Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

O Google Analytics é ilegal na UE e no Reino Unido?

📢 Atualização importante: estabelecido acordo para a implementação da Estrutura de Privacidade de Dados UE-EUA! 🌍🤝

À luz desse acontecimento significativo, atualizamos nossa cobertura para refletir as informações mais recentes. Para se manter atualizado sobre o novo acordo para implementação da Estrutura de Privacidade de Dados UE-EUA e suas implicações, convidamos você a ler nosso artigo mais recente sobre o assunto.

🔍 Descubra as últimas notícias: A transferências de dados pessoais da UE para os EUA agora está aprovada

Agradecemos por seu apoio contínuo e confiança em nossa cobertura de importantes questões globais!

Você já deve ter ouvido falar que o Google Analytics é ilegal na Europa ou viola o GDPR. Como a maioria das coisas relacionadas à privacidade, nem sempre é tão simples. Escrevemos este post para explicar melhor do que se trata toda a conversa, o que pode significar até agora e como isso pode afetar você se você usar o Google Analytics na Europa.

Você tem sede no Reino Unido? Então este post também é relevante pra você, as regras do GDPR ainda são aplicáveis no Reino Unido sob o “UK GDPR.”

Em Resumo

👉 O que aconteceu: algumas das autoridades europeias de proteção de dados descobriram que o processamento de dados de usuários europeus pelo Google Analytics pode resultar na transferência ilegal de dados para fora da Europa. As autoridades consideraram as medidas de conformidade do Google Analytics insuficientes como resultado das investigações realizadas em relação ao uso do Google Analytics 3. Aqui está o porquê →

👉 Resposta do Google: Em resultado desta conversa sobre o uso do Google Analytics, O Google lançou o Google Analytics 4 na tentativa de resolver algumas das preocupações.

👉 Você precisa parar de usar o Google Analytics completamente? Ainda não há uma resposta direta, pois este é um caso em desenvolvimento. Algumas das autoridades, como a Garante Italiana, declarou que se você optar por continuar usando o Google Analytics, medidas de segurança adicionais devem ser tomadas. O Google Analytics 4 tenta abordar as principais preocupações, mas lembre-se de que, como as investigações da APD foram baseadas no Google Analytics 3, ainda não há como saber definitivamente se as Autoridades considerarão o uso do GA4 suficiente. Mais informações sobre o que você pode fazer aqui → 

Qual é a fundamentação legal por trás da decisão do Google Analytics?

Para entender as decisões mais recentes que impactaram o Google Analytics 3, precisamos olhar para o veredicto de Schrems II publicado pelo Tribunal de Justiça da União Europeia em julho de 2020.

Schrems II declarou o “Privacy Shield” inválido. A estrutura do Privacy Shield permitiu e validou transferências entre os EUA e a UE. Como a estrutura foi declarada inválida, qualquer transferência de dados entre a UE e os EUA é proibida, a menos que os participantes, como controladores ou processadores de dados, tome medidas adicionais para atender aos padrões europeus de adequação (para a proteção dos dados).

Você pode estar se perguntando porque as transferências de dados UE-EUA são proibidas, a menos que sejam tomadas precauções extras? A razão para isso depende do CLOUD ACT, que exige que empresas sediadas nos EUA, como o Google Analytics, transmitam dados em sua posse, custódia ou controle para agências governamentais dos EUA, independentemente de os dados serem armazenados dentro ou fora dos EUA.

As autoridades de proteção de dados (APDs) francesas, austríacas, dinamarquesas e italianas descobriram que o processamento de dados de usuários europeus pelo Google Analytics pode resultar na transferência ilegal de dados para fora da Europa. As APDs europeias mencionadas realizaram essas investigações em colaboração e em resposta a várias reclamações.

Como resultado, as autoridades consideraram as medidas de conformidade do Google Analytics 3 insuficientes.

Dados de cada país

Acompanhe o caso em evolução e veja as decisões mais recentes se desenrolarem abaixo:

Continuaremos atualizando este post à medida que a situação se desenvolve. Ultima atualização: 27 de Junho de 2022

Em 23 de junho de 2022, a APD italiana (Garante) concordou com as APDs francesa, austríaca e dinamarquesa, divulgando uma decisão ordenando que a organização envolvida no procedimento verifique se o uso de cookies e outras ferramentas de rastreamento estão em conformidade com os regulamentos de proteção de dados, com atenção especial ao Google Analytics 3 e serviços semelhantes.

