Folosirea serviciilor giganților tehnologici americani precum Google sau Meta (Facebook) de către website-urile europene încalcă legislația UE privind protecția datelor personale, în speță prevederile legate de transferurile internaționale de date.

Servicii ca Google Analytics și Facebook Connect funcționează pe baza cookie-urilor. Odată plasate pe dispozitivele sau în browserele utilizatorilor care accesează website-uri din Uniunea Europeană pe care sunt implementate, cookie-urile colectează și transferă date personale ale acestor utilizatori pe serverele din SUA ale Google și Facebook/Meta. 

Companiile americane nu pot însă oferi garanții adecvate privind protecția față de accesul agențiilor americane de informații în scopuri de securitate națională la datele personale ale cetățenilor UE transferate în SUA.

Atât Autoritatea Europeană pentru Protecția Datelor (AEPD), care supraveghează prelucrarea datelor personale în cadrul instituțiilor europene, cât și autoritatea de supraveghere din Austria, au emis recent două decizii de referință care arată că utilizarea cookie-urilor Google Analytics de către website-urile din UE este ilegală, întrucât acestea transferă date personale pe serverele Google din SUA, țară pe care Comisia Europeană o consideră neadecvată pentru efectuarea de transferuri internaționale (Vezi Decizia AEPD, PDF, Decizia Autorității de supraveghere din Austria, PDF, consultate online, 31.01.2022.). 

Cele două decizii survin după invalidarea prin așa-numita hotărâre „Schrems II” de către Curtea de Justiție a Uniunii Europene (CJUE), în iulie 2020, a Privacy Shield („Scutul de Confidențialitate”), un mecanism de transfer de date între UE și SUA. Ca urmare a hotărârii CJUE, ONG-ul austriac NOYB a formulat 101 plângeri cu privire la utilizarea ilegală a Google Analytics și Facebook Connect de către website-uri din diferite țări europene. 

Decizia recentă a autorității de supraveghere din Austria vine ca răspuns la una dintre aceste plângeri formulată de NOYB la adresa unui website austriac care utiliza serviciile Google Analytics. Decizia AEPD a fost elaborată ca urmare a unei plângeri depusă de membri ai Parlamentului European, cu privire la utilizarea cookie-urilor Google Analytics și Stripe pe un site al instituției destinat membrilor săi cu privire la administrarea testărilor COVID-19 (Vezi o analiză comprehensivă a acestor două decizii în Gabriela Zanfir-Fortuna, Understanding why the first pieces fell in the transatlantic transfers domino, consultat online, 31.01.2022.).

Aceste două decizii au însă implicații mult mai largi, putând fi extrapolate tuturor furnizorilor de servicii de comunicații electronice din SUA și sunt așteptate decizii asemănătoare și din partea altor autorități naționale de supraveghere a prelucrării datelor cu caracter personal din Uniunea Europeană (Vezi pe larg câteva reacții la aceste decizii din partea specialiștilor în protecția datelor și a industriei de profil în Jennifer Bryant, Austrian DPA`s Google Analytics decision could have `far-reaching implications`, Matt Burgess, Europe`s move against Google Analytics is just the beginning, consultate online, 31.01.2022.). 

Decizia Autorității austriece a provocat un ecou și din partea Autorității de supraveghere din Domeniul Guernsey (Office of the Data Protection Authority), (Domeniul Guernsey este un teritoriu dependent de Regatul Unit al Marii Britanii și al Irlandei de Nord, dar care nu face parte din acesta, fiind deplin independent în toate chestiunile, exceptând relațiile internaționale și apărarea, care incumbă Guvernului Britanic. Domeniul Guernsey beneficiază de decizie de adecvare din partea Comisiei Europene cu privire la transferurile internaționale de date personale. Vezi Decizia Comisiei din 21 noiembrie 2003 privind nivelul adecvat de protecție a datelor cu caracter personal în Guernsey, PDF, consultat online, 31.01.2022.) care a anunțat că, drept urmare a deciziei amintite, a considerat adecvat să îndepărteze de pe website-ul propriu Google Analytics, pe care l-a utilizat în mod „limitat” (ODPA, Google Analytics Update, consultat online 31.01.2022.).

Securitatea națională și accesul comunității de informații a SUA la datele personale ale europenilor

Accesul comunității de informații americane la datele personale ale cetățenilor UE, în scopuri privind securitatea națională, a stat la baza invalidării în 2020 a Scutului de Confidențialitate, CJUE considerând că sunt necesare măsuri suplimentare care să asigure în mod real protecția datelor personale transferate în SUA prin intermediul oricărui instrument legal de transfer. 

În practică nu există însă măsuri eficiente, care să suplimenteze instrumentele juridice adecvate de transfer internațional de date precum Clauzele Contractuale Standard, astfel încât să elimine accesul comunității de informații a SUA la datele personale ale persoanelor vizate din UE, atât timp cât legislația acestei țări rămâne în forma actuală iar furnizorii americani de servicii de comunicații electronice transferă date în țara lor de origine (Pentru o prezentare a cadrului instituțional și legislativ cu privire la activitățile de supraveghere desfășurate de comunitatea de informații din SUA vezi Andrew Serwin, An Overview of US Surveillance in Light of 'Schrems II', PDF, Data Protection Conference (Datenschutzkonferentz DSK)/Berlin Comissioner for Data Protection and Freedom of Information (ed.), Expert Opinion on the Current State of US Surveillance Law and Authorities from Prof. Stephen I. Vladeck, University of Texas School of Law, PDF, consultate online, 31.01.2022.). 

