Por Vinicius Melo Santos, advogado da área contratual/societária do escritório Lopes Muniz Advogados Associados

Em recente decisão, publicada no começo deste ano, a Autoridade Austríaca de Proteção de Dados, a “Datenschutzbehörde”  ou  apenas “DSB”, decidiu que o Google Analytics viola os padrões de segurança necessários à Transferência Internacional de Dados, conforme parâmetros definidos na GDPR , haja vista sua impossibilidade de garantir aos titulares de dados pessoais transferidos da União Europeia aos servidores do Google, hospedados nos Estados Unidos, a segurança no tratamento e, especialmente, no compartilhamento destes com as Autoridades Americanas, que poderão requerer o acesso a essas informações, em função de legislações internas de vigilância às quais o Google encontra-se submetido.

O Google Analytics é uma ferramenta de marketing digital bastante utilizada ao redor do mundo, por meio da qual é possível, através da identificação de códigos de rastreamento, a obtenção de relatórios de padrões de consumo de usuários de sites e aplicativos, permitindo às empresas oferecerem experiências de navegação personalizadas aos seus clientes, mediante a coleta dos seus dados pessoais e a identificação de suas preferências na internet.  

De acordo com a GDPR, a Transferência Internacional de Dados é condicionada à comprovação de, ao menos, um dos permissivos estabelecidos em lei, sendo um deles, a confirmação, mediante decisão da Comissão Europeia, de que o país destinatário dos dados pessoais assegura um nível adequado de proteção de dados (“Decisão de Adequação”). 

Até julho de 2020, a transferência de dados pessoais entre União Europeia e Estados Unidos fundava-se na autorização obtida por meio de um acordo celebrado entre referidos agentes internacionais, denominado “Privacy Shield”, que, assim como uma Decisão de Adequação, permitia que dados coletados na Europa fossem transferidos para servidores hospedados nos Estados Unidos. 

Referido acordo foi, todavia, julgado ilegal pelo Tribunal de Justiça da União Europeia, que em 2020 considerou que a transferência de dados para provedores dos Estados Unidos, enquadrados em legislações americanas de segurança, que concedem às Autoridades Estadunidenses a prerrogativa legal de solicitar acesso às informações originadas do exterior (FISA 702 e EO 12.333 ), violava os padrões de segurança disciplinados na GDPR, isso, porque referidas leis não forneciam garantia suficiente quanto ao limite e à proporcionalidade na análise e tratamento desses dados pelas Autoridades Americanas e não ofereciam mecanismos de efetivo controle, pelos respectivos titulares dos dados, para se oporem a essa operação.

Com a revogação do Privacy Shield, o Google e outros provedores que hospedam, nos Estados Unidos, dados originados no ambiente europeu, passaram a fazê-lo – na tentativa de se adequarem à GDPR –  através das denominadas Cláusulas Padrão Contratuais, que, aprovadas pela Comissão Europeia, refletem acordos entre os respectivos agentes de tratamento de dados, acerca da responsabilidade no fornecimento de salvaguardas quanto à proteção das informações transferidas para além dos limites da União Europeia, quando o país destinatário destas não se beneficiar de uma Decisão de Adequação, o que, todavia, no caso do Google Analytics, não foi considerado suficientemente apto para tanto, conforme decisão da Autoridade Austríaca. 

Nesse contexto, ao endossar o mérito da decisão proferida pelo Tribunal de Justiça da União Europeia, que revogou o Privacy Shield, a decisão da DSB coloca o tema no radar de todas as empresas que utilizam o Google Analytics ao redor do mundo, especialmente na Europa. 

No Brasil, por exemplo, em que pese a Agência Nacional de Proteção de Dados – ANPD  ainda não tenha regulamentado os procedimentos específicos aplicáveis à Transferência Internacional de Dados, como por exemplo a definição das Cláusulas-Padrão Contratuais, o tema ascende um alerta quanto à possibilidade de violação da LGPD por players que utilizam o Google Analytics e/ou outras ferramentas com a mesma funcionalidade, visto que há entre a LGPD e a GDPR extrema similaridade, ao passo que a legislação brasileira se originou da legislação europeia, comungando em vários pontos e normas comuns. 

Diante dessa imprecisão do cenário brasileiro, é recomendável, destarte, que as empresas que tratam dados originados no Brasil, especialmente aqueles destinados ao exterior, o façam em conformidade com a LGPD e com os procedimentos já disciplinados pela ANPD, obtendo, exemplificativamente, o consentimento prévio dos titulares de dados para a coleta, tratamento, compartilhamento e transferência internacional de dados, quando, por lei, não houver base legal para sua dispensa, bem como limitem seu tratamento às finalidades informadas e ao quanto estritamente necessário ao atingimento destas. Isto, a princípio, mitigará os riscos de uma penalização, bem como facilitará a incorporação de adequações pertinentes, que vierem a se fazer necessárias a partir do disciplinamento da matéria pela ANPD.