O Regulamento Geral de Proteção de Dados da União Européia (GDPR) entrou em vigor no último dia 25 de maio. O GDPR destina-se a dar aos cidadãos da UE – e não cidadãos localizados na UE – o controle sobre os dados pessoais.
Isso significa grandes mudanças para as empresas que coletam e processam dados, independentemente das análises serem realizadas por sistemas, como o Google Analytics.
Caso você se pergunte por que sua empresa que está no Brasil deve se preocupar, fique tranquilo, nesse artigo você vai aprender e entender de uma vez por todas sobre GDPR e o que envolve o Google Analytics, os dados que chegam ao site da sua empresa, blog, e-commerce.
O que é o GDPR?
O GDPR se preocupa com dados pessoais e são definidos como:
“Qualquer informação relativa a uma pessoa singular identificada ou identificável (‘pessoa em causa’); uma pessoa natural identificável é aquela que pode ser identificada, direta ou indiretamente ”
O GDPR introduz regras rigorosas sobre coleta e processamento de dados e estabelece fundamentos legais que justificam a coleta de dados pessoais. Existem vários motivos para a coleta e processamento de dados, mas os mais relevantes para a análise são o consentimento e a obrigação contratual.
Entidades que lidam com dados pessoais são consideradas como um controlador ou um processador. Um controlador é uma entidade que coleta dados e decide o que é feito com eles. Um processador é responsável pelo processamento de dados em nome de um controlador.
Uma loja de comércio eletrônico que coleta dados sobre os compradores é um controlador. Um provedor de análise de terceiros que usa esses dados e os utiliza para gerar relatórios é um processador.
É importante entender que os controladores são responsáveis por garantir que os processadores estejam em conformidade com o GDPR. As empresas não podem transferir a responsabilidade para terceiros por meio da terceirização de análises. Os controladores devem garantir que qualquer serviço de análise que eles usem seja compatível.
Análise e criação de perfil
O GDPR aborda explicitamente o perfil , que define como processamento automatizado para “analisar ou prever aspectos relativos ao desempenho dessa pessoa natural no trabalho, situação econômica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização ou movimentos. “
Há algum desacordo sobre se, na ausência de outros fundamentos legais, a criação de perfis requer consentimento, mas é claro que a tomada de decisões automatizada com base em perfis requer o consentimento explícito. Se uma empresa usa o perfil como base para a tomada de decisão automática – talvez automação de marketing ou retargeting – ela deve obter consentimento explícito (ou ter um contrato com o sujeito dos dados).
Muitas empresas realizam análises para as quais não têm consentimento específico. Na verdade, é comum que as empresas coletem informações antes de saberem como elas devem ser usadas ou adaptar os dados coletados por outros motivos.
Controle dos dados e seus direitos
O GDPR fornece aos titulares de dados um conjunto de direitos que impõe obrigações aos controladores. Mesmo que sua empresa esteja no Brasil, precisa estar de acordo com a nova regulamentação caso tenha dados pessoais de contatos em Portugal, Espanha, França ou qualquer outro país da UE.
Direito de acesso – os titulares dos dados podem solicitar que um controlador lhes forneça todas as informações pessoais armazenadas. Os controladores precisam facilitar a emissão de solicitações por parte dos titulares de dados.
Direito de eliminação – os titulares dos dados podem solicitar que os seus dados pessoais sejam apagados (ou corrigidos). Este direito é muitas vezes referido como o “direito de ser esquecido”.
Direito de portabilidade de dados – os titulares de dados devem poder levar os dados mantidos por uma empresa e entregá-los a outra empresa.
As empresas precisam facilitar a realização dessas solicitações para os titulares de dados, mas o ônus real será garantir que os dados sejam armazenados de forma que seja possível responder a solicitações sob esses direitos. As empresas precisam saber quais dados têm, onde são armazenadas e se estão no GDPR.
As empresas que armazenam grandes quantidades de dados para análises podem ter muito trabalho pela frente se ainda não estiverem preparadas para responder às solicitações dos titulares de dados.
GDPR e Google Analytics
A maioria dos dados fornecidos pelo Google Analytics não pode ser vinculada diretamente a um indivíduo específico, mas o Google Analytics e seus clientes compartilham dados que poderiam ser “direta ou indiretamente” usados para identificar pessoas. Como já mencionei, os endereços IP agora são considerados dados pessoais.
Como você poderia esperar, o Google fez esforços para garantir que o Google Analytics seja compatível com GDPR. Quando o Analytics atua como um processador de dados, deve haver um contrato por escrito entre o Google como processador e seus clientes como controladores.
Os contratos devem conter um conjunto de cláusulas padrão que descrevam os dados e limitem o que pode ser feito com eles. O Google espera fornecer termos contratuais atualizados para todos os seus serviços no momento em que o GDPR entrar em vigor.
A conformidade com o GDPR é uma via de mão dupla. O controlador deve garantir que o processador possa fornecer “garantias suficientes” de que os dados serão tratados de acordo com o GDPR. O processador só pode usar os dados das maneiras que o contrato especifica.
Para ser claro, o controlador é responsável se as organizações “subcontratadas” não respeitarem o GDPR.
Penalidades e territorialidade
As empresas fora da UE podem estar se perguntando por que deveriam se preocupar. Se eles não coletarem dados pessoalmente identificáveis de cidadãos da UE ou de outras pessoas localizadas na UE, o GDPR não é relevante para seus negócios.
Para empresas sediadas fora da UE que coletam dados pessoais identificáveis de dentro da UE, a situação é mais complexa.
Empresas dos EUA com uma localização física na UE podem ser sancionadas diretamente, mas ainda não está claro como a UE pretende aplicar o GDPR à empresas sem presença física na UE, exceto que isso envolva direito internacional e tratados relevantes ou acordos comerciais.
Empresas dos EUA sem presença física na UE podem ser obrigadas a designar um representante da UE para lidar com as comunicações entre a empresa e as organizações de proteção de dados da UE.
As penalidades associadas ao não cumprimento do GDPR são severas, com multas de até 20.000.000 Euros ou 4% da receita global, o que for maior.
Consequências práticas do GDPR
Para a maioria das empresas que coletam dados para fins de análise, há várias consequências imediatas:
• As empresas devem garantir que obtenham consentimento explícito antes de coletar e processar dados.
• Devem implementar sistemas que permitam aos cidadãos da UE aceder, eliminar ou mover os seus dados pessoais mediante pedido.
• Eles devem garantir que quaisquer processadores – terceiros que realizam o processamento de dados em nome de um controlador de dados – estejam em conformidade com o GDPR e que um contrato compatível esteja em vigor.
Configure o Google Analytics com a mudança do GDPR
O próprio Google notificou todos usuários sobre as mudanças com relação ao Analytics.
Coloquei abaixo um print de como você pode configurar o seu Google Analytics ou acessar o suporte oficial do Google.
Caso tenha dúvida sobre as consequências do GDPR para o seu negócio, recomendo a consulta de um especialista legal qualificado.
Em tempos conturbados envolvendo Big Data, fake news, escândalos políticos, é bom prevenir seu negócio de surpresas.