Autoridade Francesa de Privacidade Confirma: Não Há Forma Legal de Usar o Google Analytics Sob o GDPR
Autoridade Francesa de Privacidade Confirma: Não Há Forma Legal de Usar o Google Analytics Sob o GDPR
TL;DR — Resposta rápida
1 min de leituraA CNIL confirmou que não existem circunstâncias sob as quais o Google Analytics pode ser usado em conformidade com o GDPR, rejeitando anonimização, criptografia e todas as outras soluções propostas.
A autoridade francesa de proteção de dados (CNIL) declarou explicitamente durante uma sessão de perguntas e respostas que o uso do Google Analytics continua violando o GDPR. Mais significativamente, a autoridade confirmou que não existem circunstâncias sob as quais esse uso se torna compatível.
Contexto: O Impacto do Schrems II
A decisão Schrems II invalidou o EU-US Privacy Shield, o mecanismo que facilitava as transferências de dados transatlânticas. Sob a lei da UE, transferências de dados para fora da UE exigem salvaguardas adequadas. Como a lei dos EUA pode obrigar provedores de serviços de comunicação eletrônica a divulgar dados a agências de inteligência, o framework existente foi considerado inadequado. Múltiplas autoridades europeias de privacidade subsequentemente determinaram que o uso de serviços de analytics baseados nos EUA viola o GDPR.
A Posição da CNIL
A CNIL confirmou que o acordo político anunciado entre a UE e os EUA não tem mérito legal e não pode ser utilizado como mecanismo de conformidade. A autoridade esperava que a finalização de qualquer framework legal levasse um tempo considerável, seguida de inevitáveis contestações jurídicas.
A CNIL emitiu notificações formais às organizações e deu-lhes um mês para se adequarem. A autoridade rejeitou especificamente todas as soluções técnicas propostas pelo provedor de analytics:
Anonimização de dados: Rejeitada porque o provedor não conseguiu demonstrar que a anonimização ocorria antes da transferência de dados para os EUA.
Identificadores únicos: Rejeitados porque os identificadores poderiam ser combinados com outros dados para reidentificar usuários.
Criptografia de dados: Rejeitada porque o provedor retém as chaves de criptografia, mantendo a capacidade de acessar dados pessoais.
Rastreamento de endereço IP: A autoridade observou que serviços que permitem cruzamento de endereços IP possibilitam rastrear o histórico de navegação dos usuários.
Implicações
A decisão se aplica a todas as versões e configurações da plataforma de analytics, incluindo a versão mais recente. Com a CNIL declarando inequivocamente que nenhuma configuração compatível existe, a fiscalização se torna direta. As organizações enfrentam uma escolha clara: migrar para alternativas compatíveis ou aceitar o risco de ação regulatória.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Artigos relacionados
Franca Declara Google Analytics Ilegal Sob o GDPR: O Que a Decisao da CNIL Significa
A CNIL francesa determinou que o Google Analytics viola o GDPR devido a transferencias nao autorizadas de dados para os EUA, notificando formalmente as organizacoes para mudarem para alternativas em conformidade.
Google Analytics Enfrenta Desafios Legais Crescentes na Alemanha
Autoridades alemas de protecao de dados e licitacoes levantam preocupacoes crescentes sobre o Google Analytics, juntando-se ao padrao mais amplo de fiscalizacao europeia contra ferramentas de analytics baseadas nos EUA.
Autoridade Francesa de Proteção de Dados CNIL Intensifica Ações de Fiscalização
A CNIL aumentou significativamente a atividade de fiscalização em violações de cookies, transferências de dados e direitos de titulares de dados, sinalizando o fim do período de tolerância do GDPR.