Skip to main content

A decisão Schrems II significa que o Google Analytics não é compatível com GDPR?

Para muitas empresas na UE e nos EUA, 2022 adicionou outra crise para gerenciar: o acompanhamento de Schrems II declarando que o Google Analytics não é compatível com GDPR.

O que é Schrems II?

Data Protection Commissioner v Facebook Ireland e Maximillian Schrems, também conhecido como Schrems II, concluído em 16 de julho de 2020. Em suma, a decisão do Tribunal de Justiça Europeu anulou o Escudo de Privacidade UE-EUA, o acordo que especificava os requisitos de proteção para os dados de cidadãos da UE enviados para os EUA.

Este caso questiona o uso compatível com GDPR de qualquer servidor de propriedade e operado nos EUA, decorrente do fato de que dados pessoais da UE estavam sendo enviados para servidores em nuvem do Facebook nos EUA e - sob a Lei CLOUD, US Foreign Intelligence Surveillance Act, e outras políticas oficiais - poderiam então ser acessadas pelas agências de inteligência dos EUA. Em resumo, os dados pessoais dos cidadãos da UE não são protegidos adequadamente de acordo com o GDPR quando são transferidos para os servidores de empresas dos EUA.

Decisão Schrems II na Áustria

Após a decisão Schrems II, a organização sem fins lucrativos noyb(Centro Europeu de Direitos Digitais), fundada por Max Schrems, apresentou 101 queixas contra várias empresas que transferiram dados de cidadãos da UE para empresas americanas. Uma dessas reclamações foi contra o netdocktor.at, um site de saúde que usava o Google Analytics para rastrear os visitantes do site. Como muitas empresas, a netdoktor continuou a usar o Google Analytics apesar da decisão do Tribunal de Justiça Europeu. O Google, bem como outras empresas sediadas nos EUA (Amazon, Facebook, Microsoft, etc.) cercas em torno de data centers, criptografia de dados, dados pseudônimos etc.) foram suficientes para proteger seus dados.

Mas no caso netdoktor, a Autoridade Austríaca de Proteção de Dados ("Datenschutzbehörde" ou "DSB") decidiu que isso não é suficiente. O Google Analytics viola o GDPR.Eles explicam:

" No que diz respeito às medidas contratuais e organizativas delineadas, não é aparente, em que medida [a medida] são eficazes no sentido das considerações anteriores."

" No que diz respeito às medidas técnicas, também não é reconhecível (...) em que medida [a medida] realmente impediria ou limitaria o acesso por agências de inteligência dos EUA considerando a lei dos EUA."

Com base nessa decisão, muitos especialistas acreditam que este é apenas o começo. Ainda há muitas reclamações esperando para chegar ao tribunal, e espera-se que decisões semelhantes sejam tomadas por outros países membros da UE.

O DSB também declarou em sua decisão que investigará ainda mais o Google em relação às regras de transferência de dados para o governo dos EUA sem o consentimento explícito do exportador de dados da UE.

Ainda não há penalidades aplicadas neste caso, mas se o tribunal decidir fazê-lo, elas podem chegar a 4% do faturamento global de uma empresa.

Impacto nos usuários do Google Analytics

Não somos advogados e não podemos oferecer consultoria jurídica, mas parece que qualquer empresa que processe os dados de cidadãos da UE por meio de serviços prestados por empresas sediadas nos EUA está em risco. Em termos de análise da web, o Google Analytics é o número um do mundo, mas há muitos outros com os quais devemos ser cautelosos. Sempre verifique onde a empresa está incorporada e onde estão localizados seus data centers.

A longo prazo, isso significa que o governo dos EUA e os provedores dos EUA terão que fazer grandes mudanças em suas políticase infraestrutura atuais: aprovar legislação que proteja os dados de cidadãos estrangeiros e hospedar dados estrangeiros fora dos EUA. A Comissão Europeia está ansiosa para encontrar um substituto para o Escudo de Privacidade UE-EUA, mas não há um caminho legal a seguir no momento atual. As negociações estão em andamento, mas ainda exigem mudanças legais do lado dos EUA. E com base no atual clima político e econômico, essas coisas parecem improváveis no futuro próximo.

O futuro dos dados de análise da Web

Como o tribunal concluiu que o Google Analytics não é compatível com GDPR, o que o Google negouem uma declaração recente, a questão é onde as empresas buscam dados de análise da web seguros e de baixo risco. O primeiro passo seria pesquisar empresas sediadas na UE, que usam anonimização de IP, que não armazenam dados de usuários e que estão em conformidade com GDPR, TTDSG, CCPA e outras leis de privacidade de dados - como Visitor Analytics!

A íntegra da decisão do DSB, em alemão, pode ser encontrada aqui.