Durante os últimos meses, a UE começou a limitar a utilização dos serviços Google para países europeus. Existem vários incidentes em diferentes países, mas a incidência mais difundida esteve relacionada com os regulamentos em Itália, França, e Áustria, onde os reguladores de protecção de dados dizem que a utilização do Google Analytics não é compatível com o GDPR.
Neste artigo, quero falar sobre os regulamentos que proíbem a transferência de dados de usuários europeus para empresas americanas. Também abordarei a forma como se pode utilizar o Stape Europe para criar um servidor proxy da UE para o servidor GTM que ajudará a tornar a utilização do Google Analytics compatível com o GDPR.
A história legal da partilha de dados entre empresas da UE e dos Estados Unidos começou em 2016 quando a Comissão Europeia aprovou o Privacy Shield (um quadro legal que regula a transferência de dados para fins comerciais entre empresas dos Estados Unidos e da UE).
Em 2020, o Tribunal de Justiça Europeu declarou que o Privacy Shield tem uma deficiência. Isto aconteceu uma vez que a legislação dos Estados Unidos não oferece proteção de dados pessoais suficiente aos residentes europeus.
A extensa discussão neste acórdão foi sobre os serviços Google (como o Google Analytics ou Google Fonts) que não podem garantir que os dados dos usuários da UE sejam seguros.
Eles declararam que pedir o consentimento do usuário (ou cláusulas contratuais padrão) no site e desencadear um rastreamento inteligente baseado no consentimento do usuário nos Estados Unidos não tornará esta ferramenta de rastreamento GDPR completa.
Os dois incidentes mais famosos relacionados com a transferência de dados de usuários da UE para os Estados Unidos foram em Itália e França. Comecemos pelo francês.
A autoridade francesa de proteção de dados (CNIL) recebeu queixas de usuários franceses que perguntaram se a utilização do Google Analytics (uma ferramenta de inteligência que pertence à empresa americana) estava em conformidade com as regras do GDPR.
A CNIL declarou que a utilização do Google Analytics pelos websites franceses resultou numa transferência de dados de usuários europeus para empresas americanas. Isto viola as regras da GDPR uma vez que as empresas americanas não fornecem provas suficientes de que os dados pessoais dos usuários da UE são seguros. Além disso, a CNIL confirmou que a implementação de SCCs pelo Google não é suficiente para cumprir os requisitos da GDPR.
A situação em Itália é, de alguma forma, semelhante. O regulador italiano SÁ recebeu perguntas de vários usuários sobre se a utilização de um determinado sítio italiano do Google Analytics se enquadra no âmbito do GDPR. Após longas investigações, o regulador italiano avisou a empresa italiana de que deveria deixar de utilizar o Google Analytics ou estabelecer uma AG em conformidade com o GDPR em 90 dias.
Além disso, o regulador italiano divulgou um aviso público de que tinham recebido várias queixas sobre a transferência de dados para as empresas dos EUA. Todos os proprietários de websites italianos devem considerar isto na implementação de ferramentas inteligentes de rastreio baseadas nos EUA. Caso contrário, poderão ser aplicadas sanções.
Assim, em suma, a transferência de dados de usuários da UE para empresas dos EUA não é compatível com a GDPR. A maior questão relaciona-se com a utilização do Google Analytics, uma vez que é a ferramenta analítica mais difundida.
Comentários