No início de 2022, os cães de guarda da privacidade austríacos e franceses declararam que a utilização do Google Analytics é ilegal para as empresas europeias devido a violações da privacidade. Agora, as autoridades norueguesas e dinamarquesas de protecção de dadosexplicaram como as empresas podem continuar a utilizar o Google Analytics de uma forma legal.
A Autoridade Norueguesa de Protecção de Dados explica:
"Desde as decisões dos nossos colegas europeus, analisámos mais de perto a ferramenta e as definições específicas que pode utilizar se quiser utilizar o Google Analytics. Tem sido particularmente relevante desde que, na sequência da primeira decisão da Áustria, o Google começou a disponibilizar definições adicionais em relação às informações que podem ser recolhidas através da ferramenta. Contudo, a conclusão continua a ser que a ferramenta não pode ser utilizada legalmente".
Sim, e não. É ilegal para as empresas europeias utilizar o Google Analytics "tal como está". Aplicando medidas técnicas como a pseudonímia, é ainda possível utilizar o Google Analytics em conformidade com o GDPR.
Uma possível medida técnica que deve ser tomada em consideração ao utilizar o Google Analytics é a pseudonimização. É exigido pela GDPR europeia que o Google não possa descobrir de quem são os dados que estão a ver. Isto inclui os endereços IP das pessoas, mas também outras informações que permitam tirar conclusões sobre a identidade de uma pessoa.
Para limpar os dados antes de os enviar para o Google, as empresas europeias devem, portanto, enviá-los através de uma procuração inversa.
Aqui está uma instrução detalhada da CNIL francesa sobre como enviar os seus dados analíticos para o Google através de um proxy.
No entanto, isto é mais fácil de dizer do que de fazer. A solução descrita pela CNIL - Commission Nationale de l'Informatique et des Libertés - é uma confusão técnica complicada.
A ideia é que em vez de enviar todo o tráfego do Google Analytics directamente para os servidores da Google, as empresas poderiam passá-lo através de um servidor que controlam e que está localizado na UE.
Para se tornarem compatíveis com os requisitos de privacidade da GDPR, as empresas da UE devem também eliminar os dados a partir de qualquer informação pessoalmente identificável.
Notavelmente, a recomendação da CNIL também declara que é necessário esfregar todos os parâmetros de consulta UTM, também conhecidos como identificadores de campanha. Este requisito torna a utilização do Google Analytics inútil. Porque é que uma empresa utilizaria o Google Analytics se não pode utilizar os dados para descobrir qual a campanha publicitária que está a correr bem e qual a que não está?
Felizmente, existem muitas alternativas do Google Analytics baseadas aqui na Europa, por exemplo Matomo, Piwik, Plausible ou Econda.
Após o acórdão austríaco emitido em Fevereiro de 2022, o cão de guarda da privacidade francês, o CNIL, declarou também que o Google Analytics viola o GDPR e deve, portanto, ser banido. A CNIL publicou uma declaração:
"A CNIL, em cooperação com os seus homólogos europeus, analisou as condições nas quais os dados recolhidos através deste serviço [Google Analytics] são transferidos para os Estados Unidos. A CNIL considera que estas transferências são ilegais e ordena a um gestor de sítio web francês que cumpra com a GDPR e, se necessário, deixe de utilizar este serviço nas condições actuais".
Quando a legislação do Privacy Shield foi invalidada em 2020, isto teve consequências de grande alcance para os serviços em linha dos EUA que operam na Europa: Já não lhes era permitido transferir dados de cidadãos europeus para os EUA, pois isso tornaria os dados de cidadãos europeus vulneráveis à vigilância em massa americana - uma clara violação do PIBR europeu.
No entanto, a indústria tecnológica do Vale do Silício ignorou largamente a decisão. Isto levou agora à decisão de que o Google Analytics é proibido na Europa. diz NOYB:
"Embora isto (=invalidação do Privacy Shield) tenha enviado ondas de choque através da indústria tecnológica, os fornecedores americanos e os exportadores de dados da UE ignoraram largamente o caso. Tal como a Microsoft, Facebook ou Amazon, a Google tem confiado nas chamadas "Cláusulas Contratuais Padrão" para continuar as transferências de dados e acalmar os seus parceiros comerciais europeus".
Agora, a Autoridade Austríaca de Protecção de Dados toca o mesmo acorde que o tribunal europeu ao declarar o Privacy Shield como inválido: Decidiu que a utilização do Google Analytics é ilegal por violar o Regulamento Geral de Protecção de Dados (GDPR). O Google está "sujeito à vigilância dos serviços de inteligência dos EUA e pode ser ordenado a revelar-lhes dados de cidadãos europeus". Por conseguinte, os dados dos cidadãos europeus não podem ser transferidos através do Atlântico.
Decisão original do tribunal austríaco.
Tradução automática da decisão original.
