Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

O Google Analytics é ilegal na Europa? O que você precisa saber

📢 Atualização importante: estabelecido acordo para a implementação da Estrutura de Privacidade de Dados UE-EUA! 🌍🤝

À luz desse acontecimento significativo, atualizamos nossa cobertura para refletir as informações mais recentes. Para se manter atualizado sobre o novo acordo para implementação da Estrutura de Privacidade de Dados UE-EUA e suas implicações, convidamos você a ler nosso artigo mais recente sobre o assunto.

🔍 Descubra as últimas notícias: A transferências de dados pessoais da UE para os EUA agora está aprovada

Agradecemos por seu apoio contínuo e confiança em nossa cobertura de importantes questões globais!

Autoridades de privacidade: O Google Analytics viola a proteção de dados por falta de proteção para transferências de dados

🎯 Última atualização sobre o uso do Google Analytics na Europa

O uso do Google Analytics na Europa está em risco por causa de processos judiciais europeus recentes.

→ Várias autoridades de proteção de dados europeias descobriram que o processamento de dados de usuários europeus pelo Google Analytics pode resultar na transferência ilegal de dados para fora da Europa.

As ações em torno do Google Analytics são o resultado do Privacy Shield que foi derrubado porque foi descoberto que os padrões de privacidade dos EUA não correspondiam aos da estrutura europeia. Uma grande preocupação é que o governo possa acessar dados europeus mantidos por empresas americanas, mesmo que armazenados na Europa. Detalhes completos aqui →

🗣 Chegou o dia que o setor esperava – uma nova estrutura de privacidade está por vir. Desde que o privacy shield foi derrubado, não havia nenhuma estrutura formal em vigor. Em um esforço para resolver o problema contínuo de transferências legais de dados entre os EUA e a UE, o presidente Biden assinou uma Ordem Executiva sobre o aprimoramento das salvaguardas para as atividades de inteligência de sinais dos Estados Unidos para cumprir as obrigações da UE-EUA. Estrutura de Privacidade de Dados

Uma ordem executiva é uma diretiva do presidente dos Estados Unidos que é assinada e tornada pública e controla como o governo federal opera. Esta ordem executiva pode ser apenas a solução que a indústria estava esperando, aqui está o porquê:

Ao enfatizar uma série de elementos estruturais cruciais, a Ordem Executiva visa abordar as preocupações, ao mesmo tempo em que fortalece um conjunto estrito de direitos civis e proteções de privacidade para as atividades de inteligência de sinais americanas. Para mais informações, leia nosso arquivo completo aqui.

A Comissão Europeia poderá emitir uma “decisão de adequação” que pode permitir transferências de dados entre os países da UE e os EUA mais uma vez. Pode levar até seis meses para tomar uma decisão, mas é seguro dizer que estamos chegando à linha de chegada, pode levar meses até que a transferência de dados para empresas dos EUA não acarrete o risco de transferência ilegal de dados para fora da Europa

Onde é que isso nos leva?

Atualmente, as Autoridades Europeias de Proteção de Dados (APDs) têm emitido ordens para parar de usar o Google Analytics – embora sem emitir multas. 

Embora o Google tenha tentado anteriormente abordar alguns dos principais pontos de preocupação com o Google Analytics 4, essas medidas ainda parecem ser consideradas insuficientes pelas autoridades. 

Devido a essa conversa sobre o uso do Google Analytics, o Google lançou o Google Analytics 4 em uma tentativa de resolver algumas das preocupações.

  • Google Analytics 4 usa IPs inicialmente para decidir onde armazenar os outros dados pessoais dos usuários (o servidor ou centro de dados depende do IP do usuário). Em seguida, elimina completamente os endereços IP na tentativa de acabar com o problema de transferência de dados europeus para os Estados Unidos.
  • O Google Analytics 4 também oferecerá controles em nível de país e opções de personalização para permitir que você minimize a coleta de dados específicos do usuário.

Veja como alternar e configurar o Google Analytics 4 →

Até agora, nenhuma sanção econômica foi emitida pelas APDs europeias pelo uso do Google Analytics.

