Skip to main content
Visitor Analytics logoVisitor Analytics logo

02. October 2020

Uma visão geral dos regulamentos após Schrems II e a invalidação do Privacy Shield

Um mapa da UE com um cadeado de segurança - não há mais transferências de dados fora da UE

Especialmente desde que a GDPR entrou em vigor em 25 de Maio de 2018, a atenção à privacidade online em todo o mundo, e não apenas na UE, tem continuado a crescer. Leis semelhantes foram aprovadas em vários países em (pelo menos) 4 continentes e outras regras de referência foram aprovadas.

Se um processador de dados, como o dono de um website, estivesse em coma há cerca de 2 anos ½, eles estariam acordando para um mundo totalmente diferente. Muito aconteceu, culminando com a decisão Schrems II no Tribunal de Justiça Europeu, que decidiu a favor de Max Schrems e contra o Escudo de Privacidade UE-EUA, em 16 de julho de 2020.

Schrems II é a consequência lógica de SchremsI, um caso que começou já em 2013, com uma queixa apresentada por Max Schrems ao Comissário de Protecção de Dados da Irlanda, o país onde se encontrava a sede europeia do Facebook. O activista austríaco argumentou que o direito à privacidade dos dados pessoais no seu perfil no Facebook não podia ser garantido porque tinha sido transferido da UE para os EUA.

Nós já cobrimos este caso antes, logo após a decisão do tribunal em relação aos dados pessoais da UE. Em suma, já não é legal que qualquer tipo de processador de dados utilize serviços dos EUA que dão acesso aos dados pessoais dos cidadãos da UE a esses serviços, sem explicar completamente os riscos. As implicações são enormes e a questão continua a fazer manchetes, agora que se fala da retirada total do Facebook da UE.

À luz disto, vejamos os efeitos do Schrems II e a queda do Data Privacy Shield, combinados com outras regulamentações atuais. Além disso, fornecemos uma visão geral do que você, como proprietário de um website, é obrigado a garantir pela legislação da UE.

Notas breves:

  • Os IPs são considerados dados pessoais.
  • IPs, e potencialmente outras informações pessoais a eles anexadas, são frequentemente coletadas e submetidas por websites a vários serviços, através do uso de scripts e pixels que os proprietários de websites adicionam aos seus websites (por exemplo, pixel de anúncio do Facebook, código de rastreamento do Google Analytics, etc.)
  • Sempre que um usuário da UE acessa um site público, hospedado em qualquer lugar do mundo, seu IP é processado e, portanto, informações pessoais são enviadas para os provedores de serviços acima mencionados
  • Alguns destes prestadores de serviços podem estar localizados nos Estados Unidos.
  • Os prestadores de serviços dos EUA que recebem esses dados pessoais da União Europeia já não têm qualquer base legal para aceder, armazenar ou utilizar os mesmos. Tornou-se ilegal!

Consequências do decision Schrems II do TJCE

Consequência 1: os proprietários de websites com visitantes da UE não podem armazenar dados fora da UE .

...a menos que as leis desse país possam fornecer um nível de protecção adequado para esses dados. Os EUA já não são uma excepção a essa regra e são o alvo específico da regra. Verifique onde está o seu provedor de hospedagem e quais dados são coletados e onde são armazenados. Se você descobrir que está nos EUA e recolher dados pessoais de visitantes da UE, mude o seu fornecedor.

Este site de notícias deve verificar como todos os terceiros utilizam os dados pessoais
Um exemplo de um website europeu (mas hospedado nos Estados Unidos) e uma lista dos serviços de terceiros que você usa. Alguns deles também estão sediados nos Estados Unidos. Neste caso, os visitantes do site devem estar cientes das transferências de dados e dos riscos associados às mesmas.