Em 14 de Agosto de 2020, um utilizador do Google tinha acedido a um sítio web austríaco sobre questões de saúde. Este website utilizou o Google Analytics, e os dados sobre o utilizador foram transmitidos ao Google nos EUA. Com base nestes dados, o Google conseguiu deduzir quem ele ou ela era.
A 18 de Agosto de 2020, o utilizador do Google queixou-se à autoridade austríaca de protecção de dados com a ajuda da organização de protecção de dados NOYB.
Agora, o tribunal austríaco declarou esta transferência de dados do Google Analytics como ilegal na Europa.
A questão em questão é que, devido à lei americana CLOUD Act, as autoridades americanas podem exigir dados pessoais ao Google, Facebook e outros fornecedores americanos, mesmo quando operam fora dos EUA, por exemplo, na Europa.
Assim, a Google não pode fornecer um nível adequado de protecção ao abrigo do Artigo 44 GDPR - uma clara violação das garantias europeias de protecção de dados. As cláusulas contratuais-tipo invocadas pelo operador do website não ajudam, como reconhecido em 2020 pelo Tribunal de Justiça Europeu (TJE) na sua decisão sobre o "Privacy Shield" (Schrems II).
O factor decisivo para a avaliação legal da utilização do Google Analytics não é se uma agência de inteligência dos EUA obteve realmente os dados ou se o Google identificou realmente o utilizador. O simples facto de isto já ser teoricamente possível era uma violação do GDPR.
Os utilizadores do Google podem, no entanto, fazer um ajuste nas suas contas Google para impedir o Google de avaliar em pormenor a sua utilização de websites de terceiros. Mas que esta característica existe é a prova de que o Google é capaz de fundir os dados de utilização com o indivíduo.
Esta decisão é um dos maiores sucessos da organização de protecção de dados NOYB até à data. Consequentemente, a NOYB e Max Schrems estão muito satisfeitos com a decisão do tribunal austríaco:
"Esta é uma decisão muito detalhada e sólida. O resultado final é: As empresas já não podem utilizar os serviços de nuvem dos EUA na Europa. Já passaram 1,5 anos desde que o Tribunal de Justiça confirmou isto uma segunda vez, pelo que é mais do que tempo de a lei ser também aplicada".
Esta decisão é a primeira entre 101 processos da NOYB sem fins lucrativos da Schrems na maioria dos estados membros da União Europeia.
Espera-se agora que decisões semelhantes sobre a proibição do Google Analytics caiam na Alemanha, Holanda e outros estados membros da UE.
Tutanota - como um serviço de e-mail seguro que se concentra na privacidade dos utilizadores - nunca utilizou o Google Analytics.
Mas agora, muitas empresas na Europa devem perguntar-se se devem remover o Google Analytics dos seus websites ou arriscar-se a uma penalização por violar o GDPR.
A longo prazo, haverá duas opções: Ou os Estados Unidos alteram as suas leis de vigilância para reforçar as suas empresas tecnológicas, ou os fornecedores americanos terão de alojar dados de utilizadores europeus na Europa.
A Autoridade Holandesa para os Dados Pessoais (AP) - onde ainda estão pendentes duas decisões sobre a utilização do Google Analytics - actualizou agora a sua própria orientação sobre a "configuração do Google Analytics favorável à privacidade".
Com a actualização, a AP emitiu um aviso:
"Atenção: A utilização do Google Analytics poderá em breve deixar de ser permitida".
Embora as autoridades dinamarquesas e norueguesas de protecção de dados expliquem agora como o Google Analytics pode ser utilizado de uma forma legal na Europa, a solução apresentada não é viável devido à sua incrível complexidade.
Enquanto as empresas tecnológicas do Vale do Silício encontrarão uma forma de ainda oferecer os seus serviços na Europa - de uma forma ou de outra - a abordagem que adoptaram após a invalidação do Privacy Shield deve levantar várias bandeiras vermelhas às empresas europeias:
Como empresa europeia, já não é possível confiar dados sensíveis dos utilizadores a empresas como a Google que ignoram deliberadamente a legislação europeia sobre privacidade e arriscam pesadas multas para os seus clientes comerciais europeus.
As multas contra o website de saúde austríaco no caso discutido ainda não foram decididas, mas no pior dos casos, a multa é de 20 milhões de euros ou 4% das vendas anuais.
Como a privacidade está a tornar-se cada vez mais importante para os consumidores de todo o mundo, é um passo lógico para qualquer empresa europeia escolher serviços que se concentrem na protecção da privacidade dos seus utilizadores.
As alternativas europeias para o Google Analytics são Matomo, Piwik, Plausible ou Econda - para citar algumas.
Se pretende substituir outros serviços Google, consulte também o nosso guia para retomar a sua privacidade online com muitas alternativas Google.
Uma grande alternativa ao Gmail, por exemplo, é Tutanota, o fornecedor seguro de correio electrónico alemão que está em total conformidade com a GDPR. 😉