Transferência de dados do Google Analytics para os EUA resulta em multa de $1 milhão para empresas suecas
5 de Julho de 2023

A Autoridade Sueca de Proteção à Privacidade (Integritetsskyddsmyndigheten - IMY) multou duas empresas em 12,3 milhões de SEK (€ 1 milhão / $ 1,1 milhão) por usar o Google Analytics e advertiu outras duas sobre a mesma prática.

Em uma decisão publicada ontem, a agência explica que, ao usar o Google Analytics para gerar estatísticas da web, as empresas estavam violando o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.

Especificamente, as empresas estavam infringindo o artigo 46 (1) do GDPR, que proíbe a transferência de dados pessoais para países ou organizações internacionais que não possuam salvaguardas que garantam segurança e mecanismos legais de reparação.

Os Estados Unidos foram considerados um local arriscado para o armazenamento de dados de usuários europeus, de acordo com a decisão "Schrems II" de julho de 2020, na qual o Tribunal de Justiça da União Europeia (CJEU) decidiu que quaisquer transferências de dados para os EUA no contexto do mecanismo então existente, "Privacy Shield", eram ilegais.

Esta violação é a mesma pela qual a Comissão de Proteção de Dados da Irlanda (DPC) multou o Meta em US $ 1,3 bilhão por transferir dados de usuários da UE para servidores nos EUA.

A IMY, após a apresentação de uma reclamação relevante pela organização austríaca de direitos digitais None of Your Business (NOYB), realizou auditorias para determinar o tipo de dados que a ferramenta Google Analytics envia para os EUA e concluiu que se trata de informações pessoais.

As auditorias diziam respeito a uma versão da ferramenta Google Analytics de 14 de agosto de 2020.

"A IMY considera que os dados transferidos para os EUA por meio da ferramenta de estatísticas do Google são dados pessoais porque esses dados podem ser vinculados a outros dados exclusivos que são transferidos", afirma.

As quatro empresas que foram repreendidas são:
- Tele2 SA
- CDON AB
- Coop SA
- Dagens Industri

Tele2 SA - um provedor de serviços de telecomunicações e internet na Suécia, recentemente decidiu parar de usar o Google Analytics por iniciativa própria.

As outras três organizações devem parar de usar o Google Analytics e implementar medidas adequadas de proteção de dados até um mês após a decisão da IMY, que foi anunciada em 30 de junho de 2023.

O uso do Google Analytics também foi considerado não conforme com o GDPR pelas autoridades de proteção de dados da Áustria, França e Itália no passado.

No entanto, a decisão da IMY de impor penalidades financeiras aos infratores torna esta a primeira desse tipo.

Essas decisões também servem como orientação para toda a indústria e outras empresas que usam o Google Analytics podem decidir ajustar sua estratégia para cumprir as regras e regulamentos da UE.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...