Outra greve contra o uso do Google Analytics na Europa: a autoridade italiana de proteção de dados descobriu que o uso de um editor da web local da popular ferramenta de análise não está em conformidade com as regras de proteção de dados da UE devido à transferência de dados do usuário para os EUA – um país que carece de uma estrutura legal equivalente para proteger as informações de serem acessadas por espiões dos EUA.
o Garante descobriu que o uso do Google Analytics pelo editor da web resultou na coleta de muitos tipos de dados do usuário, incluindo endereço IP do dispositivo, informações do navegador, sistema operacional, resolução da tela, seleção de idioma, além da data e hora da visita ao site, que foram transferidos para o EUA sem a aplicação de medidas suplementares adequadas para elevar o nível de proteção ao padrão legal da UE necessário.
As proteções aplicadas pelo Google não foram suficientes para lidar com o risco, acrescentou, ecoando a conclusão de vários outros DPAs da UE que também descobriram que o uso do Google Analytics viola as regras de proteção de dados do bloco sobre a questão da exportação de dados.
A DPA da Itália deu ao editor em questão (uma empresa chamada Caffeina Media Srl) 90 dias para corrigir a violação de conformidade. Mas a decisão tem um significado mais amplo, pois também alertou outros sites locais que estão usando o Google Analytics para tomar nota e verificar sua própria conformidade, escrevendo em um comunicado à imprensa [translated from Italian with machine translation]:
“[T]Autoridade chama a atenção de todos os gerentes italianos de sites, públicos e privados, para a ilegalidade das transferências feitas para os Estados Unidos através da GA [Google Analytics]tendo também em consideração os inúmeros relatórios e questões que estão a ser recebidos pelo Gabinete, e convida todos os responsáveis pelo tratamento de dados a verificarem a conformidade dos métodos de utilização de cookies e outras ferramentas de rastreamento utilizadas nos seus websites, com particular atenção ao Google Analytics e outros serviços similares, com a legislação sobre proteção de dados pessoais”.
No início deste mês, o regulador de proteção de dados da França emitiu um alerta atualizado sobre o uso ilegal do Google Analytics – após uma descoberta semelhante de falha no uso do software por um site local em fevereiro.
A orientação da CNIL sugere apenas possibilidades muito restritas para os proprietários de sites baseados na UE usarem legalmente a ferramenta de análise do Google — seja aplicando criptografia adicional onde as chaves são mantidas sob o controle exclusivo do próprio exportador de dados ou de outras entidades estabelecidas em um território que ofereça um nível adequado de proteção; ou usando um servidor proxy para evitar o contato direto entre o terminal do usuário e os servidores do Google.
O DPA da Áustria também confirmou uma reclamação semelhante sobre o uso do Google Analytics por um site em janeiro.
Enquanto o Parlamento Europeu se viu em apuros sobre a mesma questão central no início do ano.
Todas essas greves contra o Google Analytics remetem a uma série de reclamações estratégicas registradas em agosto de 2020 pelo grupo europeu de campanha de privacidade noyb — que tinha como alvo 101 sites com operadoras regionais identificadas como enviando dados para os EUA por meio de integrações do Google Analytics e/ou do Facebook Connect.
As queixas seguem uma decisão histórica do tribunal superior do bloco em julho de 2020 – que invalidou um acordo de transferência de dados entre a UE e os EUA, chamado Privacy Shield, e deixou claro que os DPAs têm o dever de intervir e suspender os fluxos de dados para terceiros. países onde suspeitem que as informações dos cidadãos da UE estejam em risco.
A chamada decisão ‘Schrems II’ recebeu o nome do fundador da noyb e ativista europeu de privacidade de longa data, Max Schrems, que apresentou uma queixa contra as transferências de dados UE-EUA do Facebook, citando práticas de vigilância reveladas pelo denunciante da NSA Edward Snowden, que acabou – via remessa legal — perante o TJUE. (Um desafio anterior de Schrems também resultou no acordo anterior de transferência de dados UE-EUA sendo derrubado pelo tribunal em 2015.)
Em um desenvolvimento mais recente, um substituto para o Privacy Shield está a caminho: Em março, a UE e os EUA anunciaram que chegaram a um acordo político sobre isso.
No entanto, os detalhes legais do quadro de transferência de dados planejado ainda precisam ser finalizados – e o mecanismo proposto revisto e adotado pelas instituições da UE – antes que possa ser utilizado. O que significa que o uso de serviços em nuvem baseados nos EUA continua envolto em risco legal para os clientes da UE.
Os legisladores do bloco sugeriram que o acordo de substituição pode ser finalizado até o final deste ano – mas não há nenhum patch legal simples que os usuários do Google Analytics da UE possam alcançar nesse meio tempo.
Além disso, tA lacuna entre a lei de vigilância dos EUA e a lei de privacidade da UE continua a crescer em certos aspectos – e não é certo que a substituição negociada seja robusta o suficiente para sobreviver aos inevitáveis desafios legais.
Um simples remendo legal para um choque tão fundamental de direitos e prioridades parece um alto nível – falhando na reforma substancial das leis existentes (que nenhum dos lados parece disposto a oferecer).
Por isso, começamos a ver respostas em nível de software de alguns gigantes da nuvem dos EUA – para fornecer aos clientes europeus mais controles sobre os fluxos de dados – em uma tentativa de encontrar uma maneira de contornar o risco legal de transferência de dados.
