Novamente sobre o Google Analytics

E lá vamos nós falar novamente da CNIL, a Autoridade de Proteção de Dados da França. E também novamente sobre o Google Analytics, claro.

Novamente sobre o Google Analytics
Fonte: CNIL.

A CNIL publicou ontem, dia 7 de junho, uma página com “perguntas e respostas” sobre suas notificações referentes ao produto Google Analytics (chamado de “GA” no restante deste texto). O documento, intitulado “Perguntas e respostas sobre as notificações formais da CNIL relativas ao uso do Google Analytics”. E o subtítulo é bastante interessante:

A CNIL emitiu uma notificação formal a várias organizações para cumprir com o uso do Google Analytics devido à transferência de dados para os Estados Unidos sem garantias suficientes para os direitos dos usuários europeus. Quais são as consequências para as organizações?

É sabido que o regime de transferências internacionais da LGPD é bastante semelhante ao do Regulamento Geral sobre a Proteção de Dados (RGPD) – isto para não dizer que é uma “cópia” com palavras diferentes. Por isso, considero que a publicação do documento da CNIL é relevante para a atuação do profissional de proteção de dados no Brasil.

Para facilitar já traduzi a página, que está disponível logo abaixo para você. As partes mais relevantes dizem respeito à utilização do GA e às alternativas disponíveis. Altere as referências à “União Europeia” por “Brasil” que o resultado (em termos de proteção de dados) será muito semelhante – daí a importância do texto!


Esta FAQ aborda apenas as decisões formais da CNIL sobre o uso do Google Analytics após a invalidação do Privacy Shield.

A declaração conjunta da Comissão Europeia e dos EUA em março de 2022 sobre uma futura decisão de regular adequadamente os fluxos de dados para os EUA é, nesta fase, apenas um anúncio político. O EDPB [sigla em inglês para Comitê Europeu de Proteção de Dados] emitiu uma declaração em 6 de abril na qual esclareceu que esta declaração não constitui um quadro jurídico no qual as organizações possam se basear para transferir dados para os EUA.

Quanto às notificações formais

Em resumo, o que devemos aprender com as notificações formais emitidas pela CNIL?

O contexto

Em 16 de julho de 2020, o Tribunal de Justiça da União Europeia proferiu uma decisão importante: o Privacy Shield, que regia as transferências de dados entre a União Europeia e os Estados Unidos, foi invalidado porque não oferecia garantias adequadas contra o risco de acesso ilegal das autoridades americanas aos dados pessoais dos residentes europeus.

Somente a implementação de salvaguardas técnicas, legais e organizacionais adicionais pelas agências para impedir tal acesso poderia, na prática, permitir tais transferências.

Em agosto de 2020, a associação noyb apresentou 101 reclamações a diversas autoridades europeias de proteção de dados sobre websites utilizando, entre outros, a ferramenta de análise de audiência amplamente utilizada Google Analytics, cuja empresa-mãe está localizada nos Estados Unidos.

A decisão

Na comunicação formal publicada em 10 de fevereiro de 2022 relativa a uma dessas organizações, a CNIL considerou que:

  • As medidas postas em prática pelo Google não são suficientes para excluir a possibilidade de acesso aos dados dos residentes europeus;
  • Os dados dos usuários europeus da Internet são, portanto, ilegalmente transferidos por meio desta ferramenta.

Por que o aviso formal foi publicado online anonimamente?

Uma das notificações formais relacionadas ao uso do Google Analytics foi publicada anonimamente no site da CNIL em 16 de fevereiro de 2022.

A decisão foi anonimizada porque não pareceu útil mencionar o nome de uma determinada editora de websites, já que o uso desta ferramenta é muito difundido.

O objetivo é que todos os controladores de dados que utilizam esta ferramenta estejam em conformidade.

As organizações têm um prazo a cumprir?

As organizações que foram notificadas com uma notificação formal têm um mês para cumprir e justificar este cumprimento junto à CNIL. Este período de um mês pode ser renovado a pedido das organizações envolvidas.

Todos os controladores de dados que utilizam o Google Analytics de forma semelhante a estas organizações devem considerar este uso como ilegal sob o RGPD.

Devem, portanto, recorrer a um fornecedor que ofereça garantias suficientes de conformidade.

Esta interpretação das consequências da decisão “Schrems II” da CNIL é compartilhada a nível europeu?

A fim de harmonizar as decisões e proporcionar segurança jurídica às partes interessadas, as autoridades europeias que receberam reclamações da associação NOYB (none of your business, em inglês) sobre o tema de transferências pelo Google Analytics se organizaram em um grupo de trabalho para examinar em conjunto as questões legais levantadas nestes casos e coordenar suas posições e decisões.

