Vanessa Patrocínio, Associada Sénior da DLA Piper ABBC em 2022-4-21

OPINIÃO

Legal

Ainda podemos utilizar o Google Analytics?

These cookies are made for trackin’ // And that’s just what they’ll do // One of these days these cookies are gonna track all over you

Depois de, em dezembro de 2021, a autoridade de proteção de dados austríaca ter concluído que a utilização do Google Analytics é ilegal, em fevereiro deste ano a autoridade de proteção de dados francesa chegou à mesma conclusão. Em janeiro deste ano, a Autoridade Europeia para a Supervisão de Dados admoestou o Parlamento Europeu devido à utilização daquela ferramenta. O que se passa, afinal, com o Google Analytics?

De uma forma simplista, o Google Analytics é uma ferramenta de monitorização utilizada para analisar o tráfego de um site. Por via de um identificador único atribuído a cada visitante do site, são recolhidos dados pessoais que permitem criar um extenso perfil de utilizador e que são armazenados pela Google nos seus servidores fora do Espaço Económico Europeu (EEE), em países que não oferecem um nível de proteção adequada, como é o caso dos EUA, cuja lei permite o acesso dos serviços de informação norte-americanos aos dados, pondo em causa a proteção dos dados pessoais dos visitantes europeus dos sites.

Ora, de acordo com o RGPD, a transferência de dados pessoais para países fora do EEE que não ofereçam um nível adequado de proteção de dados só é permitida se for implementada uma das garantias apropriadas elencadas pelo RGPD. A este propósito, até julho de 2020 vigorou o EU-US Privacy Shield, que foi declarado inválido pelo Tribunal de Justiça da União Europeia (caso Schrems II), por considerar que aquele mecanismo de transferência de dados para os EUA não cumpria o nível de proteção exigido nos termos da legislação europeia. Assim, sobraram, por enquanto, as cláusulas contratuais- tipo (CCT) aprovadas pela Comissão Europeia como mecanismo adequado para transferências recorrentes de dados pessoais para os EUA.

Foi, aliás, à luz da versão de 2010 destas CCT que as autoridades austríaca e francesa analisaram a utilização do Google Analytics, tendo concluído pela sua ilegalidade, pois as medidas contratuais, organizacionais e técnicas adicionais implementadas pela Google enquanto destinatária dos dados não impedem ou reduzem eficazmente o acesso aos dados pelos serviços de informação norte-americanos. Uma vez que, em 2021, a Comissão Europeia aprovou novas CCT, alinhadas com a decisão Schrems II, lamenta-se que aquelas autoridades de controlo não tenham aproveitado a oportunidade para analisar a utilização do Google Analytics à luz das novas CCT. Em qualquer caso, as novas CCT também não são suficientes só por si para garantir a legalidade das transferências internacionais de dados, sendo necessário realizar uma análise, caso a caso, do nível de proteção no país destinatário e das medidas adicionais implementadas pelo destinatário dos dados, por exemplo através da nossa ferramenta de avaliação do risco das transferências.

Procurando minimizar o impacto negativo na utilização do Google Analytics, recentemente a Google anunciou a sua aposta no Google Analytics 4 (GA4), que, ao contrário do atual Universal Analytics, é muito menos dependente de cookies e permitirá minimizar os dados pessoais transferidos, uma vez que, por defeito, não guarda endereços de IP. Infelizmente, as decisões das autoridades de controlo austríaca e francesa não fornecem informação “prática” sobre a suficiência necessária das medidas adicionais implementadas pelos prestadores de serviços cloud, pelo que resta saber se o GA4 bastará para acalmar as preocupações daquelas autoridades.

Aguarda-se, também, com expectativa o desenrolar das negociações entre a UE e os EUA sobre um novo Privacy Shield 2.0 que confira uma maior certeza de legalidade às transferências de dados pessoais para os EUA, na medida em que – e essa é a única certeza possível por agora – na realidade atual tais transferências não vão deixar de ocorrer ou sequer abrandar.

Por cá, embora ainda não se tenha pronunciado oficialmente sobre o tema, a CNPD emitiu em junho de 2021 uma nota informativa dando conta que está a analisar a utilização de cookies pelas entidades públicas e a preparar diretrizes sobre o tema dos cookies, esperando- se desenvolvimentos no curto prazo. Até lá, devem as empresas que utilizam o Google Analytics avaliar a forma como o usam e realizar uma análise de risco da transferência de dados, tendo presente que, embora as decisões das autoridades austríaca e francesa não tenham impacto direto na utilização do Google Analytics em Portugal, a tendência europeia não será de ignorar.

Vanessa Patrocínio

Associada Sénior na DLA Piper ABBC

Recomendado pelos leitores

Employer branding: atrair talentos e promover a sua empresa no processo
OPINIÃO

Employer branding: atrair talentos e promover a sua empresa no processo

LER MAIS

O lanterna vermelha
OPINIÃO

O lanterna vermelha

LER MAIS

Disrupções nas cadeias de valor podem custar 920 milhões de euros ao PIB europeu
OPINIÃO

Disrupções nas cadeias de valor podem custar 920 milhões de euros ao PIB europeu

LER MAIS

IT CHANNEL Nº 88 JUNHO 2022

IT CHANNEL Nº 88 JUNHO 2022

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.