19 ABRIL, 2022

CNPD avisa: sem “medidas adequadas”, uso do Google Analytics é ilegal

A CNPD diz que o tratamento de dados que a Google Analytics faz, “em abstrato”, pode ser legal, mas é necessário que se cumpram “medidas adequadas de proteção” - que a Google, atualmente, não cumpre.

Artigo da série

19 ABRIL, 2022

CNPD avisa: sem “medidas adequadas”, uso do Google Analytics é ilegal

A CNPD diz que o tratamento de dados que a Google Analytics faz, “em abstrato”, pode ser legal, mas é necessário que se cumpram “medidas adequadas de proteção” - que a Google, atualmente, não cumpre.

Artigo da série

Por Inês Rocha (Jornalista), Joana Gonçalves (Fotografia e vídeo)

19 abril, 2022

A Comissão Nacional de Proteção de Dados considera que o uso do Google Analytics não é, em abstrato, ilegal, mas quando usado sem “medidas adequadas” que protejam os dados dos cidadãos, no contexto das transferências internacionais de dados, está a violar as leis europeias.

Em fevereiro, o Google Analytics foi declarado ilegal pela CNIL, a entidade de proteção de dados francesa. Já tinha sido também declarado ilegal pela autoridade da Áustria, em janeiro. Ambas as autoridades dizem que a ferramenta não oferece proteção suficiente dos dados dos cidadãos europeus, na transferência dos mesmos para os Estados Unidos.

No mesmo mês, a Autoridade Europeia para a Proteção de Dados (EDPS) sancionou o próprio Parlamento Europeu por, ao utilizar o Google Analytics e o fornecedor de pagamentos Stripe (ambas empresas norte-americanas), estar desrespeitar a decisão Schrems II do Tribunal de Justiça Europeu (TJUE) sobre transferências de dados entre a UE e os EUA.

O Google Analytics é a ferramenta de medição estatística dos sites mais utilizada do mundo. Segundo o site BuiltWith, é utilizado por pelo menos 28 milhões de sites em todo o mundo, o que representa 74% dos sites mundiais. Só em Portugal, será utilizado por 52 mil sites, segundo estimativas do mesmo site. Também é usado por este site, onde está a ler esta notícia.

Uma análise feita pela Renascença a 30 sites do Estado permitiu verificar que 54% usa o Google Analytics para medir os dados estatísticos de visitas.

Sites públicos ajudam a construir perfis para nos adaptar publicidade

Ver mais

Porque é que o serviço foi declarado ilegal na União Europeia? Pela mesma razão que levou a Comissão Nacional de Proteção de Dados a abrir um processo contra o INE, em maio do ano passado: está tudo no acórdão Schrems II, do Tribunal de Justiça da União Europeia.

A União Europeia só permite a exportação de dados pessoais se o país de destino garantir o mesmo nível de proteção dos dados que o regime da UE – algo que não acontece nos Estados Unidos, tendo em conta as leis e as conhecidas práticas do Governo de vigilância sobre a população, incluindo sobre estrangeiros.

Assim, para facilitar as trocas comerciais entre as duas potências, em 2000, a Comissão Europeia chegou a um acordo com os Estados Unidos para regular as transferências transatlânticas.

A decisão, conhecida como “Porto Seguro” (Safe Harbour Decision), esteve em vigor durante 15 anos, mas foi levada a tribunal por um ativista pela privacidade austríaco, Max Schrems.

Em outubro de 2015, num processo que ficou conhecido como “Schrems I”, o Tribunal de Justiça da União Europeia deu razão ao ativista e decidiu invalidar esta decisão, por considerar que não oferecia um nível de proteção suficiente aos cidadãos europeus.

Jornalistas rodeiam Max Schrems depois de o Tribunal de Justiça da União Europeia decidir a seu favor, em 2015, e invalidar o acordo "Safe Harbour", que até então regulava as transferências de dados pessoais da UE para organizações norte-americanas. Foto: Leonhard Foeger/Reuters

Com o acordo invalidado, após um longo período de negociações, em julho de 2016, os EUA e a UE acordaram um novo enquadramento legal para as transferências transatlânticas de dados pessoais - o “Escudo de Protecção da Privacidade UE-EUA” (EU-U.S. Privacy Shield). Mas em julho de 2020, o tribunal invalidou também este acordo, na decisão “Schrems II”.

Desde então, as transferências de dados transatlânticas são consideradas ilegais na União Europeia. Em entrevista à Renascença, em julho de 2021, Max Schrems dizia ver as decisões a que emprestou o nome muito pouco respeitadas.

"O Tribunal de Justiça foi muito explícito a dizer que a transferência de dados é ilegal, mas porque toda a gente o faz, as autoridades normalmente não começam a aplicar. É um pouco como o ovo e a galinha. Se não há aplicação da lei, as empresas não vão mudar a sua política, e se ninguém muda a política, é sempre necessário aplicar a lei caso a caso. Portanto temos uma espiral negativa de não cumprimento massivo”, dizia Schrems.

Acordo sobre transferência de dados entre UE e EUA. Vem aí um Schrems III?

