Por Que o Google Analytics Foi Declarado Ilegal Sob o GDPR
Por Que o Google Analytics Foi Declarado Ilegal Sob o GDPR
TL;DR — Resposta rápida
3 min de leituraA DPA da Áustria declarou o Google Analytics ilegal sob o GDPR devido a violações de transferência de dados UE-EUA, com 101 reclamações apresentadas em estados-membros da UE e decisões semelhantes esperadas em toda a Europa.
Em 13 de janeiro de 2022, a Autoridade Austríaca de Proteção de Dados decidiu que o uso contínuo do Google Analytics viola o GDPR. Esta decisão histórica foi o primeiro resultado das 101 reclamações modelo apresentadas pela noyb em 2020, iniciativa do advogado de privacidade Max Schrems. Decisões semelhantes são esperadas em toda a UE.
"Esperamos que decisões semelhantes sejam proferidas gradualmente na maioria dos estados-membros da UE. Apresentamos 101 reclamações em quase todos os Estados-Membros, e as autoridades coordenaram a resposta." - Max Schrems, Advogado de Privacidade da UE e Presidente Honorário, noyb
Esta decisão tem implicações que vão muito além da análise de sites. Ela se aplica amplamente às transferências de dados UE-EUA, o que significa que a maioria dos sites que atualmente processam dados pessoais da UE em infraestrutura de nuvem de propriedade de empresas dos EUA está tecnicamente violando o GDPR.
Sua Análise de Site Está Violando a Lei?
A maneira mais rápida de avaliar sua exposição é responder a estas perguntas:
- Seu provedor de analytics é uma empresa dos EUA?
- Seu provedor de analytics usa servidores web de propriedade de um provedor de nuvem dos EUA? (Nota: não importa se os servidores estão fisicamente localizados na UE. A empresa dos EUA que os possui continua sujeita à FISA 702 e à Ordem Executiva 12.333.)
Se a resposta a qualquer uma das perguntas for sim, sua análise de site pode estar em não conformidade.
A Anonimização de IP Resolve o Problema?
Infelizmente, não. A anonimização realizada pelo Google Analytics acontece no lado do cliente, no navegador. Mesmo que o IP seja anonimizado via JavaScript antes de ser enviado, o endereço IP real ainda é transmitido nos cabeçalhos da requisição HTTP. É tecnicamente impossível excluir um endereço IP real de uma requisição HTTP sem usar um serviço de proxy ou VPN.
Banners de Consentimento Resolvem Isso?
Os banners de consentimento foram projetados para cookies e mecanismos de rastreamento semelhantes. A decisão Schrems II aborda um problema diferente: a transferência de dados pessoais da UE para infraestrutura controlada por empresas dos EUA. Mesmo com consentimento total do usuário, a transferência em si pode ser ilegal porque as leis de vigilância dos EUA não oferecem proteção adequada para os dados dos cidadãos da UE.
Alguns argumentam que o consentimento explícito poderia servir como base legal, mas as autoridades de proteção de dados têm consistentemente mantido que o consentimento para vigilância governamental não é um consentimento significativo sob o GDPR.
Quais São os Riscos Reais?
Reclamações foram apresentadas em praticamente todos os estados-membros da UE. Multas sob o GDPR podem chegar a 4% do faturamento global anual ou 20 milhões de euros, o que for maior. Além das multas, as organizações enfrentam danos à reputação e a perturbação operacional de mudar de ferramenta de analytics sob pressão regulatória.
Quais São as Alternativas?
Proprietários de sites têm vários caminhos possíveis:
- Mudar para um provedor de analytics focado em privacidade que processe dados da UE exclusivamente em infraestrutura de propriedade de empresas da UE. Empresas sediadas em países com decisões de adequação do GDPR (como o Canadá) oferecem proteção legal adicional.
- Auto-hospedar analytics para manter controle completo sobre o processamento e armazenamento de dados.
- Parar de coletar analytics completamente, embora isso seja impraticável para a maioria dos negócios.
Os principais requisitos técnicos para conformidade incluem:
- Nenhuma transferência de dados pessoais da UE (endereços IP, strings de User-Agent) para servidores de propriedade de empresas dos EUA
- Processamento de dados ocorrendo exclusivamente em infraestrutura baseada na UE e de propriedade de empresas da UE
- Anonimização adequada realizada no lado do servidor antes que qualquer dado toque serviços fora da UE
O Quadro Geral
Esta decisão sinaliza uma mudança fundamental na forma como os sites devem abordar a coleta de dados. A era de instalar casualmente o Google Analytics e presumir conformidade acabou. Proprietários de sites agora devem avaliar ativamente se suas ferramentas de analytics criam responsabilidade legal, e muitos precisarão migrar para alternativas em conformidade.
O custo do analytics "gratuito" -- medido em potenciais multas, risco legal e violações de privacidade -- não é mais zero.
Este artigo foi útil?
Diga-nos o que pensa!
Antes de ir...
Artigos relacionados
CNIL da França Determina que Google Analytics Viola o GDPR
A autoridade francesa de proteção de dados CNIL determinou que o Google Analytics viola o GDPR, dando aos sites um mês para se adequarem. Veja o que você precisa saber.
Autoridades Europeias de Protecao de Dados e Suas Decisoes sobre o Google Analytics
Uma linha do tempo das decisoes das DPAs europeias que consideraram o Google Analytics em violacao ao GDPR, as questoes juridicas por tras delas e o que os proprietarios de sites devem fazer em resposta.
Google Analytics Declarado Ilegal na Europa: O Que Proprietários de Sites Precisam Saber
Autoridades de proteção de dados da Áustria, França, Dinamarca e Holanda declararam que o Google Analytics viola o GDPR. Saiba o que isso significa para operadores de sites e quais alternativas existem.