interacciones de los
usuarios con tu sitio web. En este documento se explica cómo añadir la
etiqueta de Google Analytics a un sitio web.”
Asimismo consta que la etiqueta para añadir analytics.js al sitio web es:


(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)
[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m
})(window,document,'script','https:∕∕www.google-analytics.com∕analytics.js','ga'
ga('create', 'UA-XXXXX-Y', 'auto');
ga('send', 'pageview');
<∕script>

FUNDAMENTOS DE DERECHO
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

12 / 15
I
De acuerdo con los poderes de investigación y correctivos que el artículo 58 del
Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante
RGPD) otorga a cada autoridad de control, y según lo dispuesto en el artículo 47 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para
resolver estas actuaciones de investigación la Directora de la Agencia Española de
Protección de Datos.
II
La reclamación presentada por la parte reclamante, representada por Noyb –
European Centre for Digital Rights, se fundamenta en el tratamiento de datos
personales realizado por RAE y que han sido transferidos a Google LLC, es decir, han
sido objeto de transferencia internacional de datos infringiendo los artículos 44 a 49 del
RGPD. Solicita que se investiguen los hechos, que se prohíba el flujo de datos de RAE
a Google LLC en los EEUU, y que se imponga una multa a RAE y a Google LLC.
Indica que las transferencias realizadas por RAE se han producido al incrustarse el
código HTML en la página web www.rae.es para servicios de Google (incluyendo
Google Analitycs), y se han recogido datos personales del reclamante y se han
transferido a EEUU.
La parte reclamante ha interpuesto 101 reclamaciones por hechos similares, que están
siendo objeto de investigación por las autoridades de control del país donde está
establecido el responsable del tratamiento.
Este procedimiento se refiere a la actuación de la RAE en lo referente a las
transferencias internacionales de datos por medio de la instalación de determinadas
cookies.
Para que todas las autoridades de control actúen de forma conjunta y coherente, se
creó un grupo de trabajo, que ha convocado numerosas reuniones. En ellas, se han
elaborado cuestionarios para efectuar requerimientos de información sobre el
tratamiento realizado, dirigidos tanto al responsable del tratamiento, como a Google.
La voluntad de todas las autoridades de control de protección de datos es la cesación
del flujo de datos a terceros países sin las garantías establecidas en el RGPD.
III
El artículo 45 del RGPD establece lo siguiente:
“1. Podrá realizarse una transferencia de datos personales a un tercer país u
organización internacional cuando la Comisión haya decidido que el tercer país, un te -
rritorio o uno o varios sectores específicos de ese tercer país, o la organización inter -
nacional de que se trate garantizan un nivel de protección adecuado. Dicha transferen -
cia no requerirá ninguna autorización específica.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

13 / 15
2. Al evaluar la adecuación del nivel de protección, la Comisión tendrá en cuen -
ta, en particular, los siguientes elementos: a) el Estado de Derecho, el respeto de los
derechos humanos y las libertades fundamentales, la legislación pertinente, tanto ge -
neral como sectorial, incluida la relativa a la seguridad pública, la defensa, la seguri -
dad nacional y la legislación penal, y el acceso de las autoridades públicas a los datos
personales, así como la aplicación de dicha legislación, las normas de protección de
datos, las normas profesionales y las medidas de seguridad, incluidas las normas so -
bre transferencias ulteriores de datos personales a otro tercer país u organización in -
ternacional observadas en ese país u organización internacional, la jurisprudencia, así
como el reconocimiento a los interesados cuyos datos personales estén siendo trans -
feridos de derechos efectivos y exigibles y de recursos administrativos y acciones judi -
ciales que sean efectivos; b) la existencia y el funcionamiento efectivo de una o varias
autoridades de control independientes en el tercer país o a las cuales esté sujeta una
organización internacional, con la responsabilidad de garantizar y hacer cumplir las
normas en materia de protección de datos, incluidos poderes de ejecución adecuados,
de asistir y asesorar a los interesados en el ejercicio de sus derechos, y de cooperar
con las autoridades de control de la Unión y de los Estados miembros, y c) los com -
promisos internacionales asumidos por el tercer país u organización internacional de
que se trate, u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente
vinculantes, así como de su participación en sistemas multilaterales o regionales, en
particular en relación con la protección de los datos personales.
3. La Comisión, tras haber evaluado la adecuación del nivel de protección, po -
drá decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o va -
rios sectores específicos de un tercer país, o una organización internacional garanti -
zan un nivel de protección adecuado a tenor de lo dispuesto en el apartado 2 del pre -
sente artículo. El acto de ejecución establecerá un mecanismo de revisión periódica, al
menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes
en el tercer país o en la organización internacional. El acto de ejecución especificará
su ámbito de aplicación territorial y sectorial, y, en su caso, determinará la autoridad o
autoridades de control a que se refiere el apartado 2, letra b), del presente artículo. El
acto de ejecución se adoptará con arreglo al procedimiento de examen a que se refie -
re el artículo 93, apartado 2.
4. La Comisión supervisará de manera continuada los acontecimientos en paí -
ses terceros y organizaciones internacionales que puedan afectar a la efectiva aplica -
ción de las decisiones adoptadas con arreglo al apartado 3 del presente artículo y de
las decisiones adoptadas sobre la base del artículo 25, apartado 6, de la Directiva
95/46/CE.
5. Cuando la información disponible, en particular tras la revisión a que se re -
fiere el apartado 3 del presente artículo, muestre que un tercer país, un territorio o un
sector específico de ese tercer país, o una organización internacional ya no garantiza
un nivel de protección adecuado a tenor del apartado 2 del presente artículo, la Comi -
sión, mediante actos de ejecución, derogará, modificará o suspenderá, en la medida
necesaria y sin efecto retroactivo, la decisión a que se refiere el apartado 3 del presen -
te artículo. Dichos actos de ejecución se adoptarán de acuerdo con el procedimiento
de examen a que se refiere el artículo 93, apartado 2. Por razones imperiosas de ur -
gencia debidamente justificadas, la Comisión adoptará actos de ejecución inmediata -
mente aplicables de conformidad con el procedimiento a que se refiere el artículo 93,
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

