Como estar em conformidade com GDPR usando o Google Analytics

O Google Analytics é de longe a ferramenta mais popular para coletar dados analíticos. Ele informa quantas pessoas estão visitando seu site, o que fazem, quanto tempo ficam e assim por diante.

No entanto, a coleta de dados pessoais também significa que você tem o dever de cumprir várias leis de proteção de dados. Isso levanta a questão: "Sou compatível com o Google Analytics e preciso executar algumas etapas adicionais para ser compatível?"

As leis de privacidade variam de país para país; portanto, não há uma resposta simples para essa pergunta. O Google toma medidas para garantir a conformidade com o Regulamento Geral de Proteção de Dados da UE (GDPR) e outras leis internacionais de proteção de dados. Mas isso significa apenas que eles são compatíveis. Isso não significa que você também esteja em conformidade. Você provavelmente terá que tomar algumas medidas para ajustar suas práticas e tornar-se compatível com as leis.

Quais dados o Google Analytics coleta?

Você pode usar o Google Analytics instalando um código no seu site. Esse código identifica todos os visitantes que acessam seu site e rastreiam o comportamento deles. De acordo com os Termos de Proteção de Dados do Google Ads: Informações de serviço, ele coleta os seguintes dados:

• Identificadores online, incluindo identificadores de cookies
• Endereços de protocolo da Internet e identificadores de dispositivo
• Identificadores de clientes

Em sua política de privacidade, o Google também explica quais dados eles coletam e como os fazem. Eles coletam o seguinte:

Informações que você cria ou fornece a eles. Isso inclui as informações que você fornece a eles usando seus serviços, como nome, endereço de email, número de telefone e conteúdo que você cria ou envia ao usar os serviços do Google.

Informações sobre o seu uso dos serviços deles. Isso inclui três tipos de informações:

1. Informações sobre os aplicativos, navegadores e dispositivos que você usa. Para esse fim, eles coletam identificadores exclusivos, informações sobre seu dispositivo e navegador, endereço IP, relatórios de falhas e outros.
2. Informações sobre sua atividade. Isso inclui dados sobre os termos pesquisados, atividades de compra, vídeos assistidos, interação com anúncios, histórico de navegação, pessoas com quem você compartilha conteúdo e o mais importante - atividades em sites e aplicativos que usam seus serviços, como o Google Analytics.
3. Suas informações de localização, como endereço IP, GPS, dados do sensor do seu dispositivo (como acelerômetro para entender sua velocidade) e informações sobre coisas próximas ao dispositivo (como pontos de Wi-Fi).

O que as leis de privacidade dizem sobre a coleta dessas informações?

Do ponto de vista jurídico, o uso do Google Analytics era um problema antes que a aplicação do GDPR ganhasse vida. A Diretiva de Privacidade eletrônica da UE exige a obtenção de um consentimento prévio para fins de marketing. Isso significa que, durante todo esse tempo, você precisou de um consentimento prévio para redirecionar os visitantes do seu site da UE com anúncios do Google.

No entanto, foi a introdução do GDPR que abalou as coisas. Se o GDPR se aplicar ao seu site, você deverá cumprir seus requisitos em relação ao uso de serviços de coleta de dados como o Google Analytics.

A principal diferença entre o GDPR e todas as outras leis de privacidade é a definição mais ampla de dados pessoais. O que o GDPR considera dados pessoais, outras leis não. Além dos dados básicos, como nome, número de telefone, endereço residencial e endereço de email, de acordo com o GDPR, os dados pessoais incluem endereço IP e ID do cookie. Isso significa que você precisa de consentimento prévio para rastrear dados usando o Google Analytics? Depende. A resposta segue mais adiante no artigo.

Preciso cumprir com o GDPR?

Você deve cumprir se:

• Você está sediado em qualquer um dos países da UE
• Você tem visitantes de qualquer país da UE

O GDPR aplica a você se você atender a algum desses dois requisitos. Se você reside fora da UE, isso se aplica apenas às suas interações com visitantes da UE.

Muitas pessoas assumem que o Google cuida da conformidade com o GDPR e as libera de pensar nisso. Embora seja verdade que o Google toma medidas em relação à conformidade, o GDPR se aplica aos dados que você usa, independentemente de como os obteve. Se você coletar e usar qualquer tipo de dados pessoais, deverá fazê-lo de acordo com a lei, mesmo que as ferramentas utilizadas sejam compatíveis.

Ao deixar de cumprar o GDPR sua organização estará sujeita a multas.

Veja aqui as maiores multas aplicadas até agora. O hotel Marriot, por exemplo, foi multado em US$125 milhões por infração ao regulamento.

Quem é o controlador de dados?

O Google Analytics coleta dados para você, portanto, eles são processadores de dados de acordo com o GDPR. Os dados estão em suas mãos e você pode usá-los, o que faz de você um controlador de dados. O GDPR exige que o controlador de dados e o processador de dados cumpram suas regras. Isso significa que confiar na conformidade do Google não é suficiente. Você precisa ser compatível com o GDPR. Isso nos leva a uma pergunta importante quando se trata de usar serviços de rastreamento como o Google Analytics: "Você precisa pedir consentimento prévio antes de usar os cookies de rastreamento?"

Preciso de consentimento prévio para usar o Google Analytics?

A necessidade de obter consentimento prévio dos visitantes do site antes de rastrear seus dados com o Google Analytics depende de você usar esses dados para publicidade ou não.

Se você usar os dados para fins publicitários, incluindo remarketing ou relatórios demográficos e de interesses, precisará obter um consentimento prévio antes de injetar cookies nos computadores dos usuários para obter os dados necessários. Este dever se aplica a você apenas para os visitantes da UE, ou se você estiver sediado na UE, para todos os visitantes.

