Utilizarea Google Analytics a fost ilegală de către Autoritatea Austriacă pentru Protecția Datelor

Publicat: 2022-01-22
Utilizarea Google Analytics a fost ilegală de către Autoritatea Austriacă pentru Protecția Datelor

Autoritatea Austriacă pentru Protecția Datelor (Datenschutzbehorde) a dat dreptate organizației non-profit NOYB, într-un caz de referință împotriva utilizării Google Analytics pe netdoctor.at, un operator de site-uri web austriac.

Deși nu este încă obligatorie, decizia poate oferi un impuls pentru susținătorii confidențialității din Europa care caută să tragă la răspundere companiile tehnologice avide de date pentru gestionarea informațiilor personale ale oamenilor.

NOYB este o organizație non-profit dedicată drepturilor la confidențialitate în Europa, condusă de Max Schrems, (omul care a contestat cu succes utilizarea de către Facebook a aranjamentelor de transfer de date).

Aceasta este prima decizie la cele 101 plângeri model ale NOYB depuse ca răspuns la hotărârea Schrems II a CJUE (care a invalidat Scutul de confidențialitate). Cele 101 plângeri sugerează că companiile europene continuă să partajeze datele vizitatorilor cu marile companii de tehnologie și nu oferă un nivel adecvat de protecție utilizatorilor lor. Deci, deși această decizie este prima de acest gen, probabil că nu va fi ultima.

Comitetul European pentru Protecția Datelor (EDPB) a creat un grup operativ în 2021 pentru a investiga situația și a asigura o coordonare strânsă între toate autoritățile europene pentru protecția datelor.

Ca urmare, se așteaptă ca acțiunile de reglementare depuse de APD în alte state membre ale UE să se accelereze (de exemplu, Autoritatea Olandeză pentru Protecția Datelor (Autoriteit Persoonsgegevens).

Ce include decizia?

DPA a reținut în decizie următoarele:

Aplicabilitatea GDPR

Ca leges speciale , cerințele aplicabile ale Directivei 2002/58/CE (Directiva privind confidențialitatea electronică) – redenumită Legea privind protecția datelor în telecomunicații și telemedia (TTDSG 2021) în Austria – au prioritate față de GDPR (Regulamentul general privind protecția datelor).

Directiva privind confidențialitatea electronică, pe de altă parte, nu are prevederi pentru transferul de date cu caracter personal către alte țări, prin urmare capitolul V din GDPR se aplică în acest caz.

Datele transmise prin GA sunt date personale

Autoritatea pentru Protecția Datelor din Austria consideră că, combinând cantitatea uriașă de date transmise, este teoretic de conceput să relaționăm datele transferate înapoi la o persoană fizică. Ca rezultat, se poate stabili o legătură cu o persoană (a se vedea articolul 4(1) din GDPR) și se aplică GDPR.

În acest sens, este de remarcat faptul că DPA consideră că funcția de anonimizare a Google Analytics este insuficientă pentru a schimba adresa IP și alți identificatori în afara domeniului de aplicare al GDPR. Din cauza volumului mare de date UE transmise, adresa IP nu este relevantă pentru clasificarea datelor ca date cu caracter personal în conformitate cu GDPR.

Operatorul site-ului web este operatorul de date

Este de remarcat faptul că DPA austriac a analizat activitățile de prelucrare a datelor doar până când acestea au fost transferate cu succes la Google. Autoritatea nu face nicio observație cu privire la prelucrarea ulterioară a datelor de către Google.

Transferul de date în SUA nu este conform GDPR

Scutul de confidențialitate UE-SUA a fost considerat ilegal de Curtea Europeană de Justiție într-un verdict din 16 iulie 2020 (Schrems II).

Drept urmare, articolul 45 din GDPR nu mai era aplicabil ca mijloc de transmitere a datelor, iar DPA nu a considerat că există o „derogare pentru cazuri specifice” (în special pentru că nu a fost obținut consimțământul în cazul dat ).

„Protecția corespunzătoare”, așa cum este definită de articolul 46 GDPR, este mecanismul final de transfer legal. Clauzele contractuale standard (SCC) pot servi drept garanții adecvate în conformitate cu articolul 46 alineatul (2) litera (c) din GDPR. Proprietarul site-ului web a semnat SCC „vechi” (versiunea 2010/87/UE) cu Google în această problemă. (În iunie 2021, a fost lansat un set revizuit de SCC.)

