Um guia prático de Google Analytics e GA4 GDPR são compatíveis

Este guia explica Google Analytics e GA4 GDPR são compatíveis na prática, com foco em decisões de analytics que respeitam a privacidade.

A resposta honesta é: GA4 pode ser configurado de maneiras mais preocupadas com a privacidade do que as configurações Universal Analytics mais antigas, mas uma implantação GA4 padrão não é automaticamente compatível com GDPR. A conformidade depende da configuração, do consentimento, do mecanismo de transferência, das finalidades, dos contratos, das configurações regionais e dos dados que você envia.

Este não é um aconselhamento jurídico, mas é uma forma prática de analisar o risco.

Por que a pergunta existe

A aplicação europeia do Google Analytics surgiu do Schrems II, a decisão do TJUE de 2020 que invalidou o Escudo de Privacidade EU-US e exigiu que os exportadores usassem cláusulas contratuais padrão para avaliar se a lei do país de destino fornece proteção essencialmente equivalente (Caso C-311/18 do TJEU). Após essa decisão, noyb apresentou 101 reclamações contra sites que usam Google Analytics ou Facebook Connect.

Várias autoridades desafiaram implementações específicas do Google Analytics. A Garante italiana descobriu que um site usando Google Analytics transferiu dados do usuário para o US sem salvaguardas adequadas e enfatizou que os endereços IP são dados pessoais no contexto (Garante). Posteriormente, o IMY da Suécia ordenou que as empresas parassem de usar a versão auditada do Google Analytics e emitiu multas em dois casos (IMY).

O que GA4 melhorou

GA4 alterou partes do produto. É baseado em eventos, inclui controles de retenção de dados mais granulares e oferece recursos relacionados ao consentimento. O Google também documenta eventos-chave modelados para casos em que as conversões não podem ser observadas diretamente devido a limites de privacidade, técnicos ou entre dispositivos (eventos-chave modelados GA4).

Essas melhorias são importantes. Eles podem reduzir alguns riscos de coleta e publicidade quando usados adequadamente. Mas eles não eliminam a necessidade de uma análise GDPR.

As principais questões de conformidade

Um controlador usando GA4 deve ser capaz de responder pelo menos estas perguntas:

• Que base jurídica se aplica ao processamento analítico?
• O consentimento é necessário de acordo com as regras locais ePrivacy porque são usados cookies ou armazenamento do dispositivo?
• Google Signals, personalização de anúncios, remarketing ou configurações granulares de localização/dispositivo estão ativadas?
• Os URLs completos são enviados e podem conter dados pessoais?
• Algum ID de usuário ou identificador de cliente é enviado ao Google?
• Qual período de retenção está configurado?
• Qual entidade do Google processa os dados e onde?
• Qual mecanismo de transferência se aplica se os dados saírem do EEA?
• A organização está contando com a estrutura de privacidade de dados EU-US, SCCs ou outro mecanismo?
• O aviso de privacidade explica claramente o processamento?

Se uma equipe não puder responder a essas perguntas, ela não deverá alegar que GA4 é compatível.

A estrutura de privacidade de dados EU-US mudou o cenário

A Comissão Europeia adotou uma decisão de adequação para a Estrutura de Privacidade de Dados EU-US em 10 de julho de 2023 (Comissão Europeia). Isso dá às organizações certificadas US uma nova base para transferências EU-US. É um desenvolvimento significativo e deve fazer parte de qualquer análise atual, juntamente com SCCs ou outros mecanismos onde o DPF não esteja disponível.

Mas a adequação não resolve tudo. A conformidade com GDPR também exige limitação de finalidade, minimização de dados, transparência, segurança, controle de retenção, termos do processador e consentimento válido quando o consentimento for necessário. Um mecanismo de transferência é apenas uma camada.

Consentimento e Cookies

Se GA4 for implantado com cookies ou acesso de dispositivo semelhante, o consentimento poderá ser necessário antes da execução do script, dependendo da jurisdição e da configuração. O relatório da força-tarefa de banner de cookies EDPB explica que a colocação/leitura de cookies é regida pelas regras nacionais ePrivacy, enquanto o processamento subsequente pode se enquadrar em GDPR (EDPB Cookie Banner Taskforce).

O consentimento deve ser real. As diretrizes de consentimento EDPB enfatizam que o consentimento válido deve ser dado livremente, específico, informado e inequívoco (diretrizes de consentimento EDPB). Caixas pré-marcadas, fluxos confusos de rejeição ou consentimento de publicidade agrupada são bases fracas.

Práticas arriscadas comuns de GA4

Evite-os, a menos que sua equipe jurídica os tenha aprovado explicitamente:

• Envio de endereços de e-mail, IDs de clientes, IDs de pedidos ou consultas de pesquisa contendo dados pessoais.
• Deixando parâmetros de consulta confidenciais na página URLs.
• Ativar recursos de publicidade sem um modelo de consentimento válido.
• Tratar o truncamento ou agregação IP como uma solução completa de anonimato.
• Uso de dados GA4 para fins não divulgados em seu aviso de privacidade.
• Presumir que um banner de consentimento corrige todos os problemas de transferência e minimização.

Uma alternativa que prioriza a privacidade

Para muitas organizações, a verdadeira questão não é "O GA4 pode ser tornado compatível?" mas "Precisamos de GA4?" Se você depende muito de Google Ads, conversões modeladas e exportação de BigQuery, GA4 pode justificar o trabalho. Se você precisar de tráfego de site, referenciadores, campanhas, metas e eventos de receita, uma ferramenta de análise sem cookies pode ser mais fácil de implantar e explicar.

Uma configuração de análise que prioriza a privacidade deve evitar identificadores persistentes, coletar apenas dados de medição agregados, minimizar ou evitar dados pessoais, retirar URLs confidenciais e fornecer termos claros de retenção e hospedagem. Isto não elimina todo o trabalho de conformidade, mas reduz o número de peças móveis legais.

A conformidade com GA4 não é uma propriedade sim ou não do nome do produto. É uma propriedade da sua implementação. Configure-o deliberadamente, documente a análise e não colete mais do que sua equipe possa justificar.

Lista de verificação de revisão GA4

Documente as configurações exatas da propriedade GA4 antes do lançamento: modo Consent Mode, Google Signals, personalização de anúncios, contas Google Ads vinculadas, User-ID, medição aprimorada, configurações regionais, retenção, exportação BigQuery e dimensões personalizadas. Em seguida, compare um teste de navegador limpo com o aviso de privacidade e o banner de consentimento. Se GA4 receber eventos antes de uma escolha válida, receber URLs confidencial ou usar recursos de anúncios fora do propósito divulgado, a implementação precisará de mais trabalho.

A resposta final é específica da implementação. Uma configuração cuidadosa do GA4 pode reduzir o risco, mas o nome da marca não fornece a base legal, o fluxo de consentimento, a avaliação de transferência ou a disciplina de minimização.