O Google Analytics é ilegal na UE?

No início de 2022, os cães de guarda da privacidade austríacos e franceses declararam que a utilização do Google Analytics é ilegal para as empresas europeias devido a violações da privacidade. Agora, as autoridades norueguesas e dinamarquesas de protecção de dadosexplicaram como as empresas podem continuar a utilizar o Google Analytics de uma forma legal.

A Autoridade Norueguesa de Protecção de Dados explica:

“Desde as decisões dos nossos colegas europeus, analisámos mais de perto a ferramenta e as definições específicas que pode utilizar se quiser utilizar o Google Analytics. Tem sido particularmente relevante desde que, na sequência da primeira decisão da Áustria, o Google começou a disponibilizar definições adicionais em relação às informações que podem ser recolhidas através da ferramenta. Contudo, a conclusão continua a ser que a ferramenta não pode ser utilizada legalmente”.

Então, o Google Analytics é ilegal na Europa?

Sim, e não. É ilegal para as empresas europeias utilizar o Google Analytics “tal como está”. Aplicando medidas técnicas como a pseudonímia, é ainda possível utilizar o Google Analytics em conformidade com o GDPR.

Como utilizar o GA em conformidade com o GDPR?

Uma possível medida técnica que deve ser tomada em consideração ao utilizar o Google Analytics é a pseudonimização. É exigido pela GDPR europeia que o Google não possa descobrir de quem são os dados que estão a ver. Isto inclui os endereços IP das pessoas, mas também outras informações que permitam tirar conclusões sobre a identidade de uma pessoa.

Para limpar os dados antes de os enviar para o Google, as empresas europeias devem, portanto, enviá-los através de uma procuração inversa.

Aqui está uma instrução detalhada da CNIL francesa sobre como enviar os seus dados analíticos para o Google através de um proxy.

No entanto, isto é mais fácil de dizer do que de fazer. A solução descrita pela CNIL - Commission Nationale de l’Informatique et des Libertés - é uma confusão técnica complicada.

A ideia é que em vez de enviar todo o tráfego do Google Analytics directamente para os servidores da Google, as empresas poderiam passá-lo através de um servidor que controlam e que está localizado na UE.

Para se tornarem compatíveis com os requisitos de privacidade da GDPR, as empresas da UE devem também eliminar os dados a partir de qualquer informação pessoalmente identificável.

Notavelmente, a recomendação da CNIL também declara que é necessário esfregar todos os parâmetros de consulta UTM, também conhecidos como identificadores de campanha. Este requisito torna a utilização do Google Analytics inútil. Porque é que uma empresa utilizaria o Google Analytics se não pode utilizar os dados para descobrir qual a campanha publicitária que está a correr bem e qual a que não está?

Felizmente, existem muitas alternativas do Google Analytics baseadas aqui na Europa, por exemplo Matomo, Piwik, Plausible ou Econda.

Decisões austríacas e francesas

Após o acórdão austríaco emitido em Fevereiro de 2022, o cão de guarda da privacidade francês, o CNIL, declarou também que o Google Analytics viola o GDPR e deve, portanto, ser banido. A CNIL publicou uma declaração:

“A CNIL, em cooperação com os seus homólogos europeus, analisou as condições nas quais os dados recolhidos através deste serviço [Google Analytics] são transferidos para os Estados Unidos. A CNIL considera que estas transferências são ilegais e ordena a um gestor de sítio web francês que cumpra com a GDPR e, se necessário, deixe de utilizar este serviço nas condições actuais”.

Anulação do Privacy Shield

Quando a legislação do Privacy Shield foi invalidada em 2020, isto teve consequências de grande alcance para os serviços em linha dos EUA que operam na Europa: Já não lhes era permitido transferir dados de cidadãos europeus para os EUA, pois isso tornaria os dados de cidadãos europeus vulneráveis à vigilância em massa americana - uma clara violação do PIBR europeu.

No entanto, a indústria tecnológica do Vale do Silício ignorou largamente a decisão. Isto levou agora à decisão de que o Google Analytics é proibido na Europa. diz NOYB:

“Embora isto (=invalidação do Privacy Shield) tenha enviado ondas de choque através da indústria tecnológica, os fornecedores americanos e os exportadores de dados da UE ignoraram largamente o caso. Tal como a Microsoft, Facebook ou Amazon, a Google tem confiado nas chamadas “Cláusulas Contratuais Padrão” para continuar as transferências de dados e acalmar os seus parceiros comerciais europeus”.

Agora, a Autoridade Austríaca de Protecção de Dados toca o mesmo acorde que o tribunal europeu ao declarar o Privacy Shield como inválido: Decidiu que a utilização do Google Analytics é ilegal por violar o Regulamento Geral de Protecção de Dados (GDPR). O Google está “sujeito à vigilância dos serviços de inteligência dos EUA e pode ser ordenado a revelar-lhes dados de cidadãos europeus”. Por conseguinte, os dados dos cidadãos europeus não podem ser transferidos através do Atlântico.

Decisão original do tribunal austríaco.

Tradução automática da decisão original.

Sobre o que foi o processo judicial?