14 / 15
apartado 3.
6. La Comisión entablará consultas con el tercer país u organización internacio -
nal con vistas a poner remedio a la situación que dé lugar a la decisión adoptada de
conformidad con el apartado 5.
7. Toda decisión de conformidad con el apartado 5 del presente artículo se en -
tenderá sin perjuicio de las transferencias de datos personales al tercer país, a un te -
rritorio o uno o varios sectores específicos de ese tercer país, o a la organización inter -
nacional de que se trate en virtud de los artículos 46 a 49.
8. La Comisión publicará en el Diario Oficial de la Unión Europea y en su pági -
na web una lista de terceros países, territorios y sectores específicos en un tercer
país, y organizaciones internacionales respecto de los cuales haya decidido que se
garantiza, o ya no, un nivel de protección adecuado.
9. Las decisiones adoptadas por la Comisión en virtud del artículo 25, apartado
6, de la Directiva 95/46/CE permanecerán en vigor hasta que sean modificadas, susti -
tuidas o derogadas por una decisión de la Comisión adoptada de conformidad con los
apartados 3 o 5 del presente artículo.”
El artículo 46 establece la posibilidad de transmitir datos personales a un tercer país u
organización internacional si hubiera ofrecido garantías adecuadas y a condición de
que los interesados cuenten con derechos exigibles y acciones legales efectivas. El ar -
tículo siguiente regula las normas corporativas vinculantes y el artículo 49 establece
las excepciones en las que se pueden transferir datos personales si se dan unas cir -
cunstancias específicas.
En el supuesto presente, durante las actuaciones previas de investigación se ha cons -
tatado que RAE al poco tiempo de conocer la Sentencia Schrems II dejaron de utilizar
la herramienta Google Analitycs. Además, RAE nunca ha utilizado información con la
finalidad de que se pudiese identificar a los usuarios de su web.
De conformidad con lo indicado en los párrafos anteriores y con la información de la
que se dispone en este momento, no se han encontrado evidencias que acrediten en
el momento actual la existencia de infracción en el ámbito competencial de la Agencia
Española de Protección de Datos.
Por lo tanto, de acuerdo con lo señalado, por la Directora de la Agencia Española de
Protección de Datos,
SE ACUERDA:
PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.
SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y GOOGLE LLC y REAL
ACADEMIA ESPAÑOLA .
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

15 / 15
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, y de conformidad con lo establecido en los
arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán
interponer, potestativamente, recurso de reposición ante la Directora de la Agencia
Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional,
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición
adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción
Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente
a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
940-051121
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es


Link: https://www.aepd.es/es/documento/e-10529-2021.pdf

Testo del 2023-02-05 Fonte: GPDP




Commenta



i commenti sono anonimi e inviati via mail e cancellati dopo aver migliorato la voce alla quale si riferiscono: non sono archiviati; comunque non lasciare dati particolari. Si applica la privacy policy.


Ricevi gli aggiornamenti su Aepd Expediente Nº: E/10529/2021 RESOLUCIÓN DE ARCHIVO DE ACTUACIONES e gli altri post del sito:

Email: (gratis Info privacy)






Nota: il dizionario è aggiornato frequentemente con correzioni e giurisprudenza