A decisão da CNIL não é a primeira a nível europeu: um mês antes da CNIL, a autoridade austríaca de proteção de dados emitiu uma primeira decisão em janeiro que vai na mesma direção que a da autoridade francesa.

Por que todas as reclamações apresentadas pela associação noyb não foram processadas ao mesmo tempo?

Todas as queixas apresentadas pela associação noyb que foram encaminhadas à CNIL foram investigadas de forma coordenada: no entanto, as situações foram examinadas caso a caso e de acordo com as respostas fornecidas pelas organizações.

Todas as organizações na França cujo uso do Google Analytics foi objeto de reclamações por parte da noyb foram agora notificadas com notificações formais.

Com relação ao uso da ferramenta Google Analytics

As cláusulas contratuais padrão e salvaguardas adicionais podem permitir o uso do Google Analytics?

Os entrevistados tinham estabelecido cláusulas contratuais padrão com o Google, que o Google oferece por padrão aos usuários desta solução. Estas cláusulas contratuais padrão por si só não podem fornecer um nível de proteção suficiente no caso de um pedido de acesso de autoridades estrangeiras, particularmente se tal acesso for previsto pelas leis locais.

Em sua resposta aos pedidos da CNIL, o Google indicou que havia posto em prática medidas legais, organizacionais e técnicas adicionais, que no entanto foram consideradas insuficientes para assegurar a proteção efetiva dos dados pessoais transferidos, em particular contra pedidos de acesso aos dados pelos serviços de inteligência dos EUA.

É possível configurar a ferramenta Google Analytics para que os dados pessoais não sejam transferidos para fora da União Europeia?

Não.

Em resposta ao questionário enviado pela CNIL, o Google indicou que todos os dados coletados por meio do Google Analytics estão hospedados nos Estados Unidos.

Mesmo que não haja transferência, o uso de soluções propostas por empresas sujeitas a jurisdições não europeias é susceptível de apresentar dificuldades em termos de acesso aos dados. De fato, as organizações podem ser obrigadas pelas autoridades de países terceiros a divulgar dados pessoais hospedados em servidores localizados na UE.

O artigo 48 do RGPD limita tais divulgações aos casos em que o país terceiro requerente e a UE ou o Estado-Membro em questão são partes de um acordo internacional que prevê tais divulgações.

É possível ter o Google Analytics configurado para que apenas dados anonimizado sejam transferidos para os EUA?

No aviso de contestação, o Google indicou que usa medidas de pseudonimização, mas não de anonimização. O Google oferece anonimização IP, mas não é aplicável a todas as transferências. Além disso, não está claro a partir das evidências fornecidas pelo Google se esta anonimização ocorre antes da transferência para os EUA.

Além disso, o uso de identificadores únicos para diferenciar entre indivíduos pode tornar os dados identificáveis, especialmente quando combinados com outras informações, tais como metadados do navegador e do sistema operacional. Estes dados permitem um rastreamento preciso dos usuários, em alguns casos em vários dispositivos diferentes. Embora o EDPB admita, em suas Recomendações de 18 de junho de 2021, a possibilidade de utilizar a pseudonimização como medida adicional, sua utilização está sujeita a uma análise destinada a garantir que o conjunto de informações transmitidas não permita, em nenhum caso, a reidentificação da pessoa, mesmo levando em conta os meios substanciais de que dispõem as autoridades que possam desejar realizar tal reidentificação.

Finalmente, o uso conjunto do Google Analytics com outros serviços do Google, particularmente serviços de marketing, pode aumentar o risco de rastreamento. De fato, esses serviços, amplamente utilizados na França, podem permitir que o endereço IP seja cruzado e assim rastrear o histórico de navegação da maioria dos usuários da Internet em um grande número de sites.

Diferença entre anonimização e pseudonimização
A pseudonimização é o tratamento de dados pessoais de tal forma que não é mais possível atribuir os dados a uma pessoa física sem mais informações. Na prática, a pseudonimização consiste em substituir dados de identificação direta (sobrenome, primeiro nome, etc.) em um conjunto de dados por dados de identificação indireta (apelido, número sequencial, etc.).
A anonimização consiste em utilizar um conjunto de técnicas de tal forma que seja impossível, na prática, identificar a pessoa por qualquer meio e de forma irreversível. Os dados anonimizados não estão mais sujeitos ao RGPD.
A criptografia poderia ser uma garantia adicional suficiente?

Sim, mas sob certas condições.

A implementação da criptografia de dados pelo Google provou ser uma medida técnica insuficiente porque o próprio Google LLC criptografa os dados e é obrigado a conceder acesso ou fornecer os dados importados em sua posse, incluindo as chaves de criptografia necessárias para tornar os dados inteligíveis. Como o Google LLC mantém a possibilidade de acessar os dados de indivíduos de forma clara, tais medidas técnicas não podem ser consideradas eficazes neste caso (ver as Recomendações do Comitê Europeu de Proteção de Dados sobre medidas complementares às transferências, ponto 85).

