Quando a Privacy Shield foi invalidada em 2020, isso teve consequências de longo alcance para os serviços online dos EUA que operam na Europa: eles não tinham mais permissão para transferir dados de cidadãos europeus para os EUA, pois isso tornaria os dados de cidadãos europeus vulneráveis à massa americana, sendo uma clara violação do GDPR europeu.
Agora, a Autoridade Austríaca de Proteção de Dados atingiu o mesmo acordo que o tribunal europeu ao declarar o Privacy Shield como inválido: decidiu que o uso do Google Analytics viola o Regulamento Geral de Proteção de Dados (GDPR). O Google está "sujeito à vigilância dos serviços de inteligência dos EUA e pode ser obrigado a divulgar dados de cidadãos europeus a eles". Portanto, os dados dos cidadãos europeus não podem ser transferidos através do Atlântico.
Que caso era esse?
Em 14 de agosto de 2020, um usuário do Google acessou um site austríaco sobre questões de saúde. Este site usou o Google Analytics e os dados sobre o usuário foram transmitidos ao Google. Com base nesses dados, o Google conseguiu deduzir quem ele era. Em 18 de agosto de 2020, o usuário do Google reclamou à autoridade austríaca de proteção de dados com a ajuda da organização de proteção de dados NOYB. Agora, o tribunal austríaco declarou essa transferência de dados como ilegal.
O problema em questão é que, devido ao American CLOUD Act, as autoridades dos EUA podem exigir dados pessoais do Google, Facebook e outros provedores dos EUA, mesmo quando operam fora dos EUA, como na Europa, por exemplo. Assim, o Google não pode fornecer um nível adequado de proteção de acordo com o Artigo 44 GDPR - uma clara violação das garantias europeias de proteção de dados. As cláusulas contratuais padrão invocadas pelo operador do site não ajudam, conforme reconhecido em 2020 pelo Tribunal de Justiça Europeu (TJ) em sua decisão sobre o "Escudo de privacidade" (Schrems II).
O fator decisivo para a avaliação legal do uso do Google Analytics não é se uma agência de inteligência dos EUA realmente obteve os dados ou se o Google realmente identificou o usuário. O simples fato de que isso era teoricamente possível já era uma violação do GDPR. Os usuários do Google podem, no entanto, fazer uma configuração em suas contas do Google para impedir que o Google avalie o uso de sites de terceiros em detalhes. Mas a existência desse recurso é a prova de que o Google é capaz de mesclar dados de uso com o indivíduo.
Como isso afeta o Brasil e a América Latina?
Verdade seja dita, se o Google conseguir efetuar com que os dados de seus serviços assim como o Google Analytics sejam armazenados em servidores na Europa, esse problema com a GDPR europeia já se esgota.
Sei que essa mudança é BEM complexa, mas sendo o Google e isso afetando imagem e caixa da empresa, eles podem mover mundos e fundos para tal, mas ainda sim essa proibição não é na Europa como um todo e sim na Áustria.
Estima-se que isso é a ponto do iceberg e que com essa vitória Austríaca e a GDPR já existindo por quase 4 anos na Europa, o Google, Facebook e afins deveriam já ter se adequado às normas da região e por isso acaba sendo mais grave ainda.
Aqui no Brasil e América Latina, seguimos normais pois isso AINDA não nos afetou mas a verdade é que o esquema é o mesmo, a LGPD foi baseada nos moldes da GDPR e os dados do GA, Ads, Facebook, Mixpanel e outras ferramentas são armazenados em servidores nos EUA e isso pode afetar o Brasil também
Fontes onde pesquisei esse conteúdo:
Top comments (0)