Escrito por Fernando Borges, Associado da Drummond Advisors
Google Analytics é banido da Itália
Em decisão proferida em 2022, a Autoridade de Proteção de Dados (DPA) da Itália baniu do país a ferramenta Google Analytics, após evidências de que não se adequaria a certos padrões do Regulamento Geral de Proteção de Dados Europeu (GDPR), em especial no que tange a suporte legal para transferências internacionais de dados.
É importante ressaltar que as referidas transferências internacionais não podem mais se respaldar no acordo antes existente entre União Europeia e Estados Unidos, denominado Privacy Shield, desde que o mesmo foi invalidado no contexto do caso Schrems II.
Para entender o caso atual, em 17 de agosto de 2020, foi apresentada reclamação à Autoridade Supervisora Italiana sobre transferências de dados supostamente ilícitas para os EUA. O reclamante teria visitado o site da empresa Caffeina Media S.r.l. enquanto estava conectado à conta Google associada ao seu endereço de e-mail. Ocorre que no referido site teriam sido incorporados códigos HTML para as ferramentas do Google Analytics e, então, no contexto da visita, os dados pessoais relativos ao reclamante foram ilicitamente transferidos para os EUA sem recursos de anonimização.
A reclamação foi apresentada contra Caffeina Media S.r.l. e Google LLC, em razão da prática de transferência internacional de dados sem suporte em bases legais válidas e, assim, em violação ao GDPR. A empresa acusada da prática ilícita foi intimada a cessar o uso do Google Analytics em 90 dias.
Em sua decisão, a DPA Italiana identificou que os dados de endereço de IP de visitantes de websites coletados pela ferramenta não seriam suficientemente anonimizados e continuariam visíveis, permitindo que o Google os utilizasse em conjunto com outros dados de forma a identificar os usuários finais.
Em tese, o serviço Google Analytics permite que gestores de plataformas e websites na internet visualizem como os usuários interagem com seus sites em uma variedade de formas, mas sem a possibilidade de identificá-los. Ao revelar que tal identificação é possível, o serviço passou a violar as diretrizes a que se submete, permitindo o tratamento de dados de usuários sem base legal.
Sobre o caso, comentou Andrew Barratt, vice-presidente da Coalfire, que a decisão da autoridade italiana pode ser vista como fruto de retórica “anti-US”, vindo em um contexto que pode prejudicar as negociações entre Europa e EUA no sentido de estabelecer um novo framework para transferências internacionais, podendo trazer consequências diplomáticas indesejadas, ou até mesmo estimular o Google a mover suas operações e capacidades para nações em que haja relacionamentos mais favoráveis de compartilhamento de dados[1].
Max Schrems – um dos fundadores da organização None Of Your Business (NOYB) e autor de ações que culminaram na invalidação de frameworks anteriores – afirmou identificar uma tendência por parte das autoridades europeias de proteção de dados no sentido de perceber o serviço Google Analytics como ilícito e contrário às normas de seu regramento continental[2].
Ocorre que todo esse imbróglio ocorre no contexto em que está sendo discutido um novo framework para dar suporte às transferências entre UE e EUA, ao qual se refere como Privacy Shield 2.0, ou Trans-Atlantic Data Privacy Framework (TADP). Pretende-se, com tal framework definir compromissos a serem assumidos de parte a parte que salvaguardem direitos de titulares de dados em nível compatível com os padrões estabelecidos no GDPR.
“Trans-Atlantic Data Privacy Framework” ou “Privacy Shield 2.0”
Em 25 de março de 2022, a Comissão de Proteção de Dados da União Europeia (European Data Protection Board, ou EDPB) e os EUA anunciaram que se estavam caminhando em direção a um acordo referente a uma nova estrutura para transferências transatlânticas de dados. Este acordo levou à edição de uma Ordem Executiva pelas autoridades americanas que servirá de base à decisão de adequação por parte da Autoridade de Proteção de Dados da UE (European Data Protection Supervisor).
Tal instrumento deverá definir uma nova estrutura de padrões de conduta e compliance visando a:
- reforçar instrumentos de proteção da privacidade e liberdades civis que regem as atividades das autoridades americanas e restrinjam seu acesso a dados pessoais aos limites do que é necessário e proporcional para proteger a segurança nacional dos EUA;
- estabelecer um novo mecanismo multicamadas para respostas a violações, com autoridade independente e poder vinculativo, composto por indivíduos selecionados que não pertençam ao governo dos EUA e que terão plena autoridade para investigar e julgar reclamações, bem como impor medidas corretivas, conforme necessário; e
- aprimorar e tornar mais rigorosa a supervisão existente nos EUA quanto às atividades de inteligência perpetradas por autoridades nacionais.
Com base na abordagem planejada, os indivíduos da UE terão acesso a vias de recurso para endereçar e resolver demandas contra empresas e organizações que participem do framework. Além disso, tal compromisso, uma vez aceito e implementado, oferecerá à indústria outra opção de suporte legal para transferências de dados pessoais entre UE e EUA, para além das cláusulas contratuais padrão (Standard Contractual Clauses) e demais ferramentas.
