A Áustria não proibiu o Google Analytics

Mas o produto não é o objeto da decisão; a transferência de dados, seu uso e medidas de salvaguarda devem justificar o exame minucioso. Se o Google Analytics for considerado ilegal, o veredicto também terá um impacto imediato em todos os produtos e serviços que transferem dados para fora da UE.

Embora este artigo não pretenda ser um conselho legal, pretendo compartilhar potenciais áreas de discussão futura para a transferência de dados UE-EUA - e medidas imediatas a serem tomadas à luz da recente decisão da Áustria.

A evolução dos regulamentos de privacidade

Entender como e porquê exige uma lição de história. Muito antes da entrada em vigor da GDPR, houve o acordo de "Porto Seguro" feito entre a UE e os EUA. O acordo de 2000 permitiu que as empresas se autocertificassem e protegessem os dados dos cidadãos da UE se os armazenassem nos centros de dados dos EUA. O acordo vigorou por 15 anos até ser invalidado pelo Tribunal de Justiça Europeu.

O Safe Harbor foi seguido pelo acordo "Privacy Shield" em 2016, que impôs restrições mais fortes às empresas americanas no acesso e transferência de dados dos cidadãos da UE. Mas em 2020, o Privacy Shield encontrou o mesmo destino nas mãos do Tribunal de Justiça através da resolução C-11/18- coloquialmente chamada "Schrems II", uma referência ao advogado austríaco e defensor dos direitos de privacidade Max Schrems.

Schrems iniciou sua batalha pela privacidade com base no testemunho de Edward Snowden em 2013, a respeito do programa PRISM que deu à Agência Nacional de Segurança dos Estados Unidos (NSA) acesso irrestrito aos dados. Schrems argumentou que o Facebook ajudou a NSA, violando os direitos dos cidadãos da UE de ter seus dados processados de forma justa.

Neste momento, o princípio básico é que quando os dados pessoais deixam a UE, a lei viaja com eles. É referida como a transferência de dados pessoais para terceiros países. Por exemplo, países terceiros podem ser os EUA, Austrália, Reino Unido ou qualquer outro lugar fora da União Européia. As violações recentes da GDPR, portanto, não são específicas do Google ou mesmo dos dados alojados nos EUA; é igualmente aplicável à Adobe, Facebook, Amazon e a todos os terceiros que funcionam como coletores de dados através de fronteiras geográficas.

O que isso significa para a Internet e para os dados?

A questão que Schrems II (PDF) levanta se aplica fundamentalmente à Internet como um todo: a coleta de dados analíticos utiliza tecnologias básicas da Internet que não são diferentes daquelas utilizadas quando um navegador carrega uma imagem. A solicitação de imagem ainda envia cookies e expõe o endereço IP do usuário ao endpoint da solicitação.

Ainda assim, a forma como a análise é utilizada e como os dados são gerenciados requer atenção e respeito à regulamentação. Cada vez mais, as autoridades de proteção de dados (APD) estão ordenando a suspensão das transferências de dados pessoais para terceiros países. Em 21 de março, a DPA da Baviera encontrou uma transferência ilegal da Alemanha para os EUA pelo MailChimp. Um mês mais tarde, a DPA portuguesa ordenou a suspensão da transferência de dados pessoais para os EUA e outros países fora da UE por Cloudflare.

Assegure-se de que seus dados estejam em conformidade com o GDPR-Compliant

A forma como o Google Analytics é utilizado sempre esteve sujeita a escrutínio e regulamentação. Como resultado, é prudente garantir que toda a sua coleta e ativação de dados esteja de acordo com as normas mais atuais. Considere estas etapas básicas como ações possíveis e repita-as pelo menos a cada trimestre:

1. Anonimizar os endereços IP no Google Analytics. Isto terá impacto nos relatórios geográficos, mas é um compromisso relativamente pequeno.
2. Assegure-se de que seu armazenamento de dados na nuvem esteja localizado na UE. Esta é uma oportunidade de rever todos os locais de armazenamento de dados.
3. Certifique-se de que seu banner de consentimento esteja em conformidade. Implemente um processo de varredura automatizado que seja executado em cadência regular para identificar rapidamente a configuração de cookies sem consentimento.
4. Revise regularmente suas políticas de cookies e privacidade para verificar a conformidade.

Obtenha aconselhamento jurídico de terceiros para garantir a conformidade ou responder a quaisquer perguntas que você tenha. Um parceiro de dados como a Media.Monks também pode fornecer suporte na implementação de mudanças no Google Analytics e fornecer soluções automatizadas para medir e analisar a coleta de dados com relação à funcionalidade dos banners de consentimento.

Para onde vamos a partir daqui?

O assunto da reclamação da DPA da Áustria é a transferência de dados pessoais para os EUA que carecem de proteção adequada por parte das autoridades americanas que obtêm acesso aos mesmos. As Cláusulas Contratuais Padrão(SCCs) foram usadas anteriormente para permitir a transferência de dados, entretanto, foram levantadas questões sobre a viabilidade das SCCs com respeito à FISA (PDF). Novas SCCs foram publicadas que exigem medidas suplementares que vão além da criptografia, referindo-se especificamente ao exame do regime jurídico do país de destino. O Google mantém que estas medidas foram cumpridas (PDF).

Atualmente, parece haver dificuldades onde tanto a criptografia quanto os requisitos de transparência parecem contradizer-se. Os SCCs revisados ou um sucessor do Safe Harbor e Privacy Shield parecem ser a solução favorecida pelo Google, embora os aspectos práticos e o momento oportuno de tais soluções permaneçam pouco claros. Até então, seguir as etapas acima para revisar regularmente o cumprimento das normas é um longo caminho para garantir que sua marca permaneça em boas graças.