O Google Analytics é uma ferramenta de Web Analytics da Google que permite monitorizar e analisar o tráfego de websites, para além de permitir a integração de outras ferramentas. Através desta, é possível monitorizar o perfil dos utilizadores que navegam num determinado website, loja online, aplicação ou plataforma, quais as páginas mais visitadas, os dispositivos utilizados, as cidades de quem visita o website, etc.
No passado mês de janeiro, a Autoridade de Controlo da Áustria no que concerne à proteção de dados pessoais, declarou que a utilização da Google Analytics viola o Regulamento Geral sobre a Proteção de Dados (“RGPD”). A argumentação utilizada não é novidade já que vai de encontro ao entendimento seguido pelo Tribunal de Justiça da União Europeia em 2020, no Acórdão “Schrems II” sobre a transferência internacional de dados pessoais, e que declarou a invalidade do acordo Privacy Shield celebrado entre a União Europeia e os EUA. A razão de ser deste entendimento prende-se com o facto de algumas autoridades governamentais dos EUA terem poderes, ao abrigo da lei, para vigiar e aceder aos dados pessoais transferidos para a Google, que se encontra sediada em território dos EUA.
A queda da primeira peça de dominó – A relevância da decisão da Autoridade de Controlo da Áustria após a declaração de invalidade do Privacy Shield
O Tribunal de Justiça da União Europeia, em 16 de julho de 2020, declarou o acordo Privacy Shield inválido, precisamente por a legislação dos EUA (FISA 702) permitir que determinadas entidades governamentais possam exigir à entidade americana recetora os dados pessoais que lhe foram transferidos da União Europeia, sendo, portanto, incompatível com os direitos fundamentais dos cidadãos da União Europeia.
Tal fez ressurgir o problema das transferências internacionais de dados pessoais da União Europeia para os EUA. Assim, conscientes dos interesses económicos e diplomáticos em jogo, algumas Autoridades de Controlo de vários países europeus têm emitido, entre 2020 e 2022, orientações e recomendações com medidas adicionais para a realização de transferências de dados pessoais entre a União Europeia e os EUA, bem como apontado algumas falhas em procedimentos aplicados por entidades públicas.
A decisão da Autoridade de Controlo da Áustria é, assim, a primeira de um conjunto de muitas outras que se prevê que venham a ser emitidas nos próximos meses, não só relacionadas com a Google Analytics mas com as transferências de dados pessoais da Europa para os EUA, em geral, que versa sobre entidades privadas.
Esta decisão considerou ainda que algumas das medidas aplicadas para mitigar o risco da transferência internacional de dados pessoais para os EUA são insuficientes, como por exemplo a transferência de endereços de IP truncados (incompletos), na medida em que os titulares dos dados poderiam ainda ser identificados conjugando aquele dado pessoal, com outros dados pessoais recolhidos, a que a Google ou a entidade governamental dos EUA, poderia ter acesso.
A queixa que deu origem a esta decisão, faz parte de um conjunto de queixas apresentadas em vários países da União Europeia – os denominados 101 casos NOYB – organização que se dedica a temas de privacidade e de proteção de dados no setor privado. Este grupo alega, em suma, que as empresas que utilizam a Google Analytics estão a incumprir o Acórdão do Tribunal de Justiça da União Europeia “Schrems II”.
É expectável que venham a surgir outras decisões no mesmo sentido da decisão da Autoridade de Controlo da Áustria, como a recente decisão da Autoridade de Controlo Francesa – Commission Nationale de l’Informatique et des Libertés (“CNIL”), datada de 10 de fevereiro de 2022, e que considerou as transferências de dados pessoais operadas através da Google Analytics ilegais, determinando que o website francês visado deve cumprir as normas do RGPD e, se necessário, cessar a utilização daquele serviço, naquelas condições.
Outras medidas adicionais aplicadas pela Google, como a elaboração de relatórios de transparência sobre o acesso por entidades governamentais e a encriptação dos dados pessoais, foram igualmente consideradas insuficientes.
Podem as empresas portuguesas continuar a utilizar a Google Analytics?
As empresas devem estar conscientes de que o risco material de utilização da ferramenta Google Analytics, bem como da transferência de dados pessoais para os EUA, tem aumentado de forma substancial e que continuará a aumentar a cada decisão das autoridades de controlo, que considere estas práticas contrárias ao RGPD.
As empresas devem ainda implementar medidas que demonstrem um cuidado redobrado na mitigação dos riscos das transferências de dados pessoais. Devem ser sempre realizadas avaliações de impacto sobre a proteção de dados pessoais, referentes às transferências de dados pessoais para os EUA, bem como quanto à utilização da ferramenta Google Analytics. As medidas adicionais de proteção, incluindo aquelas recomendadas pelas autoridades de controlo (em Portugal, a CNPD – Comissão Nacional de Proteção de Dados) e pelo Comité Europeu para a Proteção de Dados (“CEPD”) deverão ser implementadas e devidamente documentadas.
Finalmente, os órgãos de decisão das empresas devem estar cientes de que até que seja alcançada uma solução diplomática, como um novo acordo que venha substituir o acordo Privacy Shield, bem como a correspondente decisão de adequação, o risco associado à transferência internacional de dados pessoais para os EUA, incluindo a utilização da ferramenta Google Analytics, continuará a existir, podendo implicar consequências graves para o negócio, bem como para o cumprimento das normas de proteção de dados pessoais em vigor.
por Ana Bastos e Diogo Moreira Ramos, Área de Prática – TMT / Privacidade e Cibersegurança