Vanessa Patrocínio, Associada Sénior da DLA Piper ABBC em 2022-4-21

OPINIÃO

Legal

Ainda podemos utilizar o Google Analytics?

These cookies are made for trackin’ // And that’s just what they’ll do // One of these days these cookies are gonna track all over you

Ainda podemos utilizar o Google Analytics?

Depois de, em dezembro de 2021, a autoridade de proteção de dados austríaca ter concluído que a utilização do Google Analytics é ilegal, em fevereiro deste ano a autoridade de proteção de dados francesa chegou à mesma conclusão. Em janeiro deste ano, a Autoridade Europeia para a Supervisão de Dados admoestou o Parlamento Europeu devido à utilização daquela ferramenta. O que se passa, afinal, com o Google Analytics?

De uma forma simplista, o Google Analytics é uma ferramenta de monitorização utilizada para analisar o tráfego de um site. Por via de um identificador único atribuído a cada visitante do site, são recolhidos dados pessoais que permitem criar um extenso perfil de utilizador e que são armazenados pela Google nos seus servidores fora do Espaço Económico Europeu (EEE), em países que não oferecem um nível de proteção adequada, como é o caso dos EUA, cuja lei permite o acesso dos serviços de informação norte-americanos aos dados, pondo em causa a proteção dos dados pessoais dos visitantes europeus dos sites.

Ora, de acordo com o RGPD, a transferência de dados pessoais para países fora do EEE que não ofereçam um nível adequado de proteção de dados só é permitida se for implementada uma das garantias apropriadas elencadas pelo RGPD. A este propósito, até julho de 2020 vigorou o EU-US Privacy Shield, que foi declarado inválido pelo Tribunal de Justiça da União Europeia (caso Schrems II), por considerar que aquele mecanismo de transferência de dados para os EUA não cumpria o nível de proteção exigido nos termos da legislação europeia. Assim, sobraram, por enquanto, as cláusulas contratuais- tipo (CCT) aprovadas pela Comissão Europeia como mecanismo adequado para transferências recorrentes de dados pessoais para os EUA.

Foi, aliás, à luz da versão de 2010 destas CCT que as autoridades austríaca e francesa analisaram a utilização do Google Analytics, tendo concluído pela sua ilegalidade, pois as medidas contratuais, organizacionais e técnicas adicionais implementadas pela Google enquanto destinatária dos dados não impedem ou reduzem eficazmente o acesso aos dados pelos serviços de informação norte-americanos. Uma vez que, em 2021, a Comissão Europeia aprovou novas CCT, alinhadas com a decisão Schrems II, lamenta-se que aquelas autoridades de controlo não tenham aproveitado a oportunidade para analisar a utilização do Google Analytics à luz das novas CCT. Em qualquer caso, as novas CCT também não são suficientes só por si para garantir a legalidade das transferências internacionais de dados, sendo necessário realizar uma análise, caso a caso, do nível de proteção no país destinatário e das medidas adicionais implementadas pelo destinatário dos dados, por exemplo através da nossa ferramenta de avaliação do risco das transferências.

Procurando minimizar o impacto negativo na utilização do Google Analytics, recentemente a Google anunciou a sua aposta no Google Analytics 4 (GA4), que, ao contrário do atual Universal Analytics, é muito menos dependente de cookies e permitirá minimizar os dados pessoais transferidos, uma vez que, por defeito, não guarda endereços de IP. Infelizmente, as decisões das autoridades de controlo austríaca e francesa não fornecem informação “prática” sobre a suficiência necessária das medidas adicionais implementadas pelos prestadores de serviços cloud, pelo que resta saber se o GA4 bastará para acalmar as preocupações daquelas autoridades.

Aguarda-se, também, com expectativa o desenrolar das negociações entre a UE e os EUA sobre um novo Privacy Shield 2.0 que confira uma maior certeza de legalidade às transferências de dados pessoais para os EUA, na medida em que – e essa é a única certeza possível por agora – na realidade atual tais transferências não vão deixar de ocorrer ou sequer abrandar.

Por cá, embora ainda não se tenha pronunciado oficialmente sobre o tema, a CNPD emitiu em junho de 2021 uma nota informativa dando conta que está a analisar a utilização de cookies pelas entidades públicas e a preparar diretrizes sobre o tema dos cookies, esperando- se desenvolvimentos no curto prazo. Até lá, devem as empresas que utilizam o Google Analytics avaliar a forma como o usam e realizar uma análise de risco da transferência de dados, tendo presente que, embora as decisões das autoridades austríaca e francesa não tenham impacto direto na utilização do Google Analytics em Portugal, a tendência europeia não será de ignorar.

Vanessa Patrocínio

Associada Sénior na DLA Piper ABBC

Recomendado pelos leitores

Os trabalhos e os dias da Intel, na saída do seu CEO
OPINIÃO

Os trabalhos e os dias da Intel, na saída do seu CEO

LER MAIS

2025 – A Bola de Cristal
OPINIÃO

2025 – A Bola de Cristal

LER MAIS

Cibersegurança: a responsabilidade que a Gestão de Topo não pode adiar
OPINIÃO

Cibersegurança: a responsabilidade que a Gestão de Topo não pode adiar

LER MAIS

IT CHANNEL Nº 113 DEZEMBRO 2024

IT CHANNEL Nº 113 DEZEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.