Kent Walker, președinte Global Affairs&Chief Legal Officer Google, a solicitat oficialilor europeni și americani să finalizeze cu celeritate un succesor al Scutului de Confidențialitate, considerând că această soluție ar rezolva problemele actuale (Kent Walker, It’s time for a new EU-US data transfer framework, consultat online, 31.01.2022.). În orice caz, adoptarea unui succesor al Scutului de Confidențialitate ar rezolva doar temporar blocajul actual, deoarece și acesta va sta, în condițiile legislative actuale din SUA, sub permanenta amenințare a invalidării de către CJUE.

Schimbarea legislației americane sau prelucrarea de către companiile din SUA a datelor personale pe teritoriul UE sau în țări considerate adecvate de Comisia Europeană se conturează ca fiind singurele soluții viabile pe termen lung pentru depășirea actualei situații (Vezi pe larg NOYB,  Austrian DSB: EU-US data transfers to Google Analytics illegal, consultat online 31.01.2022.).

În orice caz, trebuie luat în considerare și faptul că Scutul de Confidențialitate (ca de altfel, orice posibil succesor al acestuia), ca mecanism de transfer internațional de date, a garantat în principal respectarea regulilor privind transferurile internaționale și nu a constituit o garanție „în alb” că furnizorul de peste ocean participant/certificat în cadrul mecanismului ar fi conform cu legislația europeană privind protecția datelor (în special cu Regulamentul 679/2016, cunoscut drept „GDPR”). 

De aceea, chiar în situația în care un astfel de succesor ar intra în vigoare în viitorul mai mult sau mai puțin îndepărtat, companiile europene trebuie să se asigure și că furnizorul certificat din SUA  prezintă garanții solide privind conformarea cu legislația europeană privind protecția datelor, în special în concordanță cu cerințele articolului 28 al GDPR, când deține calitatea de persoană împuternicită.

Ce informații transmit cookie-urile Google Analytics în SUA

Autoritatea austriacă a reliefat că fiecare cookie conține numere de identificare, inclusiv un timestamp al momentului în care a fost plasat. Acești identificatori cookie se încadrează în categoria datelor cu caracter personal și crează o amprentă digitală unică a utilizatorului, prin intermediul căreia dispozitivele pe care au fost plasate cookie-urile și subsecvent utilizatorii acestora pot fi individualizați. Plasarea cookie-urilor pe dispozitivele și/sau navigatoarele web constituie prelucrare de date personale (Vezi pe larg analiza deciziei Autorității austriece în Gabriela Zanfir-Fortuna, op. cit., în special 1.1-1.2.). 

Numerele de identificare ale cookie-urilor pot fi combinate cu alte elemente, rezultând astfel date cu caracter personal adiționale. Printre aceste alte elemente pot fi amintite log-urile de acces ale website-urilor (informații despre paginile și subpaginile accesate), adresa IP a utilizatorului sau informațiile despre navigatorul web utilizat, sistemul de operare, limba, rezoluția ecranului (Ibidem.). 

Aceste date personale pot fi folosite pentru identificarea utilizatorului de către website în calitate de operator de date personale și de furnizorul Google Analytics, compania americană Google LLC (cel puțin în scopuri de măsurare a traficului), și posibil, prin intermediul furnizorului american sau în mod independent, de către agențiile de securitate ale SUA (Vezi ibidem, 1.3.). 

Fără îndoială, constatările Autorității de supraveghere din Austria sau ale AEPD cu privire la utilizarea cookie-urilor Google Analytics pot fi extinse asupra tuturor cookie-urilor aparținând companiilor din SUA care sunt utilizate pe website-uri din UE.

Responsabilitatea cu privire la utilizarea cookie-urilor „de origine” americană și transferurile ilegale de date personale pe care acestea le efectuează în SUA le revine în principal website-urilor din UE care implementează servicii precum Google Analytics.

Soluții „locale” pentru probleme „globale”

Contractarea unor furnizori „locali” care să prelucreze datele cu caracter personal pe servere din Uniunea Europeană/Spațiul Economic European ori în țări considerate adecvate pentru efectuarea unor transferuri internaționale sau utilizarea unor soluții „on-premises” se înfățișează de departe ca cele mai sigure soluții.

De exemplu, o alternativă la Google Analytics poate fi Matomo (fost Piwik), o soluție de web analytics open source și controlată în totalitate de proprietarii website-lui pe care este implementată (first party). Matomo poate fi găzduit atât în cloud pe servere UE, cât și „on-premises” și dispune de funcționalități care permit anonimizarea IP-ului sau pseudonimizarea altor identificatori online. 

Totuși, proprietarii website-urilor, în calitate de operatori de date personale, trebuie să țină cont de faptul că datele personale „anonimizate” (atunci când anonimizarea nu este realizată în mod ireversibil) și pseudonimizate constituie în continuare date cu caracter personal pe care au obligația să le prelucreze în conformitate cu GDPR.  

În ceea ce privește butonul Facebook Connect, chiar dacă este implementat corect și este obținut consimțământul cu privire la colectarea și transmiterea prin dezvăluire către terți a datelor utilizatorului sau cu privire la alte scopuri de prelucrare, utilizarea lui este ilegală întrucât transferă date personale prin intermediul cookie-urilor către serverele companiei Facebook/Meta din Statele Unite. 

O „alternativă” la serviciul Facebook Connect sau alte servicii similare oferite de platforme social media din SUA este folosirea unor plugin-uri sociale care îndeplinesc exclusiv funcțiunea de share și care utilizează cookie-uri strict necesare și redirecționează utilizatorul „la cerere” spre website-urile respectivelor platforme.

​​Nota autorului: Materialul are un caracter informativ și general și nu constituie consultanță în materie de protecția datelor personale, securitate fizică sau a informațiilor. Pentru situații particulare trebuie să obțineți consultanță de specialitate.