As discussões iniciadas no primeiro semestre de 2022 levaram, em princípio, a uma declaração de compromissos, mas que ainda não contava com detalhes práticos sobre o novo mecanismo de transferência em si.
O referido acordo, então, foi traduzido em documentos legais para ser refletido em uma Ordem Executiva contendo os compromissos norte-americanos, instrumento esse quefoi assinado pelo presidente Joe Biden em 07 de outubro de 2022.
O referido instrumento foi, então, submetido à ratificação pelos órgãos de controle europeus para que passe a formar as bases de um projeto de decisão de adequação da EDPB que dará suporte a decisão pela implementação ou não do novo framework.
Compreendendo frameworks anteriores: “Safe Harbour Agreement” e “Eu-Us Privacy Shield”
Para melhor compreender o contexto em que se inserem as discussões do framework atual, bem como para entender a relevância das opiniões Maxmilian Schrems no caso, é importante analisar o histórico de discussões referentes aos instrumentos jurídicos que deram suporte ao fluxo de transferências de dados entre EUA e União Europeia.
Originalmente, tais transferências se pautavam pelo Safe Harbour Agreement, um acordo firmado entre EUA e EU, que previa padrões de compliance e segurança a serem respeitados pelos Estados envolvidos, de forma que não fossem necessários instrumentos adicionais para suportar tais transferências transatlânticas.
Em 2013, Max Schrems apresentou uma reclamação perante a Autoridade Supervisora Irlandesa (Data Protection Commissioner) tendo por base o Safe Harbour Agreement. O reclamante alegou que os EUA não apresentavam proteção suficiente para os dados pessoais e privacidade contra a vigilância das autoridades públicas americanas.
Após obter decisão favorável localmente, sendo esta confirmada pela Suprema Corte Irlandesa, o Tribunal de Justiça da União Europeia (Court of Justice of the European Union, ou CJEU) decidiu, em 2015, pela invalidação do Safe Harbour.
Posteriormente, em substituição ao Safe Harbour Agreement, passou-se a adotar o EU-US Privacy Shield, inicialmente reconhecido pela EDPB, em 2016, como uma estrutura que possibilitava grau de proteção aos dados pessoais equivalente ao determinado pelo GDPR, para as transferências internacionais de dados da UE para os EUA.
Em 2020, o mesmo reclamante Max Schrems interpelou novamente a CJEU, alegando que transferências de dados suportadas pelo EU-US Privacy Shield estariam em desacordo com os padrões regulatórios europeus, pois programas de vigilância implantados pelo governo norte-americano representariam violação desproporcional dos direitos à privacidade e à proteção de dados garantidos pelo GDPR.
A CJEU, então, decidiu que o novo framework não garantia o mesmo nível de proteção estabelecido pelo GDPR para os dados pessoais enviados aos EUA e o invalidou, em decisão proferida em 16 de julho de 2020.
Em sua decisão, a corte europeia reconheceu que os EUA não forneciam nível de proteção de dados “essencialmente equivalente” ao encontrado na UE, devido em parte aos amplos poderes concedidos às suas autoridades de segurança e inteligência para acessar dados pessoais de indivíduos. Além disso, a legislação norte-americana não garantiria aos titulares dos dados, incluindo àqueles residentes na União Europeia, medidas judiciais ou outros meios efetivos para pleitear a proteção de seus dados contra o acesso e uso abusivo por autoridades públicas, nem o direito de requerer a retificação ou exclusão de seus dados.
Próximos Capítulos
Com o novo framework sendo atualmente discutido, é importante mencionar que o cenário de resistência que encontrará o Privacy Shield 2.0 não é animador, uma vez que Max Schrems, através de sua organização NOYB, publicou uma carta aberta em que aponta preocupações quanto ao mesmo.
Em sua carta, a NOYB critica o fato de que os negociadores não endereçaram de forma satisfatória as necessárias alterações materiais nas leis e regulamentos americanos que dão suporte às atividades de inteligência. Foi proposto apenas a inclusão de filtros subjetivos para dar suporte às atividades de tratamento, tais como “necessário” ou “proporcional” para atender aos interesses da segurança nacional.
Além disso Schrems alega que o órgão a ser designado para lidar com potenciais violações às normas de proteção de dados não teria suficiente independência, estando vulnerável a ser contaminado por interesses de escalões governamentais tendenciosos.
A carta ainda contém preocupações no sentido de que não há um plano de atualizar os princípios que permearam os frameworks anteriores, de forma que o conflito entre mecanismos de proteção de privacidade e regulamentações de atividades de vigilância impediria o fluxo, troca e convergência de dados pessoais.
Diante desse cenário, é possível afirmar que as discussões quanto ao Privacy Shield 2.0 ainda são mais políticas do que práticas, uma vez que os EUA ainda não caminharam na direção de adotar medidas jurídicas efetivas que permitirão garantir o nível de segurança exigido pelo GDPR para tais transferências internacionais de dados.