Cu toate acestea, atunci când utilizați Google Analytics, transferul de date nu poate depinde numai de SCC-urile care au fost finalizate. Acest lucru se datorează faptului că Google este supus legilor de supraveghere din SUA (FISA 702), iar obligațiile contractuale sunt insuficiente pentru a lega autoritățile dintr-o „națiune a treia”. Numai dacă se adoptă măsuri tehnologice și organizatorice suplimentare („măsuri suplimentare”) pentru a compensa lipsa de protecție juridică în Statele Unite este legal un transfer de date. DPA a concluzionat că Google nu a oferit dovezi adecvate privind „măsurile suplimentare” în concluzia sa.

Deci, ce a fost greșit în acest caz specific?

Din analiza de mai sus, reiese clar că, în acest caz specific, integrarea Google Analytics care a avut loc la acea vreme (14.08.2020) era defectuoasă:

  • Utilizarea Google Analytics s-a bazat numai pe SCC-urile învechite.
  • Consimțământul pentru prelucrarea datelor nu a fost obținut.
  • Anonimizarea adresei IP nu a fost activată corect.

Cum a răspuns Google?

Apărarea Google în cadrul procedurii și reacția sa inițială ulterior nu sunt foarte liniștitoare.

Google confirmă că datele personale sunt într-adevăr schimbate cu SUA atunci când se utilizează Google Analytics, deoarece acest lucru este pur și simplu necesar pentru ca serviciul să funcționeze corect. În general, Google afirmă, de asemenea, că depune eforturi mari pentru a face serviciile sale prietenoase cu confidențialitatea.

În acest caz, în mod concret, Google spune că oferă „garanțiile suplimentare” necesare, care sunt cerute în baza hotărârii Schrems II. Cu toate acestea, DSB a decis că acele „garanții suplimentare” nu reprezintă prea mult în realitate.

Ca răspuns, Google nu poate face mult mai mult decât să spună că utilizatorul poate alege să dezactiveze „partajarea datelor de la terți” în contul său. Cu toate acestea, partajarea datelor terților nu este principala problemă legală aici, problema este potențialul acces la date sensibile de către guvernul SUA (și, desigur, acestea nu pot fi dezactivate nicăieri).

Cu alte cuvinte, Google nu are deocamdată un răspuns. Google are dreptate când spune că un instrument de analiză bun ar trebui să funcționeze la nivel global și, de asemenea, ne putem pune la îndoială sincer dacă accesul potențial la datele de analiză de către guvernul SUA reprezintă într-adevăr o amenințare reală pentru confidențialitate pentru 99% dintre site-urile web europene.

Ce înseamnă această decizie pentru tine?

Dacă există o concluzie din acest caz, este că nerespectarea acestor hotărâri judecătorești și continuarea utilizării Google Analytics nu este o opțiune.

Dacă conduceți un site web în Austria sau furnizați servicii austriecilor, ar trebui să eliminați imediat Google Analytics de pe site.

De asemenea, se recomandă ferm ca întreprinderile din celelalte state membre ale Uniunii Europene să ia măsuri înainte ca autoritățile locale pentru protecția datelor să înceapă să vizeze mai multe întreprinderi.

În calitate de companie europeană, nu mai puteți încredința datele sensibile ale utilizatorilor unor companii precum Google, care ignoră în mod deliberat legislația europeană privind confidențialitatea și riscă amenzi mari pentru clienții lor de afaceri europeni.

Soluții posibile pentru a continua să utilizați Google Analytics

Cu toate acestea, site-urile web din Europa nu vor înceta brusc să folosească Google Analytics.

Până când această decizie devine obligatorie din punct de vedere juridic, puteți utiliza în continuare GA într-un mod conform GDPR, urmând cele mai stricte măsuri de mai jos:

  1. Acceptați DPA-urile Google: pentru a reflecta versiunile actuale ale Clauzelor Contractuale Standard, Google a revizuit Termenii Google de procesare a datelor pentru toate produsele Google (DPA). În setările Google Analytics, acceptați noile DPA Google (ultima versiune septembrie 2021).
  2. Referire în reglementările privind protecția datelor la un posibil transfer de date către țări terțe.
  3. Obțineți consimțământul utilizatorului: „Aceasta înseamnă că puteți declanșa Google Analytics numai dacă ați primit consimțământul pentru a face acest lucru și, de asemenea, puteți salva și furniza informații despre acesta. O platformă de gestionare a consimțământului (CMP) facilitează acest proces.
  4. Utilizați configurația corectă a Google Analytics: nu trebuie să curgă date personale în Analytics în timpul configurării, conform celor mai bune practici ale acestora. Prin urmare, ar trebui să utilizați anonimizarea IP.
  5. Treceți la urmărirea pe server: urmărirea pe server nu este doar o soluție potrivită pentru creșterea duratei de viață a cookie-urilor primare și pentru a ocoli unele blocante de urmărire, dar aveți și opțiunea de a adapta datele înainte de a fi trimise la Google Analytics. În termeni concreti, aceasta înseamnă, de exemplu, că adresele IP ale utilizatorilor sunt complet eliminate înainte ca datele să fie trimise către Google Analytics.

