Google Analytics: após a disponibilização do Privacy Garantor, o que acontece agora nos sites das administrações públicas?

por LUISA DI GIACOMO *

Como sabemos agora, com um layout muito recentea Garantidora da Proteção de Dados Pessoais, provocou um ‘terremoto’ na web, alegando que todos os sites públicos e privados que usam o serviço Google Analytics ou serviços similares, sem as garantias fornecidas pelo Regulamento da UE 679/2016 (GDPR), violar as leis de proteção de dados ao transferir dados de usuários para os Estados Unidos. A transferência de dados para os Estados Unidos, na pendência de um acordo real e concreto com a União Europeia, é considerada perigosa em termos de proteção de dados, porque a lei federal americana autoriza autoridades públicas, em nome de autoridade superior segurança nacional, para acessar os dados pessoais de qualquer pessoa sem limitação, incluindo dados transferidos da Europa. Era apenas uma questão de tempo depois Esquemas de Julgamento II (C-311/18 de 16 de julho de 2020), o conhecido acórdão pelo qual o Tribunal de Justiça Europeu invalidou o privacidade escudoe a decisão da Autoridade Austríaca de Proteção de Dadosque disse em dezembro passado que o uso de Serviço Google Analytics fornecido pela Google LLC não é compatível com GDPR.

Não só isso: como muitos escritórios da AP bem sabem, nos últimos seis meses, nos escritórios da Piazza Venezia, uma chuva de relatórios e apelos literalmente derramou, principalmente por uma associação bem conhecida conhecida pelos ativistas, NOYB (Não é da sua conta, literalmente “não é da sua conta”), que pertence a um “certo” Maximilian Schrems (a desambiguação não é coincidência) que denunciaram o uso ilegal de Analytics nos sites de mais de 7.000 administrações públicas, e tantos DPOs receberam PECs e relatórios de proprietários assustados, que perguntaram como se comportar e como e se mudar sua própria instituição Lugar, colocar.

Depois de tudo isso, o fiador italiano finalmente decidiu, lembrandoa atenção de todos os gerentes italianos de sites públicos e privados sobre a ilegalidade das transferências feitas para os Estados Unidos através do Google Analytics e concedendo 90 dias para regularizar a situação.

A Autorité baseou sua decisão em uma série de observações:

  1. O Google coleta, por meio de Biscoitos transmitidas ao navegador do usuário, informações relativas a modo de interação deste último com o site, com as páginas individuais e com os serviços oferecidos;
  2. Os dados recolhidos consistem em: identificadores online únicos que permitem tanto a identificação do navegador ou dispositivo, como do próprio gestor do site (através do identificador da conta Google); endereço, nome do site e dados de navegação; Endereço IP do dispositivo utilizado pelo usuário; informações relativas ao navegador, ao sistema operativo, à resolução do ecrã, ao idioma selecionado, à data e hora da consulta do site
  3. o dito anonimização de IP é, na verdade, apenas um pseudonimizaçãoporque o truncamento do último byte de dígitos não impede o Google de reidentificar o usuário, levando em consideração todas as informações detidas por este sobre qualquer pessoa que interaja na Web.
  4. Além disso, o Google tem a possibilidade, caso o interessado tenha acessado seu perfil do Google, de associar o endereço IP a outras informações adicionais já em sua posse, a fim de recriar um perfil de usuário completo.
  5. Existe, portanto, uma violação, por parte do site que utiliza o Analytics, do princípio da responsabilidadedado que o responsável pelo tratamento não adotou as medidas técnicas e organizativas necessárias para assegurar o correto tratamento dos dados pessoais.

O que fazer então?

A chuva de relatórios da NOYB nos últimos meses teve, no mínimo, o mérito de fazer alvoroço em torno do sensibilização de órgãos públicos sobre o uso interno de dados.
Com razão, aquando da receção dos PEC, os encarregados da proteção de dados foram alertados, mas as respostas às questões levantadas nem sempre tiveram o mérito de destacar responsabilidade do Proprietário (o PA proprietário do site) e a abordagem do proteção de dados por design e por padrão exigido pelo regulamento europeu sobre a proteção de dados pessoais.
Antes de mais nada, é bom saber que existe uma alternativa ao Google Analytics para PA: AgID em suas “Diretrizes de design para sites de PA e serviços digitais” vem propondo há algum tempo substituir o Google Analytics por Web Analytics Itália, uma versão italiana de código aberto. O Fiador ainda não se pronunciou sobre isso, mas pelo menos podemos dizer que temos certeza de que não há transferências de dados para países fora da UE.
Alguns afirmam que não é o mesmo porque nenhum serviço semelhante ao Google Analytics funciona como o original, mas a verdadeira questão é: o que o Google Analytics faz?
Questionados sobre a “estratégia web” usada em seus sites, é doloroso notar que os APs envolvidos se mostraram muito mal preparados.