Consequência 2: qualquer serviço de terceiros utilizado pelo seu website também deve fornecer proteção de dados pessoais

Os proprietários do site devem verificar todos os serviços de terceiros que utilizam e os (tipos de) dados a que têm acesso. Isto inclui potencialmente: ferramentas de análise de websites (por exemplo, Google Analytics), ferramentas de conhecimento doutilizador (por exemplo, Hotjar), ferramentas de chat de clientes (por exemplo, Livechat), ferramentas de gestão de relações comclientes (por exemplo, Monday.com), serviços depublicidade, etc.

Qualquer ferramenta que tenha acesso aos dados pessoais das pessoas que interagem com o seu site é uma responsabilidade. Lembre-se que o IP do visitante é considerado um dado pessoal. Verifique onde estas ferramentas estão localizadas. Legalmente, eles devem estar na UE e oferecer um Acordo de Protecção de Dados (DPA) para assinar, para que possam actuar como um sub-processador para si e para as suas necessidades.

Consequência 2.1: não é suficiente que as aplicações de terceiros tenham um escritório físico na UE

...se a empresa permanecer registada nos EUA, significa que cumpre as leis dos EUA. E estas leis permitem ao governo dos EUA aceder a dados privados para fins de segurança nacional. Especificamente, as empresas americanas devem cumprir com a leiCLOUD Act, que basicamente permite que as agências federais de aplicação da lei as obriguem, através de uma ordem judicial, a fornecer quaisquer dados pessoais, independentemente de os dados estarem fisicamente armazenados em um servidor nos EUA ou em outro lugar.

Consequência 3: no âmbito do acordo de privacidade, foi permitida a exportação de dados da UE para os EUA a partir de uma lista de empresas dos EUA. Eles não estão mais autorizados a fazê-lo

Regulamentos como o Privacy Shield e as Cláusulas Contratuais Padrão (SCC) são anulados pela decisão do Tribunal de Justiça Europeu. Leia uma lista de todas as empresas afectadas aqui: https://www.privacyshield.gov/list. Gigantes como Facebook, Google, Amazon estão na lista de 5239 empresas que de repente enfrentam este sério e grave problema legal.

Certifique-se de que o seu website não dá acesso a nenhum dos serviços desta lista a quaisquer dados pessoais dos seus visitantes da UE, ou pode verificar que não existe uma alternativa europeia como excepção para este tipo de serviço e que deixou os seus utilizadores registarem-se antes de enviar quaisquer dados para o serviço externo.

Consequência 4: especificamente em relação ao Google Analytics, não é legal manter o serviço instalado .

Sinal de parada do Google Analytics - exportando dados para os EUA

a menos que todos os visitantes sejam informados com antecedência dos possíveis riscos e dêem o seu consentimento explícito.

Isto implica a utilização de uma faixa/caixa de dados antes de se iniciar qualquer rastreamento, que deve fornecer informações sobre os possíveis riscos de transferência de dados para um país terceiro, uma vez que não existem medidas adequadas para salvaguardar os dados, tal como descrito no artigo 46º do Regulamento Geral de Protecção de Dados.

Consequência 5: os formulários de consentimento devem incluir informações específicas sobre cookies, bem como as regras para a transferência de dados, se tal transferência existir

A forma de obter o consentimento para o uso de cookies foi descrita em detalhes pelo Tribunal Federal de Justiça (BGH) na Alemanha e foi sancionada pelo Tribunal de Justiça Europeu (TJE). Veja o acórdão do TJE no processo número C-673/17 aqui.

Consequência 5.1: os banners de consentimento marcados com antecedência não são legais.

Conseqüência 5.2: os banners de consentimento precisam ter caixas de consentimento separadas para todos os cookies que são colocados, agrupados por finalidade.

Isto informa o usuário sobre a finalidade dos cookies. Deve haver uma caixa de consentimento separada para os cookies de análise/estatística, cookies de marketing, cookies para armazenar as preferências do utilizador e os chamados cookies "necessários" (por exemplo, cookies que permitem ao website manter os seus produtos no seu carrinho enquanto está a navegar).

