Riscuri de business ce intervin din utilizarea Google Analytics

Article Riscuri de business ce intervin din utilizarea Google Analytics (GDPR) | Decalex

De ce este Google Analytics un risc pentru afaceri?

  GDPR și transferurile în afara UE

Orice companie din afara UE trebuie să ofere interes în continuare Regulamentului general privind protecția datelor (GDPR), deoarece neglijarea acestuia le poate afecta. Încă de la început, articolul 3 din GDPR menționează aplicarea extrateritorială a regulamentului și modul în care regulile se aplică oricărei companii care prelucrează date cu caracter personal ale cetățenilor UE. Acest lucru a fost consolidat prin cadrul teoretic prezentat de ghidurile Comitetului European pentru Protecția Datelor, precum și în practică, prin deciziile Autorităților Naționale pentru Protecția Datelor. Deoarece GDPR se aplică oricărei companii care prelucrează date cu caracter personal din UE, aceasta implică faptul că companiile din afara UE trebuie să asigure protecția datelor la fel de riguros ca orice companie din Uniune. Toate companiile trebuie să asigure nu doar stocarea adecvată a datelor, ci și transferul securizat al acestor date.

Context privind Schrems II

La 16 iulie 2020, Curtea de Justiție a Uniunii Europene (CJUE) a invalidat Scutul de confidențialitate UE-SUA, care reprezenta cadrul standard pentru reglementarea schimburilor transatlantice de date cu caracter personal. Acest lucru însemna că, deși Clauzele Contractuale Standard (CCS) erau încă valabile, acestea necesitau analize și muncă suplimentare. Companiile trebuie să se asigure că țara destinatară (în acest caz SUA) are o protecție a datelor echivalentă cu cea a UE.

CJUE a subliniat obligația existentă a companiilor care exportă date de a asigura o protecție adecvată a datelor înainte de a le exporta. Destinatarul, în acest caz Google Analytics, este obligat să informeze exportatorul cu privire la orice impedimente în calea respectării CCS-urilor. Dacă existența unor legi locale de supraveghere, precum cele din Statele Unite, ar împiedica alinierea la GDPR, atunci compania trebuie să oprească transferul și să încheie contractul. În cazul în care exportatorul de date nu își îndeplinește obligațiile în temeiul CCS, autoritatea principală de supraveghere trebuie să intervină și poate interzice transferul.

  Utilizarea Google Analytics și de ce nu este conform acesta

Ca urmare a deciziei Schrems II, s-a ajuns la concluzia că utilizarea furnizorilor din SUA încalcă GDPR, întrucât legile de supraveghere din SUA impun furnizorilor, precum Google, să furnizeze informații personale autorităților americane. Autoritatea Austriacă pentru Protecția Datelor (DSB) a fost una dintre autoritățile care au decis că utilizarea continuă a Google Analytics încalcă GDPR, după decizia Schrems II. În mod similar, Autoritatea Franceză pentru Protecția Datelor (CNIL) a ridicat și ea această problemă, iar Autoritatea Europeană pentru Protecția Datelor a sancționat Parlamentul UE pentru transferuri ilegale de date UE-SUA.

 În cazul Google Analytics, s-a dovedit că atunci când numerele de identificare setate de cookie-uri sunt combinate cu alte elemente, precum o adresă IP, combinarea ar putea duce la prelucrarea informațiilor personale prin utilizarea cookie-urilor. Astfel, dacă o companie cu sediul în SUA plasează un cookie pe un site web controlat de o entitate din UE, acțiunea va constitui un transfer de date cu caracter personal și va fi necesar un mecanism legal în conformitate cu articolul 5 din GDPR.

În acest caz, Google Analytics și compania exportatoare trebuie să se asigure că:

●       există alte cerințe de securitate în vigoare pentru a asigura transferul de date în SUA, altele decât SCC, sau

●    elemente precum adresele IP să fie anonimizate și să nu ajungă în SUA, astfel încât să nu conducă la prelucrarea datelor cu caracter personal.

 În primă instanță, ori de câte ori are loc un transfer internațional de date între UE și SUA pe baza CCS-urilor, părțile trebuie să prevadă „măsuri suplimentare” în plus față de CCS. Sugestiile cu privire la ceea ce ar putea implica acele măsuri rămân vagi – deoarece nu există documente, dovezi sau alte informații cu privire la măsurile contractuale, tehnice sau organizaționale necesare pentru a asigura un nivel de protecție esențial echivalent.