As principais perguntas a fazer

Você sabe dizer se seu site usa o Google Analytics? GA é um plotter, um biscoitos que pode ser usado para “mapear” as atividades que são realizadas pelos usuários do site, anonimamente (ou supostamente, desde que o Fiador tenha confirmado que na verdade não é anônimo). Mas se este serviço é essencial para sites de negócios, que fazem acompanhamento e publicidade ao vivo, temos certeza que para um site “institucional” é realmente útil conhecer essa informação? Grandes bases de dados trazem grandes responsabilidades por títulos, e os órgãos públicos não são exceção.
Você pode verificar o GA em seus sites? Aqui, basta ligar para o webmaster, a pessoa ou a agência que criou fisicamente o site e responder, mas mesmo assim você está tateando no escuro: não há hora marcada para processador de dados externo, para o administrador do sistema, e até mesmo os entrevistados muitas vezes não têm uma compreensão clara de por que há Analytics no site.
Por que você usa GA? Como você usa os dados coletados em seu site? Quantos sites são atribuíveis à sua organização? E os perfis sociais?
Agora, a consciência da administração pública sobre o mundo digital se perde em uma rede de referências e rebotes.
O problema para as autoridades locais, portanto, não é (pelo menos não apenas) usar ou não o Google Analytics.
O problema é aumentar o treinamento e a conscientização processamento, ferramentas de processamento, propriedade de dados, relações com gestores, direitos das partes interessadas: na prática, no GDPR e no próprio sistema de segurança de TI.
Porque o processo de digitalização dos fundos do AP e do PNRR vai daqui: de possibilidade de usar o GDPR como ponto de partida para uma revisão global de sua estratégia de TI e proteção de dados, antes que os próprios fundos se esgotem sem deixar vestígios.
Como obrigatório para não sofrer sanções, o processo de uma verdadeira transição digital passa pelo compliance: de função de um DPO que é de facto uma ajuda valiosa e não uma fachada, para a elaboração de registro de processamento completa e precisa, pelos editores de procedimentos à adoção de boas práticasé hora dos APs adotarem acções concretas no domínio da digitalização (uma quimera muitas vezes se move apenas em palavras, mas não muito concretamente em ações) para a melhoria da produtividade das Organizações e assim ter uma influência positiva e concreta não só no trabalho de centenas de milhares de funcionários públicos, mas em todo o funcionamento do aparelho estatal.

O AUTOR

* Luísa Di Giacomo É advogado há mais de quinze anos. Desde 2012 é consultor de privacidade para várias empresas no norte da Itália e desde 2018 ocupa o cargo de DPO em várias administrações públicas (municípios, organismos de investigação, organismos de proteção social) e privadas. negócios. Desde 2022, faz parte do grupo de consultores especialistas em direito de proteção de dados estabelecido no Conselho Europeu de Proteção de Dados.
Formada em direito civil e comercial, dedica-se há dez anos exclusivamente ao direito da Internet, novas tecnologias, proteção de dados pessoais e cibersegurança.
Completou períodos de estudo e trabalho no exterior, é professora e formadora do spa Maggioli, responsável pela seção de segurança cibernética do portal rights.it, editora da Gazzetta degli Local Authorities.
Ele fala inglês e francês em nível nativo e tem bons conhecimentos de espanhol e português.
Adora escrever ficção e dedicar-se à formação presencial e online.
Ela gosta de se chamar Cyber ​​Advocate.

© DIREITOS AUTORAIS RESERVADOS

Cooper Averille

"Praticante de cerveja incurável. Desbravador total da web. Empreendedor geral. Ninja do álcool sutilmente encantador. Defensor dedicado do twitter."

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *