Uso do Google Analytics tornado ilegal pela autoridade austríaca de proteção de dados

Publicados: 2022-01-22

A Autoridade Austríaca de Proteção de Dados (Datenschutzbehorde) decidiu a favor da NOYB, sem fins lucrativos, em um caso histórico contra o uso do Google Analytics no netdoctor.at, um operador de site austríaco.

Embora ainda não seja vinculativa, a decisão pode impulsionar os defensores da privacidade na Europa que desejam responsabilizar as empresas de tecnologia famintas por dados pelo manuseio das informações pessoais das pessoas.

A NOYB é uma organização sem fins lucrativos dedicada aos direitos de privacidade na Europa, liderada por Max Schrems (o homem que desafiou com sucesso o uso de acordos de transferência de dados pelo Facebook).

DSB austríaco decidiu: O uso do Google Analytics viola a decisão "Schrems II" do CJEUhttps://t.co/YJptcS9ONy pic.twitter.com/ngPz6KgAvy
— noyb (@NOYBeu) 13 de janeiro de 2022

Esta é a primeira decisão sobre as 101 reclamações modelo da NOYB apresentadas em resposta ao julgamento Schrems II do TJUE (que invalidou o Privacy Shield). As 101 reclamações sugerem que as empresas europeias continuam a compartilhar dados de visitantes com grandes empresas de tecnologia e não oferecem um nível adequado de proteção a seus usuários. Portanto, embora essa decisão seja a primeira desse tipo, provavelmente não será a última.

O Conselho Europeu de Proteção de Dados (EDPB) estabeleceu uma força-tarefa em 2021 para investigar a situação e garantir uma coordenação estreita entre todas as Autoridades Europeias de Proteção de Dados.

Como resultado, espera-se que as ações regulatórias apresentadas por DPAs em outros estados membros da UE sejam aceleradas (por exemplo, a Autoridade Holandesa de Proteção de Dados (Autoriteit Persoonsgegevens).

O que a decisão inclui?

A DPA considerou na decisão o seguinte:

Aplicabilidade do GDPR

Como leges speciales , os requisitos aplicáveis da Diretiva 2002/58/EC (Diretiva de Privacidade Eletrônica) – renomeada Lei de Proteção de Dados de Telecomunicações e Telemídia (TTDSG 2021) na Áustria – têm precedência sobre o GDPR (Regulamento Geral de Proteção de Dados).

A Diretiva de Privacidade Eletrônica, por outro lado, não possui disposições para a transferência de dados pessoais para outros países, portanto, o Capítulo V do GDPR se aplica neste caso.

Os Dados Transmitidos através do GA são Dados Pessoais

A Autoridade de Proteção de Dados da Áustria acredita que, combinando a enorme quantidade de dados transmitidos, é teoricamente concebível relacionar os dados transferidos de volta a uma pessoa física. Como resultado, um link para uma pessoa pode ser estabelecido (consulte o Artigo 4(1) do GDPR) e o GDPR se aplica.

A esse respeito, vale a pena notar que o DPA acredita que a função de anonimização do Google Analytics é insuficiente para mudar o endereço IP e outros identificadores fora do escopo do GDPR. Devido ao grande volume de dados da UE transmitidos, o endereço IP não é relevante para a categorização dos dados como dados pessoais sob o GDPR.

O Operador do Site é o Controlador de Dados

Vale a pena notar que o DPA austríaco apenas analisava as atividades de processamento de dados até serem transferidas com sucesso para o Google. A autoridade não faz comentários sobre o processamento de dados subsequente do Google.

A transferência de dados para os EUA não é compatível com GDPR

O Escudo de Privacidade UE-EUA foi considerado ilegal pelo Tribunal de Justiça Europeu em um veredicto datado de 16 de julho de 2020 (Schrems II).

Como resultado, o artigo 45 do GDPR não era mais aplicável como meio de transmissão de dados, e o DPA não acreditava que existisse uma “derrogação para casos específicos” (em particular porque o consentimento não foi obtido no caso em questão ).

“Proteções apropriadas”, conforme definido pelo Artigo 46 do GDPR, é o mecanismo final de transferência legal. As cláusulas contratuais padrão (SCCs) podem servir como salvaguardas apropriadas de acordo com o Artigo 46(2)(c) do GDPR. O proprietário do site assinou SCCs “antigos” (versão 2010/87/UE) com o Google sobre o assunto em questão. (Em junho de 2021, um conjunto revisado de SCCs foi lançado.)

No entanto, ao usar o Google Analytics, a transferência de dados não pode depender apenas dos SCCs que foram concluídos. Isso se deve ao fato de que o Google está sujeito às leis de vigilância dos EUA (FISA 702), e as obrigações contratuais por si só são insuficientes para vincular as autoridades de uma “terceira nação”. Somente se medidas tecnológicas e organizacionais adicionais (“medidas suplementares”) forem adotadas para compensar a falta de proteção legal nos Estados Unidos é uma transferência de dados legal. O DPA concluiu que o Google não havia oferecido evidências adequadas de “medidas suplementares” em sua conclusão.

Então, o que estava errado neste caso específico?

Da análise acima, fica claro que neste caso específico, a integração do Google Analytics que ocorreu na época (14/08/2020) foi falha:

O uso do Google Analytics foi baseado apenas nos SCCs desatualizados.
O consentimento de processamento de dados não foi adquirido.
A anonimização do endereço IP não foi ativada corretamente.

Como o Google respondeu?

A defesa do Google no processo e sua reação inicial não são muito tranquilizadoras.

O Google confirma que os dados pessoais estão realmente sendo trocados com os EUA ao usar o Google Analytics, porque isso é simplesmente necessário para que o serviço funcione corretamente. De maneira mais geral, o Google também afirma que faz grandes esforços para tornar seus serviços amigáveis à privacidade.

Neste caso, especificamente, o Google diz que fornece as necessárias “garantias adicionais”, que são exigidas com base no julgamento Schrems II. O DSB, no entanto, decidiu que essas “garantias adicionais” não representam muito na realidade.

Em resposta, o Google não pode fazer muito mais do que dizer que o usuário pode optar por desabilitar o “compartilhamento de dados de terceiros” em sua conta. No entanto, o compartilhamento de dados de terceiros não é o principal problema legal aqui, o problema é o potencial acesso a dados confidenciais pelo governo dos EUA (e, claro, isso não pode ser desativado em nenhum lugar).

Em outras palavras, o Google realmente não tem uma resposta por enquanto. O Google está certo quando diz que uma boa ferramenta de análise deve funcionar globalmente, e também se pode questionar sinceramente se o acesso potencial a dados analíticos pelo governo dos EUA realmente representa uma ameaça real à privacidade para 99% dos sites europeus.

O que esta decisão significa para você?

Se houver uma conclusão neste caso, é que desconsiderar essas decisões judiciais e continuar usando o Google Analytics não é uma opção.

Se você administra um site na Áustria ou presta serviços a austríacos, deve remover o Google Analytics do seu site imediatamente.

Também é fortemente recomendado que as empresas nos outros Estados-Membros da União Europeia tomem medidas antes que as Autoridades de Proteção de Dados locais comecem a visar mais empresas.

Como empresa europeia, você não pode mais confiar dados confidenciais de usuários a empresas como o Google, que deliberadamente desrespeitam a legislação de privacidade europeia e correm o risco de multas pesadas para seus clientes empresariais europeus.

Possíveis soluções alternativas para continuar usando o Google Analytics

Sites em toda a Europa, no entanto, não vão parar de repente de usar o Google Analytics.

Até que essa decisão se torne juridicamente vinculativa, você ainda pode usar o GA em conformidade com o GDPR seguindo as medidas mais rigorosas abaixo:

Aceitar os DPAs do Google: para refletir as versões atuais das Cláusulas Contratuais Padrão, o Google revisou os Termos de Processamento de Dados do Google para todos os Produtos do Google (DPAs). Nas configurações do Google Analytics, aceite os novos DPAs do Google (versão mais recente em setembro de 2021).
Referência nos regulamentos de proteção de dados a uma possível transferência de dados para países terceiros.
Obtenha o consentimento do usuário: “Isso significa que você só pode disparar o Google Analytics se tiver recebido consentimento para isso e também pode salvar e fornecer informações sobre ele. Uma plataforma de gerenciamento de consentimento (CMP) facilita esse processo.
Use a configuração correta do Google Analytics: nenhum dado pessoal deve fluir para o Analytics durante a configuração, de acordo com suas práticas recomendadas. Você deve, portanto, fazer uso de anonimização de IP.
Mudar para o rastreamento do lado do servidor: o rastreamento do lado do servidor não é apenas uma solução adequada para aumentar a vida útil dos cookies de terceiros e contornar alguns bloqueadores de rastreamento, mas você também tem a opção de adaptar os dados antes de serem enviados ao Google Analytics. Em termos concretos, isso significa, por exemplo, que os endereços IP dos usuários são completamente removidos antes que os dados sejam enviados ao Google Analytics.

Mudar para outras ferramentas de análise em conformidade com a privacidade

Como a privacidade está se tornando cada vez mais importante para os consumidores em todo o mundo, é um passo lógico para qualquer empresa europeia selecionar serviços que priorizem a proteção da privacidade de seus usuários.

Abaixo, apresentamos duas das alternativas mais intrigantes ao GA, caso você queira se livrar dele completamente.

Plausível

Experimente o Plausible se estiver procurando uma alternativa genuína da UE ao Google Analytics. Eles são um projeto independente e inicializado com sede na Estônia. A sua equipa está dividida entre a Estónia e a Bélgica.

Todos os dados dos visitantes que eles coletam são armazenados em servidores de propriedade de uma empresa alemã na Alemanha (Hetzner). Para sua CDN global, eles usam um provedor de propriedade eslovena (Bunny).

Mais sobre sua declaração oficial sobre este caso aqui.

Matomo

Matomo é outra alternativa GA que vale a pena.

É uma plataforma de análise da web de código aberto projetada para fornecer recursos completos de análise, bem como a propriedade completa dos dados.

Matomo começou como uma alternativa de código aberto ao Google Analytics. Ele também fornece relatórios importantes sobre os usuários do seu site e suas interações com seu site, semelhante ao Google Analytics. A parte interessante é que ele concentra a maior parte de sua atenção na propriedade dos dados, para que seus dados possam ser totalmente seus e a privacidade de seus usuários seja protegida.

Mais sobre sua declaração oficial sobre este caso aqui.

Os usuários do Convert são afetados por esta decisão?

Nenhum dado pessoal é usado ou armazenado no Convert Experiences. Assim, suas experiências e visitantes não são impactados pelo caso acima . Além disso, usamos servidores europeus neutros em carbono para economizar experiência e dados de variação.

Para transparência, aqui estão algumas notas adicionais sobre o uso de dados no Convert Experiences:

Ativado por padrão
- ID do cookie de sessão (tempo limite de 20 minutos no cache do cookie e do servidor). Atualmente, isso está se enquadrando em cookies de desempenho em nossa interpretação da Diretiva GDPR / ePrivacy e dos Regulamentos de privacidade eletrônica.

Desligado por padrão
- Quando a segmentação entre navegadores é ativada pelos clientes, inserimos um cookie exclusivo no URL para pegar no outro domínio (que pode ser interpretado pelo GDPR como dados pessoais). Esse recurso está desativado por padrão como parte de nossa política de “privacidade por padrão”.
- Quando os IDs de visitante exclusivos são fornecidos pelo cliente para substituir os IDs de sessão, isso pode ser interpretado como dados pessoais. Esse recurso está desativado por padrão como parte de nossa política de “privacidade por padrão”.
- Quando a segmentação geográfica é usada (não ativada por padrão), podemos armazenar país, região e cidade em CDN ou cache do servidor para segmentação correta.

As implicações dessa decisão são de longo alcance e podem abrir um precedente para como os dados são usados pelas empresas.

É importante observar que essa decisão afeta apenas o uso do Google Analytics para empresas austríacas ou outras empresas que fazem negócios com uma, mas é possível que outros países sigam o exemplo.

Se você estiver usando o Google Analytics, fique de olho nas próximas regulamentações para garantir a conformidade. A NOYB e outros defensores da privacidade europeus mostraram que estão dispostos a lutar pelos direitos dos usuários online, então podemos esperar mais decisões semelhantes no futuro.