No entanto, se você usar os dados apenas para rastrear o número de visitas, de onde são suas visitas, o tempo médio em que os visitantes permanecem no site e assim por diante, você poderá usar o Google Analytics sem obter o consentimento prévio, mas apenas se fizer uma alguns ajustes nas configurações (mais conselhos sobre isso abaixo).

De acordo com os Requisitos da política para as Funcionalidades de publicidade do Google Analytics, ao usar os recursos de publicidade do Google Analytics, você deve cumprir a política de consentimento do usuário da UE, que obriga a obter o consentimento válido dos usuários finais para:

• O uso de cookies ou outro armazenamento local onde legalmente exigido
• Colete, compartilhe e use dados pessoais para personalização de anúncios

As políticas não mencionam nada sobre a coleta e o uso de dados para fins não publicitários, o que implica que você pode não precisar.

Além disso, você precisa pedir consentimento apenas se nenhum dos outros cinco motivos para o processamento de dados pessoais se aplicar. Um deles é o interesse legítimo de uma organização do setor privado quando a coleta e o processamento de dados não superam os efeitos negativos nos direitos e liberdades individuais. Embora ainda não esteja claro se as autoridades europeias consideram isso uma base para o uso do Google Analytics sem a obtenção de consentimento prévio, isso implica fortemente.

Como tornar sua conta do Google Analytics compatível com GDPR?

É importante observar que a implementação do GDPR ainda é nova para todos, incluindo as autoridades da UE, portanto, você não pode ter 100% de certeza. Se tivéssemos jurisprudência suficiente, eliminaria toda a adivinhação, mas não o temos. No entanto, você pode tornar seu site e suas contas do Google Analytics compatíveis com o GDPR.

Para mover sua conta do GA para a conformidade com o GDPR, considere as seguintes ações:

1. Ative o recurso Anonimizar IP para evitar a coleta de endereços IP, que são considerados dados pessoais no GDPR. Ativar esse recurso significa que você não coleta os endereços IP dos seus visitantes. O Google Analytics ainda informa você sobre o número de visitantes em seu site, mas sem coletar seus dados pessoais. Você precisa atualizar seu script do Google Analytics com a função Anonymize IP:

2. Evite vazar dados para o Google. Eles não desejam os dados de seus visitantes porque precisam permanecer em conformidade; portanto, o serviço deles exige que você evite enviar os dados dos usuários para eles. Você pode fazer isso:

• Intervenção nos URLs antes de enviá-los ao Google Analytics
• Remoção de informações inseridas pelo usuário (geralmente em caixas de pesquisa e campos de formulário) antes de enviá-las ao GA
• Não passe informações de geolocalização refinadas (menos de uma milha quadrada)
• Use sua conta do Adsense de acordo com as práticas recomendadas para evitar o envio de PII
• Criptografe os dados pessoais que você envia ao Google, mas somente se eles atenderem aos padrões. O requisito mínimo de hash é SHA256, com forte recomendação de usar sal de pelo menos 8 caracteres.

3. Defina o recurso Permitir Recursos de Anúncios como falso e mantenha-o assim até obter o consentimento. Isso deve permitir que você acompanhe o número de visitantes, por quanto tempo eles permanecem no site, o que lêem e outros dados sem publicidade, sem consentimento.

4. Desative os Recursos de Relatórios de Remarketing e Publicidade, se você não precisar. Entre em Informações de Rastreamento → Coleta de Dados e desative as alternâncias. Se você precisar dos Recursos de relatórios de remarketing e publicidade e manter as opções ativadas, solicite um consentimento prévio.

5. Não vincule sua conta do Google Adwords à conta do Google Analytics, a menos que você precise.

6. Defina o período de retenção dos dados de acordo com sua política de privacidade. Como um esforço para cumprir o GDPR, o Google introduziu novas configurações de retenção de dados. Agora você pode escolher por quanto tempo deseja manter os dados antes de ser excluído automaticamente. Se, com a política de privacidade, você tiver informado aos visitantes que manterá os dados deles por 50 meses, defina o período de retenção para 50 meses. Não mantenha os dados que você não precisa mais.

7. Limite as Configurações de Compartilhamento de Dados apenas àquelas que você realmente precisa. A menos que você seja um usuário do Analytics 360, provavelmente não precisará de nenhum dos recursos.

Para tornar seu site compatível com o GDPR, atualize sua política de privacidade e peça consentimento sempre que coletar dados pessoais com o Google Analytics para fins de publicidade.

A maneira mais simples de obter uma política de privacidade atualizada é usando um gerador de política de privacidade online. Isso permitirá que você seja transparente com seus usuários sobre os dados que você coleta e usa. Você também precisará de um banner de cookie compatível com GDPR para solicitar consentimento. Para ambos, você pode usar os fornecidos pelo Secure Privacy.

Conclusão

O GDPR torna o uso do Google Analytics e outras ferramentas analíticas um pouco mais complicado. Você não precisava se preocupar em estar em conformidade com as leis de privacidade enquanto usava essa ferramenta no passado, mas agora isso mudou.

O uso do Google Analytics ainda está na área cinzenta da UE, principalmente porque ninguém tem certeza se você precisa pedir consentimento prévio ou não. Se você confiar apenas na opinião do Google e de sua equipe jurídica, será necessário quando coletar dados destinados a fins publicitários. O resto é uma questão de interpretação do RGPD.

Aviso Legal: Este site contém informações gerais sobre assuntos legais. Este artigo é somente para propósitos de informação. A informação não é um conselho e não deve ser tratada como tal. Converse com seu advogado antes de aplicar qualquer um dos conselhos listados no artigo.