Se você já mudou para o GA4, ainda pode ser uma jogada inteligente, pois o GA4 reduz significativamente o processamento de dados. Como o novo acordo de privacidade pode demorar para ficar pronto, muitas empresas podem decidir arriscar, já que nenhuma multa foi emitida.

Da APD Dinamarquesa:

Para o Google Analytics 4, é evidente na documentação do Google que endereços de IP são usados para determinar a localização aproximada do visitante, após o que o endereço é descartado antes que os dados sejam registrados em um servidor. Assim como no Universal Analytics, o mesmo problema também é relevante para o Google Analytics 4, pois – dependendo da localização do titular dos dados – pode haver uma conexão direta com servidores americanos antes que o endereço seja descartado.

Se você quiser acompanhar essa evolução da jurisprudência e acompanhar o desenrolar das decisões mais recentes, leia nosso detalhamento por país aqui

Compreensivelmente, você pode ficar se sentindo um pouco inseguro sobre o que fazer. Organizações como o NOYB e outros grupos estão tentando defender os direitos de privacidade – tendo como preocupação principal a possibilidade de acesso do governo a dados europeus mantidos por empresas americanas, mesmo quando armazenados na Europa.

📌 Então, o que você deve fazer agora?

O Google Analytics tem sido alvo de pedidos recentes da APD, mas, atualmente, qualquer serviço fornecido por uma parte dos EUA, mesmo que a hospedagem seja na UE, pode ser comprometido. Portanto, cada controlador deve avaliar se deve parar de usar todos ou alguns de seus serviços nos EUA entre hoje e o momento em que um novo acordo estará em vigor. 

Como a maioria das coisas relacionadas à privacidade, podemos esperar que tal acordo seja contestado, então o processo pode continuar difícil por algum tempo. Enquanto isso, você pode fazer algumas coisas ainda hoje para se tranquilizar. 

💡 Uma opção é ofuscar os dados pessoais por meio de um servidor proxy  para que os dados não cheguem à empresa norte-americana. Selecionamos algumas soluções que fazem isso. 

  1. Jentis
  2. Stape Europe 

👉 Na iubenda, você pode ter certeza de que, usando nossos serviços no seu site/app, os dados dos usuários da UE não são compartilhados com empresas dos EUA ou, quando o são, são criptografados antes de serem enviados.

🚀
Procurando uma alternativa compatível com GDPR para o Google Analytics?

Dado que este cenário ainda está presente, algumas pessoas já estão pensando em alternativas ao Google Analytics com foco em privacidade ou com sede na Europa.

Saiba mais: 7 alternativas ao Google Analytics

Perguntas frequentes

As autoridades de proteção de dados descobriram que o sistema jurídico dos EUA não garante os mesmos padrões de proteção da UE. A situação decorre de um conjunto de leis dos EUA que permitem que organizações governamentais solicitem acesso aos dados pessoais dos consumidores de serviços baseados nos EUA, independentemente de onde os data centers ou servidores estejam localizados.

Diante disso, a NOYB apresentou 101 reclamações a APDs europeias para descobrir que a transferência de dados de usuários europeus para os EUA era ilegal. As decisões, que constataram a ilegitimidade das transferências, centram-se na análise de medidas técnicas, contratuais e organizativas complementares.

O uso de uma chave de criptografia pela empresa em questão foi considerado insuficiente, pois a chave pertencia à Google LLC. Disso decorre que, enquanto a chave de encriptação permanecer acessível ao importador (neste caso, Google Analytics), as medidas tomadas não podem ser consideradas adequadas.

Além disso, as medidas contratuais e organizacionais não são avaliadas porque as outras são sempre consideradas insuficientes na falta de medidas técnicas.

Até agora, as autoridades apenas disseram que são necessárias medidas técnicas de segurança adicionais se você continuar usando o Google Analytics.

Com base nas decisões proferidas até agora, podemos supor que as possíveis consequências legais são as seguintes:

  1. Recebendo uma ordem para identificar medidas técnicas adicionais no prazo de 60 (CNIL) ou 90 dias (Garante).
  2. Receber uma ordem para interromper o serviço e substituí-lo por outro.

Observe que, até o momento, nenhuma sanção econômica está sendo emitida pelo uso do Google Analytics.

  • Últimas atualizações

Veja também