Soluções legais

Opção A (recomendada) - utilizar apenas prestadores de serviços da UE

Opção B - (somente se você não operar na UE) - bloquear visitas ao seu website de todos os IPs da UE, para que nenhum dado pessoal seja importado de lá. No entanto, isto irá (1) limitar o seu público e mercado e (2) não o manterá a salvo de legislação semelhante a ser desenvolvida em outras partes do mundo.

Opção C - assegurar que os seus visitantes estejam plenamente conscientes das implicações da transferência de dados para os EUA e dar-lhes a possibilidade de darem o seu consentimento Isto deve ser feito com muito cuidado e somente após consulta a um advogado, para evitar qualquer ação legal contra você. OBSERVAÇÃO! Se um utilizador não der o seu consentimento, deve certificar-se de que não é rastreado. Isto irá resultar em dados truncados. Por exemplo, em termos de análise, um lote potencialmente grande de utilizadores não será de todo contado nas estatísticas do seu website.

Opção D (recomendada para serviços de análise): Use uma solução consensual e conforme e livre-se destes irritantes banners de cookies. Saiba mais aqui.

Exemplo do Google Analytics

Se o seu site usa o Google Analytics para rastrear o tráfego de visitantes, o consentimento e o opt-in não podem ser superficiais. Você terá que incluir uma série de elementos diferentes em seu banner. Não se esqueça que este é um serviço que utiliza cookies e que também está baseado nos EUA. Portanto, tudo isso tem de ser tratado no consentimento informado.

  • Explique e obtenha consentimento para o seu propósito como proprietário de um website para usar a ferramenta. Que dados pessoais recolhe e com que finalidade (por exemplo, "concordo que o website possa utilizar o Google Analytics para agregar dados de tráfego e estatísticas sobre as páginas visitadas, para nos permitir tomar decisões sobre a adaptação do website às necessidades gerais do nosso público. Dados pessoais como o seu endereço IP estão a ser processados").

  • Explicar e obter autorização para fins de recolha de dados do Google (por exemplo, "concordo em permitir que o Google Analytics utilize os meus dados pessoais para os seus próprios fins, para criar um perfil pessoal e para me permitir receber anúncios personalizados ou outro conteúdo personalizado").

  • Explicar e obter consentimento para o uso de cookies pelo Google (por exemplo, "concordo que o Google possa definir cookies no meu navegador para me identificar e reconhecer no futuro e para traçar o perfil dos meus comportamentos e preferências").

  • Explicar e obter autorização para a transferência de dados e os riscos associados (por exemplo, "concordo que os meus dados pessoais recolhidos durante a utilização deste site podem ser transferidos para a Google Inc. nos EUA e aí processados. Compreendo que o mesmo nível de protecção de dados pessoais aplicado na UE não pode ser garantido. Estou ciente de que as autoridades dos EUA podem aceder aos meus dados pessoais, armazenados pelo Google, sem o meu consentimento").

Então é assim que a opção C teria que ser se você não quiser desistir de usar o Google Analytics. Bastante complicado e uma questão sensível em termos de legalidade. A escolha das palavras aqui tem de ser feita com muito cuidado.

Em relação à análise do website, as opções A e D são soluções muito melhores. Você pode usar um provedor da UE, em vez do Google Analytics.

Esse fornecedor é o VisitorAnalytics.

Visitor Analytics:

  • tem sede na Alemanha e só hospeda dados dentro das fronteiras da Alemanha, pelo que não haverá transferência de dados pessoais para fora da UE

  • não utiliza o alojamento Amazon, Google, ou outros fornecedores de alojamento em "cloud" dos EUA com filiais alemãs, pelo que a Lei CLOUD Act não se lhe aplica

  • é um provedor de serviços que não utiliza cookies, rastreando o tráfego do site (ver Rastreamento sem cookies)

  • é um prestador de serviços que oferece uma forma em que o consentimento do usuário não é mais necessário, uma vez que absolutamente nenhum dado pessoal será processado (ver Rastreamento sem consentimento)