Sites que usam o Google Analytics 3, *sem as garantias fornecidas pelo Regulamento da UE*, violam a lei de proteção de dados, pois os dados do usuário são transferidos para os Estados Unidos, um país sem um nível adequado de proteção.

Pontos Principais

👉 A Garante tomou esta decisão após a conclusão de uma investigação aprofundada.

👉 A investigação revelou que as organizações que usam o Google Analytics 3 coletam dados, por meio de cookies, sobre como os usuários interagem com esses sites, incluindo as páginas específicas visitadas e os serviços usados.

👉 O endereço de IP do dispositivo do usuário, detalhes sobre o navegador, sistema operacional, resolução da tela, idioma selecionado e a data e hora dos visitantes do site estão entre os vários dados coletados. Foi enfatizado na decisão da Garantia que endereço de IP são dados pessoais e que, mesmo que sejam abreviados, o Google ainda poderá lê-los com outros dados e recursos que possui. É por isso que o processamento foi declarado ilegal.

A APD francesa (CNIL) divulgou uma decisão em 10 de fevereiro de 2022 ordenando que um gerente de site francês cumpra o Regulamento Geral de Proteção de Dados (GDPR) e descontinue o uso do Google Analytics 3.

A CNIL publicou recentemente perguntas frequentes sobre o tópico. A CNIL disponibilizou este documento no seu site para esclarecer dúvidas sobre a decisão tomada no dia 10 de Fevereiro. No entanto, não acrescentaram nada de novo ao que já foi anunciado na decisão das Autoridades.

Pontos Principais

No que diz respeito às perguntas frequentes, não há alterações específicas ao que a Autoridade já declarou na sua decisão de 10.2.2022. Entretanto, os argumentos foram relatados de forma mais esquemática:

👉 as medidas adicionais implementadas pelo Google Analytics 3 não são suficientes para impedir o acesso de agências governamentais dos EUA sob o CLOUD Act;

👉 o operador do site tem um mês para descontinuar o serviço e optar por outro serviço compatível;

👉 pode ser considerado um método de proxy, que permite, quando devidamente configurado, enviar apenas dados pseudonimizados para um servidor localizado fora da UE.

A APD Austríaca (DSB) publicou uma decisão em 22 de abril de 2022 na qual encontrou um operador de site da UE não identificado em violação ao artigo 44 do GDPR.

Pontos Principais

👉 A DSB explicou que, ao usar o Google Analytics 3, o operador do site deu ao Google LLC acesso a informações do navegador, endereços de IP e números de identificação exclusivos do usuário.

👉 Embora o operador do site tenha reconhecido que as Cláusulas Contratuais Padrão (SCCs) foram alcançadas com a Google LLC, a DSB determinou que essas SCCs não ofereciam um nível aceitável de proteção de acordo com o Artigo 44 do GDPR.

👉 A DSB determinou que o Capítulo V do GDPR não poderia ser implementado ao usar o Google Analytics 3. O operador do site havia parado de usar a ferramenta antes do término do procedimento de reclamação, portanto, não era necessário usar seus poderes de execução neste caso.

Em um comunicado de imprensa da APD dinamarquesa (datatilsynet), a autoridade disse,

Se você usa o Google Analytics, você precisa ter um plano para colocar o uso dele (Google Analytics) em conformidade, implementando medidas suplementares.

Eles mencionam o uso da pseudonimização como uma possível medida técnica que pode ser relevante ao usar o Google Analytics. O Datatilsynet também aponta para as orientações criadas pela Autoridade de Proteção de Dados Francesa para organizações que desejam estabelecer pseudonimização eficaz por meio de um proxy reverso.

Pontos Principais

👉 Com base na sentença austríaca, bem como em outras decisões esperadas sobre o uso do Google Analytics, a Agência Dinamarquesa de Proteção de Dados planeja preparar um texto resumido indicativo.

👉O Datatilsynet enfatizou a necessidade de as autoridades compartilharem um entendimento comum sobre a decisão porque envolve um conjunto de regras europeias compartilhadas.

Qual é a diferença do Google Analytics 4?

Em resultado desta conversa sobre o uso do Google Analytics, o Google lançou o Google Analytics 4 na tentativa de resolver algumas das preocupações.

  • O Google Analytics 4 usa IPs inicialmente para decidir onde armazenar outros dados pessoais dos usuários (o servidor ou data center depende do IP do usuário). Em seguida, elimina completamente os endereços de IP na tentativa de amenizar o problema de transferência de dados europeus para os Estados Unidos.
  • O Google Analytics 4 também oferecerá controles no nível do país e opções de personalização para permitir que você minimize a coleta de dados específicos do usuário.

Para informações mais detalhadas sobre o Google Analytics 4, leia aqui (conteúdo em inglês).

Quais medidas eu preciso tomar?

Como ainda é difícil mensurar o impacto da decisão no Google Analytics, cabe a cada empresa decidir qual ação tomar.
Como o principal problema em questão é a transferência de dados europeus para os EUA e os riscos potenciais envolvidos, em geral, pode ser uma boa ideia:

  • mudar para uma empresa de Analytics não sediada nos EUA, ou
  • se você optar por continuar usando o Google Analytics, deverá atualizar para o Google Analytics 4* e implementar medidas adicionais utilizando as configurações disponíveis.

*No entanto, tenha em mente que, como as investigações da APD foram baseadas no Google Analytics 3, ainda não há como saber definitivamente se as autoridades considerarão o uso do GA4 suficiente.

Se você optar por continuar usando o Google Analytics, veja algumas coisas que você pode fazer para se aproximar da conformidade:

  1. Você pode limitar a coleta de dados usando os amplos controles de privacidade do Google, que vão desde restringir a publicidade recursos para desativar totalmente a coleta de dados. 
  2. Uma avaliação interna do Google Analytics pode ser usada para determinar se algumas ou todas as métricas são apropriadas para sua empresa. O Google Analytics 4 agora oferece a opção de: desative a coleta de dados do Google Signalscom base na área geográfica e desative a coleta de dados granulares no local.
  3. De acordo com a CNIL perguntas frequentes sobre este tópico, vale a pena mencionar os servidores proxy. Usar um servidor proxy para evitar o contato direto entre o computador do usuário e o Google Analytics pode ser possível.

FAQs (perguntas frequentes)

As Autoridades de Proteção de Dados descobriram que as transferências de dados para os EUA não têm os mesmos padrões de proteção que na UE.

A situação decorre de um conjunto de leis dos EUA que permitem que organizações governamentais solicitem acesso aos dados pessoais dos consumidores de serviços baseados nos EUA, independentemente de onde os data centers ou servidores estejam localizados.

Diante disso, a NOYB apresentou 101 reclamações junto as APDs europeias para descobrir que a transferência de dados de usuários europeus para os EUA era ilegal. As decisões, que constataram a ilegitimidade das transferências, centram-se na análise de medidas adicionais técnicas, contratuais e organizativas.

O uso de uma chave de criptografia pela empresa em questão foi considerado insuficiente, pois a chave era de propriedade do Google LLC. Daqui resulta que enquanto a chave de encriptação permanecer acessível ao importador (neste caso, Google Analytics), as medidas tomadas não podem ser consideradas adequadas.

Além disso, as medidas contratuais e organizacionais não são avaliadas porque as demais são sempre consideradas insuficientes se faltarem medidas técnicas.

Com base nas decisões proferidas até agora, podemos supor que as possíveis consequências jurídicas são as seguintes:

  1. Receber um pedido para identificar medidas técnicas adicionais no prazo de 60 (CNIL) ou 90 dias (Garante).
  2. Receber um pedido para descontinuar o serviço e substituí-lo por outro.

Observe que, até o momento, nenhuma sanção econômica está sendo emitida para o uso do Google Analytics.

*Como sempre, estamos acompanhando este caso em evolução e manteremos este post atualizada com os desenvolvimentos mais recentes. Marque este post como favorito para não perder nenhuma atualização!