Agora que o Google Analytics é ilegal, a Alphabet protegerá melhor os dados dos europeus para cumprir o GDPR?
Max Schrems, o advogado que processou com sucesso o Facebook por violações à privacidade de cidadãos europeus, obteve outra vitória, desta vez contra o Google: em duas decisões judiciais históricas, a autoridade de proteção de dados da Áustria, bem como a autoridade de privacidade da França, descobriram que o Google Analytics é ilegal de usar em sites europeus.
Após a decisão austríaca que foi emitida em fevereiro, a autoridade de privacidade da França, o CNIL, também declarou que o Google Analytics viola o GDPR e, portanto, deve ser banido. A CNIL publicou uma declaração:
“A CNIL, em cooperação com seus homólogos europeus, analisou as condições sob as quais os dados coletados através deste serviço [Google Analytics] são transferidos para os Estados Unidos. A CNIL considera que essas transferências são ilegais e ordena que um gerente de site francês cumpra o GDPR e, se necessário, pare de usar este serviço nas condições atuais.”
Quando a legislação do Privacy Shield foi invalidada em 2020, isso tinha consequências de longo alcance para os serviços on-line dos EUA que operam na Europa: eles não podiam mais transferir dados de cidadãos europeus para os EUA, pois isso tornaria os dados de cidadãos europeus vulneráveis à vigilância em massa norte-americana – uma clara violação do RGPD europeu.
No entanto, a indústria de tecnologia do Vale do Silício ignorou em grande parte a decisão. Isso agora levou à decisão de que o Google Analytics é proibido na Europa. NOYB diz:
“Embora isso (invalidação do Privacy Shield) tenha enviado ondas de choque através da indústria de tecnologia, os provedores dos EUA e os exportadores de dados da UE ignoraram em grande parte o caso. Assim como a Microsoft, Facebook ou Amazon, o Google confiou nas chamadas “Cláusulas de Contrato Padrão” para continuar as transferências de dados e acalmar seus parceiros de negócios europeus.”
Agora, a Autoridade Austríaca de Proteção de Dados atinge o mesmo tom que o tribunal europeu ao declarar o Privacy Shield como inválido: decidiu que o uso do Google Analytics é ilegal, pois viola o Regulamento Geral de Proteção de Dados (RGPD). O Google está “sujeito à vigilância pelos serviços de inteligência dos EUA e pode ser ordenado a divulgar dados de cidadãos europeus a eles”. Portanto, os dados dos cidadãos europeus não podem ser transferidos através do Atlântico.
Decisão original do tribunal austríaco.
Tradução automática da decisão original.
Sobre o que foi o processo judicial?
Em 14 de agosto de 2020, um usuário do Google acessou um site austríaco sobre problemas de saúde. Este site usou o Google Analytics, e os dados sobre o usuário foram transmitidos ao Google nos EUA. Com base nesses dados, o Google conseguiu deduzir quem ele ou ela era.
Em 18 de agosto de 2020, o usuário do Google reclamou à autoridade austríaca de proteção de dados com a ajuda da organização de proteção de dados NOYB.
Agora, o tribunal austríaco declarou essa transferência de dados do Google Analytics ilegal na Europa.
Dados não adequadamente protegidos
A questão em questão é que, devido à Lei Americana CLOUD, as autoridades dos EUA podem exigir dados pessoais do Google, Facebook e outros provedores dos EUA, mesmo quando estão operando fora dos EUA, como na Europa, por exemplo.
Assim, o Google não pode fornecer um nível adequado de proteção sob o Artigo 44 do RGPD – uma clara violação das garantias europeias de proteção de dados. As cláusulas contratuais padrão invocadas pelo operador do site não ajudam, conforme reconhecido em 2020 pelo Tribunal de Justiça Europeu (TJE) em sua decisão sobre o “Privacy Shield” (Schrems II).
Nenhuma prova de abuso de dados é necessária
O fator decisivo para a avaliação legal do uso do Google Analytics não é se uma agência de inteligência dos EUA realmente obteve os dados ou se o Google realmente identificou o usuário. O simples fato de que isso era teoricamente possível já era uma violação do RGPD.
Os usuários do Google podem, no entanto, fazer uma configuração em suas contas do Google para impedir que o Google avalie seu uso de sites de terceiros em detalhes. Mas o fato de esse recurso existir é a prova de que o Google é capaz de mesclar dados de uso com o indivíduo.
Maior sucesso da NOYB
Esta decisão é um dos maiores sucessos da organização de proteção de dados NOYB até o momento. Consequentemente, a NOYB e Max Schrems estão muito satisfeitos com a decisão do tribunal austríaco:
“Esta é uma decisão muito detalhada e sólida. A conclusão é: as empresas não podem mais usar os serviços em nuvem dos EUA na Europa. Já se passaram 1,5 anos desde que o Tribunal de Justiça confirmou isso pela segunda vez, então é mais do que tempo para que a lei também seja aplicada.”
Esta decisão é a primeira entre 101 ações judiciais da NOYB sem fins lucrativos de Schrems na maioria dos estados membros da União Europeia.
Espera-se agora que decisões semelhantes sobre a proibição do Google Analytics caiam na Alemanha, Holanda e outros estados membros da UE.
Remover o Google Analytics?
Muitas empresas na Europa devem se perguntar se devem remover o Google Analytics de seus sites ou arriscar uma penalidade por violar o RGPD.
A longo prazo, haverá duas opções: ou os Estados Unidos mudam suas leis de vigilância para fortalecer seus negócios de tecnologia, ou os provedores dos EUA terão que hospedar dados de usuários europeus na Europa.
A Autoridade Holandesa de Dados Pessoais (AP) – onde duas decisões sobre o uso do Google Analytics ainda estão pendentes – atualizou suas próprias orientações sobre a “configuração amigável à privacidade do Google Analytics”.
Com a atualização, o AP emitiu um aviso:
“Observação: o uso do Google Analytics pode não ser mais permitido em breve.”
A Autoridade Holandesa de Dados Pessoais planeja decidir sobre os casos pendentes do Google Analytics em breve. Em seguida, a AP emitirá uma declaração clara sobre se o uso do Google Analytics é ilegal na Europa ou não.
Conclusão
Embora as empresas de tecnologia do Vale do Silício encontrem uma maneira de ainda oferecer seus serviços na Europa – de uma forma ou de outra – a abordagem que adotaram após a invalidação do Privacy Shield deve levantar várias bandeiras vermelhas para as empresas europeias:
Como uma empresa europeia, não é mais possível confiar dados confidenciais do usuário a empresas como o Google que deliberadamente ignoram a legislação europeia de privacidade e correm o risco de multas pesadas para seus clientes empresariais europeus.
As multas contra o site de saúde austríaco no caso discutido ainda não foram decididas.
Pelo contrário – e como a privacidade está se tornando cada vez mais importante para os consumidores em todo o mundo – é um passo lógico para qualquer empresa europeia escolher serviços que se concentrem na proteção da privacidade de seus usuários.