Ferramenta do Google Analytics e o entendimento da GDPR e normas austríacas de proteção de dados

1 de fevereiro de 2022

Ferramenta do Google Analytics e o entendimento da GDPR e normas austríacas de proteção de dados

Escrito por and

No dia 13 de janeiro de 2022, os titulares de dados europeus se depararam com uma notícia importante sob a ótica dos interesses de questões de privacidade e violações no setor privado. A organização sem fins lucrativos, NOYB – European Center for Digital Rights, com sede em Viena, na Áustria, a qual visa os interesses em processos judiciais estratégicos e iniciativas de mídia em apoio ao Regulamento Geral de Proteção de Dados (GDPR), publicou em seu website a decisão da Autoridade Austríaca de Proteção de Dados (“Datenschutzbehörde” ou “DSB”) sobre o uso contínuo da ferramenta Google Analytics. A Autoridade entendeu como ilegal o tratamento de dados por parte da empresa Google e empresas europeias em transferências internacionais de informações dos cidadãos europeus e a divulgação aos serviços de vigilância e inteligência dos Estados Unidos – NSA, sem o devido consentimento e transparência.

Para elucidarmos melhor a decisão que chamou atenção das empresas privadas de tecnologia, é valido o entendimento sobre a ferramenta de tecnologia da empresa Google que infringiu as normas que regem a GDPR. O Google Analytics é uma das ferramentas capazes de identificar informações importantes sobre o comportamento dos visitantes de uma página na internet. Ele fornece relatórios técnicos que possibilitam o entendimento de como os usuários navegam e interagem com os websites e aplicativos. A partir do identificador IP (endereço do Protocolo de Internet) o Google Analytics fornece relatórios e informações super específicas e com diversos filtros, permitindo uma análise pormenorizada dos eventos e, em última análise, a identificação do usuário daquele protocolo.

Sendo assim, a decisão da Autoridade Austríaca de Proteção de Dados – DSB sobre o caso específico, (22nd of December 2021, D155.027 2021-0.586.257), surgiu da apresentação por parte da NOYB, no ano de 2020, de 101 (cento e uma) reclamações formais de transferências internacionais de dados pessoais europeus registradas nas integrações do Google Analytics com empresas da União Europeia. Algumas reclamações foram apresentadas diretamente a Lead Supervisory Authority (LSA) e outras a Autoridade Austríaca.

No caso específico D155.027 2021-0.586.257ª, a decisão da Autoridade Austríaca de Proteção de Dados é pela aplicabilidade do Capítulo V, da GDPR, visto que a Diretiva 2002/58/EC, a qual posteriormente foi transformada na Austria no Ato Telecomunicativo (TGK 2021), não apresenta previsões de transferência internacional de dados pessoais para países fora da União Europeia, fazendo-se necessária a aplicação dos artigos previstos no capítulo V, da GDPR.

Outro ponto importante é a possibilidade de identificação dos dados pessoais transferidos a uma pessoa física através do vasto volume de transmissão de dados, sendo assim, a identificação da pessoa física está condicionada ao artigo 4º da GDPR. Para a Autoridade Austríaca foi considerado que a função de anonimização dos endereços de IPs fornecidos pelo Google Analytics é insuficiente para afastar a incidência da GDPR, devido ao grande volume de dados pessoais transmitidos.

É valido lembrar que a decisão do Tribunal de Justiça Europeu de 16 de julho de 2020, (CJEU – C-311/18 – Schrems II), declarou que o acordo sobre proteção de dados pessoais entre os Estados Unidos e a União Europeia, também conhecido como Privacy Shield, é inválido. Sendo assim, este não é mais aplicado como instrumento que permite a transferência de dados entre a União Europeia e os Estados Unidos.

Neste sentido, a decisão entende que o instrumento que poderia ser considerado válido são as “garantias adequadas” previstas no artigo 46º da GDPR, como, por exemplo, cláusulas contratuais padrão (SCCs). Entretanto, no caso concreto da decisão, o site que operava os dados com o Google Analytics elaborou tais cláusulas padrão mediante a versão antiga prevista (2010/87/EU). Mas a decisão destacou que ao utilizar o Google Analytics, a transferência de dados internacionais não pode ser baseada exclusivamente nestas cláusulas contratuais, isso porque o Google está sujeito as leis de vigilância dos Estados Unidos e as medidas contratuais por si só não vinculam de maneira suficiente as autoridades supervisoras europeias em um “país terceiro”.

Além disso, a referida decisão trouxe possíveis medidas alternativas para o caso específico, como a transferência internacional de dados pessoais com base no consentimento, nos termos do artigo 49º, (1) (A), da GDPR. Mesmo assim, o Conselho Europeu de Proteção de Dados (European Data Protection Board – EDPB) tem uma interpretação muito restritiva sobre essa questão e apenas aceita o uso desta previsão mediante ocasiões específicas ou transferências internacionais de dados pessoais que não se repetem.

A conclusão da decisão emitida pela Autoridade Supervisora Austríaca é de que o uso da ferramenta Google Analytics é ilegal. Conforme o entendimento, não há alternativas legais que justifiquem a utilização da ferramenta de acordo com a GDPR. Embora esta decisão não seja ainda, juridicamente vinculativa, o seu efeito não deve ser subestimado. A linha de raciocínio da Autoridade poderá ser aplicada para muitas outras ferramentas analíticas.

Por fim, é valido analisar essa decisão sob a ótica da LGPD no Brasil. As normativas adotas pela nossa legislação que permitem a transferência internacional de dados pessoais de brasileiros para países terceiros são baseadas na legislação europeia. Nesse sentido, a Autoridade Nacional de Proteção de Dados – ANPD já alertou que a segunda fase de seu planejamento estratégico, o qual ocorrerá nesse ano de 2022, tratará da regulamentação das normas de transferência internacional.

Isto posto, podemos esperar que à medida em que a Europa se posiciona em relação às ferramentas analíticas, como o Google Analytics, o Brasil também precisará se posicionar. Resta saber se seguirá a mesma linha encabeçada pelas decisões europeias, ou se trará alguma inovação em termos de entendimento com relação à essa importante ferramenta de utilização massiva por sites em todo o mundo.

Referências Bibliográficas:
1. DSB (Austria) – 2021-0.586.257 (D155.027): https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2021-0.586.257_(D155.027)
2. NOYB – European Center for Digital Rights: https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal
3. NOYB – European Center for Digital Rights: https://noyb.eu/en/101-complaints-eu-us-transfers-filed
4. CJEU – C-311/18 – Schrems II: https://gdprhub.eu/index.php?title=CJEU_-_C-311/18_-_Schrems_II
5. GDPR: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679