Treceți la alte instrumente de analiză care respectă confidențialitatea

Deoarece confidențialitatea devine din ce în ce mai importantă pentru consumatorii din întreaga lume, este un pas logic pentru orice companie europeană să aleagă servicii care acordă prioritate protejării confidențialității utilizatorilor.

Mai jos vă prezentăm două dintre cele mai interesante alternative la GA în cazul în care doriți să scăpați complet de el.

Plauzibil

Încercați Plausible dacă căutați o alternativă autentică din UE la Google Analytics. Sunt un proiect independent, bootstrapped, cu sediul în Estonia. Echipa lor este împărțită între Estonia și Belgia.

Toate datele vizitatorilor pe care le colectează sunt stocate pe servere deținute de o companie germană din Germania (Hetzner). Pentru CDN-ul lor global, ei folosesc un furnizor deținut de sloven (Bunny).

Mai multe despre declarația lor oficială cu privire la acest caz aici.

Matomo

Matomo este o altă alternativă GA utilă.

Este o platformă de analiză web open-source concepută pentru a vă oferi capabilități complete de analiză, precum și proprietatea completă a datelor.

Matomo a început ca o alternativă open-source la Google Analytics. De asemenea, oferă rapoarte importante despre utilizatorii site-ului dvs. și interacțiunile acestora cu site-ul dvs., similar cu Google Analytics. Partea interesantă este că își concentrează cea mai mare parte a atenției asupra proprietății datelor, astfel încât datele tale pot fi complet ale tale, iar confidențialitatea utilizatorilor tăi este protejată.

Mai multe despre declarația lor oficială cu privire la acest caz aici.

Sunt utilizatorii convertiți afectați de această decizie?

Nicio dată cu caracter personal nu este folosită sau stocată în Convert Experiences. Prin urmare, experiențele și vizitatorii dvs. nu sunt afectați de cazul de mai sus . În plus, folosim servere europene neutre din punct de vedere al emisiilor de carbon pentru a salva experiența și datele variațiilor.

Pentru transparență, iată câteva note suplimentare despre utilizarea datelor în Experiențe Convertiți:

  • Activat implicit
    • ID-ul cookie-ului de sesiune (timeout 20 minute pe cookie-ul și cache-ul serverului). Acest lucru se încadrează în prezent în modulele cookie de performanță în interpretarea noastră a GDPR/Directiva ePrivacy și a regulamentelor ePrivacy.
  • Oprit implicit
    • Când direcționarea pe mai multe browsere este activată de către clienți, inserăm un cookie unic în adresa URL pentru a prelua pe celălalt domeniu (care ar putea fi interpretat de GDPR ca date personale). Această funcție este dezactivată în mod prestabilit, ca parte a politicii noastre de „confidențialitate implicită”.
    • Când ID-urile unice ale vizitatorilor sunt date de către client pentru a înlocui ID-urile de sesiune, acestea ar putea fi interpretate ca date personale. Această funcție este dezactivată în mod prestabilit, ca parte a politicii noastre de „confidențialitate implicită”.
    • Când se utilizează direcționarea geografică (nu este activată în mod implicit), am putea stoca țara, regiunea și orașul în CDN-ul sau în memoria cache a serverului pentru direcționarea corectă.

Implicațiile acestei hotărâri sunt de amploare și ar putea crea un precedent pentru modul în care datele sunt utilizate de companii.

Este important de reținut că această decizie afectează numai utilizarea Google Analytics pentru companiile austriece sau alte companii care fac afaceri cu una, dar este posibil ca și alte țări să urmeze exemplul.

Dacă utilizați Google Analytics, asigurați-vă că urmăriți reglementările viitoare pentru a vă asigura că vă conformați. NOYB și alți susținători europeni ai confidențialității au arătat că sunt dispuși să lupte pentru drepturile utilizatorilor online, așa că ne putem aștepta la mai multe decizii similare în viitor.