 În a doua instanță, companiile sunt sfătuite să folosească instrumentele pe care Google le oferă pentru a asigura conformitatea generală cu legile aplicabile. Stabilirea controalelor de confidențialitate și utilizarea resurselor Google se pot dovedi esențiale pentru o companie, deoarece ar fi dificil să se impună măsuri de securitate suplimentare unei companii la fel de mare ca Google Analytics.

 Ce pot face companiile pentru a se asigura că sunt cât mai conforme posibil?

Pe termen lung, pentru a-și asigura conformitatea, SUA poate fie să adapteze mai multe protecții de bază pentru companiile din UE pentru a-și sprijini industria tehnologică, fie furnizorii din SUA vor trebui să găzduiască orice date UE în afara Statelor Unite. Totuși, această a doua opțiune ar presupune o relocare majoră, întrucât orice serviciu de întreținere ar trebui mutat și el, întrucât accesul la date pentru a oferi suport sau ajutor reprezintă prelucrarea datelor cu caracter personal. În general, Max Schrems consideră că pe termen lung există posibilitatea de a avea produse separate pentru SUA și UE în cazul în care legislația SUA nu este conformă. Acest lucru ar reprezenta schimbări uluitoare în economia la nivel mondial, dar decizia este la discreția legiuitorilor americani.

Între timp, companiile din UE se pot asigura că sunt cât mai conforme posibil prin utilizarea instrumentelor de confidențialitate pe care Google Analytics le oferă ca resurse. Aceste instrumente oferă posibilitatea (1) de a întrerupe transferul datelor cu caracter personal prin anonimizare sau (2) de a restricționa pe cât posibil transferul de date prin restricționarea cookie-urilor de marketing care sunt considerate cele mai invazive. Unele dintre aceste instrumente sunt:

●        Dezactivarea colectării datelor prin Google Analytics

○        În unele cazuri, companiile din UE pot dori să dezactiveze temporar sau definitiv colectarea datelor analitice, cum ar fi pentru a colecta consimțământul utilizatorului final sau pentru a îndeplini obligațiile legale.

●        Dezactivarea funcțiilor de publicitate/personalizare

○        Orice companie din UE care utilizează Google Analytics are opțiunea de a activa și de a dezactiva funcțiile de publicitate și personalizarea publicității, inclusiv funcțiile de remarketing și de raportare publicitară, modificând setările proprietății.

●        Anonimizarea adreselor IP

○        Funcția de anonimizare IP din Google Analytics anonimizează ultimele cifre ale IP-ului utilizatorului. Făcând acest lucru, companiile din UE se asigură că adresele IP nu ajung în SUA și, prin urmare, nu reprezintă un transfer de date personale. Când o companie din UE solicită anonimizarea adresei IP, Analytics anonimizează adresa cât mai curând posibil din punct de vedere tehnic, în cel mai devreme stadiu posibil al rețelei de colectare.

 Ce urmează după Google Analytics?

Similar cu utilizarea cookie-urilor în cazul Google Analytics, o instanță germană a amendat un site web neidentificat cu 100 EUR pentru încălcarea legislației UE privind confidențialitatea prin importul unui font web găzduit de Google. Decizia, pronunțată de a treia cameră civilă din München, a constatat că includerea Google-Fonts a dus la transmiterea adresei IP a unui utilizator către Google fără autorizație și fără un motiv legitim pentru a face acest lucru, încălcând astfel Regulamentul General european privind Protecția Datelor.

 În special, atunci când utilizatorul a vizitat site-ul web, pagina a făcut ca browserul utilizatorului să preia un font de la Google Fonts pentru a-l folosi pentru un anumit text și prin aceasta a dezvăluit adresa IP către Google. Decizia Curții a relevat că adresele IP reprezintă în general date cu caracter personal, deoarece teoretic este posibil să se identifice persoana asociată cu o adresă IP. Prin urmare, aceasta înseamnă că a existat un transfer de date cu caracter personal în SUA.

 Concluzii

Pe baza deciziilor recente ale mai multor Autorități pentru Protecția Datelor și a sancțiunilor Autorității Europene pentru Protecția Datelor, s-a demonstrat că transferul de date către Google Analytics nu este sigur din cauza inadecvării clauzelor contractuale actuale. De acum înainte, companiile din UE trebuie să se asigure că transferul de date cu caracter personal către SUA prin Google Analytics este suficient de sigur prin adăugarea de cerințe de securitate, altele decât CCS sau prin restricționarea maximă a datelor cu caracter personal prin anonimizare.

Share:
Decalex
Autor: DECALEX

PUNE O INTREBARE