Ver mais

Já no final de março, União Europeia e Estados Unidos voltaram a chegar a acordo sobre transferências de dados transatlânticas - o que significa que estas transferências poderão voltar a ser lícitas, brevemente.

Ainda assim, o acordo parece estar condenado a não durar muito tempo. Max Schrems acusa as instituições europeias de voltar a aceitar um acordo “puramente político”, sem base legal, e ameaça voltar ao tribunal europeu para anular também este acordo.

“Sem a transparência devida quanto ao tratamento, o consentimento não é válido. E a maior parte das vezes nem se pede consentimento, portanto estamos a falar de tratamentos completamente ilegais” — Filipa Calvão, presidente da Comissão Nacional de Proteção de Dados

Para a CNPD, Google Analytics é legal só “com medidas adequadas” (que a Google não cumpre)

Questionada pela Renascença se partilha da visão das três autoridades europeias que declararam a ferramenta da Google ilegal na União Europeia, Filipa Calvão não dá uma resposta de “sim” ou “não”.

A questão tem dois níveis para analisar: em primeiro lugar, está o consentimento informado do utilizador. “Se eu tiver a liberdade de aceitar ou não aceitar esses analytics, eu diria, não há necessariamente violação da lei”, começa por dizer a presidente da Comissão Nacional de Proteção de Dados.

Veja também
Quis saber se o RGPD funciona. Então, fiz “download” da minha vida
Sites públicos ajudam a construir perfis para nos adaptar publicidade
O que podemos fazer para reduzir a nossa Pegada Digital?
Ser presidente da CNPD deve ser “das atividades mais frustrantes no domínio da ação pública”

O problema, em grande parte dos casos, “é que não se explica qual é a finalidade, não explica quem é que está a recolher, a quem é que está a ser transmitida a informação, qual é o prazo de conservação dessa informação, não se explica nada”, explica Filipa Calvão, adiantando que, se analisasse casos concretos, como analisaram as três autoridades europeias, “provavelmente a conclusão seria de que é ilegal”.

“Mas há a possibilidade, em abstrato, de se cumprir a lei e ainda se utilizar cookies de estatística”, explica.

Por outro lado, há a questão do envio de dados para os Estados Unidos. Mesmo com esse envio, “em abstrato”, é possível haver esse tratamento de dados - mas só “com medidas adequadas”, já que “o Estado terceiro em causa não garante um nível de proteção adequado dos dados pessoais”.

Que medidas adequadas são essas? Por exemplo, “medidas de encriptação em que a chave encriptação não fique na mão do prestador de serviços. Portanto que, no fundo, a informação vá para lá e não possa ser vista por terceiros. Em abstrato isto é possível. Agora diz-me: a Google não tem interesse nisso? Não, não tem”.

De qualquer forma, independentemente desta questão das transferências internacionais, “sem a transparência devida quanto ao tratamento, o consentimento não é válido. E a maior parte das vezes nem se pede consentimento, portanto estamos a falar de tratamentos completamente ilegais”, conclui a presidente da CNPD.

Europa está num impasse político. Atualmente, grande parte dos tratamentos de dados são ilegais

Como se resolve, então, o facto de grande parte da internet estar ilegal, ao se basear em serviços norte-americanos que não oferecem as tais “medidas adequadas de proteção”? Pela mesma ordem de ideias, qualquer serviço associado à Google, ao Facebook, à Microsoft, à Amazon ou a qualquer outro serviço que envie dados para os Estados Unidos é ilegal.

“Ou começamos a criar condições para este tipo de soluções aparecerem na Europa ou os Estados Unidos melhoram a sua legislação do ponto de vista de proteção de direitos fundamentais”, diz Luís Antunes.

Max Schrems, o ativista que levou a que os últimos acordos fossem invalidados, não considera que um novo acordo entre Estados Unidos e União Europeia, como o que está a ser preparado, seja a solução. Em julho de 2021, disse à Renascença que a única forma de resolver o impasse seria através de “um acordo internacional contra a espionagem”, com algumas regras.

Por exemplo, “que diga que só se pode espiar as pessoas se houver um juiz que o tenha aprovado”. Ou que obrigue a que as pessoas sejam informadas de que foram espiadas, uma vez terminada a operação, caso se conclua que a investigação não se justificou, sugere o ativista.

No entanto, Max Schrems considera que isso não irá acontecer enquanto não houver pressão por parte das próprias empresas norte-americanas.

“A indústria tem-me dito que pode pressionar Washington a mudar a lei, mas não vê necessidade. De qualquer modo, a Europa não está a fazer nada a esse respeito”, diz o advogado.

O impasse político já levou mesmo o dono do Facebook a ameaçar deixar de operar na Europa.

Num relatório anual submetido ao supervisor norte-americano dos mercados, a Securities and Exchange Commission (SEC), a Meta avisou que as redes sociais Instagram e Facebook podem deixar de funcionar na Europa, já que o seu modelo de negócio está a ser posto em causa pelas leis europeias.

Luís Antunes dá “grau de credibilidade zero” à ameaça de Mark Zuckerberg. “Nunca o farão, podem ameaçar as vezes que quiserem”, afirma o docente da Universidade do Porto.

CNPD avisa: sem “medidas adequadas”, uso do Google Analytics é ilegal