Como consequência, até que tal situação se concretize, é possível prever recorrentes posturas de desconfiança frente, não só às autoridades públicas, mas também a empresas privadas quem adotam padrões de conduta semelhantes, negligenciando a segurança dos dados de seus usuários em um ambiente regulatório que não assegura proteção suficiente aos mesmos, ou o direito de buscar cessação ou reparação de danos.
Resta, agora, aguardar pelos próximos capítulos.
REFERÊNCIAS
BBB NATIONAL PROGRAMS INC. The Next Phase of Privacy Shield. Lexology, USA, 16 jun. 2022. Disponível em <https://www.lexology.com/library/detail.aspx?g=ee32a59e-2d51-4c98-b04f-324659d2ba35&utm_source=Lexology+Daily+Newsfeed&utm
_medium=HTML+email+-+Body+-+General+section&utm_campaign=
Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2022-06-20&utm_term=>. Acesso em 04 out. 2022.
BRIMSTED, Kate; BLEST, Anna. EU-US data transfers – State of Play on “Privacy Shield 2.0”. Lexology, USA, 09 mai. 2022. Disponível em <https://www.lexology.com
/library/detail.aspx?g=85de85bb-7a89-49a6-9009-969cdb2e4dae>. Acesso em 04 out. 2022.
COOPER, Daniel; MENESES, Anna. EU and US Reach Agreement in Principle on Privacy Shield 2.0. Lexology, USA, 27 mar. 2022. Disponível em <https://www.lexology.com/library/detail.aspx?g=62378dd7-59c7-462a-92ce-1fd1e5fc1c9a&utm
_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+
section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2022-03-29&utm_term=.>. Acesso em 04 out. 2022.
DLA PIPER. NOYB open letter on the new EU – US data deal. Lexology, USA, 24 mai. 2022. Disponível em <https://www.lexology.com/library/detail.aspx?g=2462d933-82d9-44db-ae44-83c447a4b4bb>. Acesso em 04 out. 2022.
EUROPEAN DATA PROTECTION BOARD. Italian SA bans use of Google Analytics: no adequate safeguards for data transfers from Caffeina Media S.r.l. to the U.S. Itália, 30 jun. 2022. Disponível em <https://edpb.europa.eu/news/national-news/2022/italian-sa-bans-use-google-analytics-no-adequate-safeguards-data-transfers_en>. Acesso em 04 out. 2022.
IKEDA, Scott. Italy Bans Google Analytics Over Improper EU-US Data Transfers. CPO Magazine, 05 jul. 2022. Disponível em <https://www.cpomagazine.com/data-protection/italy-bans-google-analytics-over-improper-eu-us-data-transfers/#:~:text=Google%20Analytics
%2C%20the%20world’s%20most,no%20longer%20welcome%20in%20Italy.>. Acesso em 04 out. 2022.
KLEMCHUK LLP. The US and EU Agree to Stringent Trans-Atlantic Data Privacy (TADP) Framework. USA, 15 set. 2022. Disponível em <https://www.lexology.com/library/detail.aspx?g=574b782f-1db1-4010-a53f-d71842c5aef0&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed
&utm_content=Lexology+Daily+Newsfeed+2022-09-20&utm_term=>. Acesso em 04 out. 2022.
NONE OF YOUR BUSINESS – NOYB. Update: CNIL decides EU-US data-transfer to Google Analytics illegal. USA, 05 abr. 2022. Disponível em <https://noyb.eu/en/update-cnil-decides-eu-us-data-transfer-google-analytics-illegal>. Acessado em 04 out. 2022.
PHAN, Kim; STIO III, Angelo; RAETHER JR., Ronald. US and Europe Issue Joint Statement Announcing Agreement on New Trans-Atlantic Data Privacy Framework to Replace EU-US Privacy Shield. Lexology, USA, 28 mar. 2022. Disponível em <https://www.lexology.com
/library/detail.aspx?g=10c3d230-4856-4c4c-b2e0-ca27c6
c4db4b&utm_source=Lexology+Daily+Newsfeed&utm_medium=HTML+email+-+Body+-+General+section&utm_campaign=Lexology+subscriber+daily+feed&utm_content=Lexology+Daily+Newsfeed+2022-03-29&utm_term=.>. Acesso em 04 out. 2022.
[1] Em sua declaração original, Andrew Barratt afirma: “This decision by the Italian DPA seems to be mostly in contravention to the new Trans-Atlantic Data Privacy Framework, which was intended to underpin adequacy for data transfer between EU countries and the US. This move could potentially jeopardize years of negotiation with the USA and the EU. (…) There is some clear anti-US rhetoric from the Italian DPA – which may have further diplomatic consequences or lead Google to move operations and capabilities to other countries with more favorable intelligence sharing relationships such as the five eye nations”.
[2] Em sua declaração original, Max Schrems afirma: “It’s interesting to see that the different European Data Protection Authorities all come to the same conclusion: the use of Google Analytics is illegal. There is a European task force and we assume that this action is coordinated and other authorities will decide similarly”.