A criptografia é, portanto, uma garantia adicional insuficiente se o órgão sujeito às solicitações das autoridades dos EUA puder acessar dados pessoais em texto claro.

Para que a criptografia seja considerada como uma salvaguarda adicional suficiente, as chaves de criptografia devem, entre outras coisas, ser mantidas sob o controle exclusivo do exportador de dados, ou de outras entidades estabelecidas em um território que ofereça um nível de proteção adequado (ver Recomendações do Comitê Europeu de Proteção de Dados 01/2020, ponto 84).

Existem salvaguardas adicionais suficientes para continuar usando apenas a ferramenta Google Analytics?

Nenhuma das salvaguardas adicionais apresentadas à CNIL no contexto da notificação formal impediria ou tornaria ineficaz o acesso dos serviços de inteligência dos EUA aos dados pessoais dos usuários europeus ao utilizar apenas a ferramenta Google Analytics.

No entanto, uma solução envolvendo um servidor proxy para evitar o contato direto entre o terminal do usuário e os servidores da ferramenta de medição pode ser possível. Contudo, deve-se assegurar que este servidor cumpra um conjunto de critérios para que se possa considerar que esta medida adicional está de acordo com o previsto pelo EDPB em suas Recomendações de 18 de junho de 2021.

É possível continuar a transferir dados com o consentimento explícito dos indivíduos?

O consentimento explícito dos titulares dos dados é uma das possíveis derrogações previstas para certos casos específicos pelo artigo 49 do RGPD. No entanto, como declarado nas diretrizes do Comitê Europeu de Proteção de Dados sobre essas derrogações, estas derrogações nas quais se inclui o consentimento explícito só podem ser utilizadas para transferências não sistemáticas, e não podem ser uma solução permanente e de longo prazo, pois o uso de uma derrogação não pode se tornar a regra geral.

Quanto a soluções alternativas disponíveis para os agentes de tratamento

Existem ferramentas alternativas?

A CNIL publicou uma lista de ferramentas de medição de audiência que podem ser isentas de consentimento quando devidamente configuradas.

Esta lista inclui ferramentas que já demonstraram à CNIL que podem ser configuradas para se limitar ao estritamente necessário para a prestação do serviço e, portanto, não requerem o consentimento do usuário, de acordo com o Artigo 82 da Lei de Proteção de Dados francesa.

No entanto, esta lista não examina atualmente as questões levantadas pelas transferências internacionais, em particular as consequências do julgamento “Schrems II”.

Como garantir que as ferramentas de medição de audiência não transfiram dados para um país terceiro inadequado?

No caso em que a ferramenta proposta transfira dados para fora da União Europeia ou quando a empresa que publica a ferramenta tenha vínculos de capital ou organizacionais com uma matriz localizada em um país que permita aos serviços de inteligência exigir acesso a dados pessoais localizados em outro território, é necessário avaliar a estrutura legal do país terceiro.

Esta avaliação pode ser baseada em:

  • Decisões do Tribunal de Justiça da União Europeia ou da Corte Europeia de Direitos Humanos, que puderam avaliar a conformidade de certas legislações com as normas europeias de proteção de dados;
  • Recomendações de autoridades de proteção de dados europeias, que, por exemplo, detalharam as salvaguardas essenciais que devem ser encontradas no terceiro país ao avaliar o nível de proteção de dados.

Também pode ser possível utilizar o método de proxy, que, quando configurado corretamente, permite apenas o envio de dados pseudonimizados para um servidor fora da União Europeia.

Os controladores podem adotar uma abordagem baseada no risco, levando em conta a probabilidade de solicitações de acesso aos dados?

Não.

Os dados pessoais transferidos para um país fora da União Europeia devem ter um nível de proteção “substancialmente equivalente” ao proporcionado na UE.

Em particular, a possibilidade de acesso ilegal a dados pessoais que vão além do que é necessário e proporcional numa sociedade democrática pelas autoridades públicas mina seriamente os direitos e liberdades fundamentais das pessoas em questão.

Caso tal acesso seja possível (e não apenas quando o acesso for provável) e as salvaguardas em torno da emissão de pedidos de acesso aos dados não forem adequadas para garantir um nível de proteção de dados substancialmente equivalente ao garantido na União Europeia (ver Recomendações do EDPB sobre salvaguardas essenciais), são necessárias medidas técnicas adicionais para tornar tal acesso impossível ou ineficaz.

Estas medidas são previstas pelas Recomendações sobre medidas complementares às transferências do Comitê Europeu de Proteção de Dados.


O que você acha destas “perguntas e respostas” da CNIL falando novamente sobre o Google Analytics? Serão úteis para o caso brasileiro ou estão muito “distantes” da nossa realidade? Comente abaixo!