Em 14 de Agosto de 2020, um utilizador do Google tinha acedido a um sítio web austríaco sobre questões de saúde. Este website utilizou o Google Analytics, e os dados sobre o utilizador foram transmitidos ao Google nos EUA. Com base nestes dados, o Google conseguiu deduzir quem ele ou ela era.

A 18 de Agosto de 2020, o utilizador do Google queixou-se à autoridade austríaca de protecção de dados com a ajuda da organização de protecção de dados NOYB.

Agora, o tribunal austríaco declarou esta transferência de dados do Google Analytics como ilegal na Europa.

Dados não adequadamente protegidos

A questão em questão é que, devido à lei americana CLOUD Act, as autoridades americanas podem exigir dados pessoais ao Google, Facebook e outros fornecedores americanos, mesmo quando operam fora dos EUA, por exemplo, na Europa.

Assim, a Google não pode fornecer um nível adequado de protecção ao abrigo do Artigo 44 GDPR - uma clara violação das garantias europeias de protecção de dados. As cláusulas contratuais-tipo invocadas pelo operador do website não ajudam, como reconhecido em 2020 pelo Tribunal de Justiça Europeu (TJE) na sua decisão sobre o “Privacy Shield” (Schrems II).

Não é necessária qualquer prova de abuso de dados

O factor decisivo para a avaliação legal da utilização do Google Analytics não é se uma agência de inteligência dos EUA obteve realmente os dados ou se o Google identificou realmente o utilizador. O simples facto de isto já ser teoricamente possível era uma violação do GDPR.

Os utilizadores do Google podem, no entanto, fazer um ajuste nas suas contas Google para impedir o Google de avaliar em pormenor a sua utilização de websites de terceiros. Mas que esta característica existe é a prova de que o Google é capaz de fundir os dados de utilização com o indivíduo.

O maior sucesso da NOYB

Esta decisão é um dos maiores sucessos da organização de protecção de dados NOYB até à data. Consequentemente, a NOYB e Max Schrems estão muito satisfeitos com a decisão do tribunal austríaco:

“Esta é uma decisão muito detalhada e sólida. O resultado final é: As empresas já não podem utilizar os serviços de nuvem dos EUA na Europa. Já passaram 1,5 anos desde que o Tribunal de Justiça confirmou isto uma segunda vez, pelo que é mais do que tempo de a lei ser também aplicada”.

Esta decisão é a primeira entre 101 processos da NOYB sem fins lucrativos da Schrems na maioria dos estados membros da União Europeia.

Espera-se agora que decisões semelhantes sobre a proibição do Google Analytics caiam na Alemanha, Holanda e outros estados membros da UE.

Remover o Google Analytics?

Tutanota - como um serviço de e-mail seguro que se concentra na privacidade dos utilizadores - nunca utilizou o Google Analytics.

Mas agora, muitas empresas na Europa devem perguntar-se se devem remover o Google Analytics dos seus websites ou arriscar-se a uma penalização por violar o GDPR.

A longo prazo, haverá duas opções: Ou os Estados Unidos alteram as suas leis de vigilância para reforçar as suas empresas tecnológicas, ou os fornecedores americanos terão de alojar dados de utilizadores europeus na Europa.

A Autoridade Holandesa para os Dados Pessoais (AP) - onde ainda estão pendentes duas decisões sobre a utilização do Google Analytics - actualizou agora a sua própria orientação sobre a “configuração do Google Analytics favorável à privacidade”.

Com a actualização, a AP emitiu um aviso:

“Atenção: A utilização do Google Analytics poderá em breve deixar de ser permitida”.

Embora as autoridades dinamarquesas e norueguesas de protecção de dados expliquem agora como o Google Analytics pode ser utilizado de uma forma legal na Europa, a solução apresentada não é viável devido à sua incrível complexidade.

Conclusão

Enquanto as empresas tecnológicas do Vale do Silício encontrarão uma forma de ainda oferecer os seus serviços na Europa - de uma forma ou de outra - a abordagem que adoptaram após a invalidação do Privacy Shield deve levantar várias bandeiras vermelhas às empresas europeias:

Como empresa europeia, já não é possível confiar dados sensíveis dos utilizadores a empresas como a Google que ignoram deliberadamente a legislação europeia sobre privacidade e arriscam pesadas multas para os seus clientes comerciais europeus.

As multas contra o website de saúde austríaco no caso discutido ainda não foram decididas, mas no pior dos casos, a multa é de 20 milhões de euros ou 4% das vendas anuais.

Como a privacidade está a tornar-se cada vez mais importante para os consumidores de todo o mundo, é um passo lógico para qualquer empresa europeia escolher serviços que se concentrem na protecção da privacidade dos seus utilizadores.

As alternativas europeias para o Google Analytics são Matomo, Piwik, Plausible ou Econda - para citar algumas.

Se pretende substituir outros serviços Google, consulte também o nosso guia para retomar a sua privacidade online com muitas alternativas Google.

Uma grande alternativa ao Gmail, por exemplo, é Tutanota, o fornecedor seguro de correio electrónico alemão que está em total conformidade com a GDPR. 😉