A Suécia ordenou na segunda-feira que quatro empresas parassem de usar uma ferramenta do Google que mede e analisa o tráfego da web enquanto isso transfere dados pessoais para os Estados Unidos, multando uma empresa no equivalente a mais de US$ 1,1 milhão.
A agência de proteção de privacidade da Suécia, a IMY, disse que examinou o uso do Google Analytics pelas empresas após uma reclamação do grupo austríaco de privacidade de dados noyb (não é da sua conta), que apresentou dezenas de reclamações contra o Google em toda a Europa.
Noyb afirmou que o uso do Google Analytics para estatísticas da web pelas empresas resultou na transferência de dados europeus para os Estados Unidos, violando o regulamento de proteção de dados da UE, o GDPR.
O GDPR permite a transferência de dados para terceiros países apenas se a Comissão Europeia determinar que eles oferecem pelo menos o mesmo nível de proteção de privacidade que a UE e uma decisão do Tribunal de Justiça da UE de 2020 derrubou um acordo de transferência de dados UE-EUA como sendo insuficiente.
O IMY disse que considera os dados enviados ao Google Analytics nos Estados Unidos pelas quatro empresas como dados pessoais e que “as medidas técnicas de segurança que as empresas adotaram não são suficientes para garantir um nível de proteção que corresponda essencialmente ao garantido dentro da UE…”
Ele multou a empresa de telecomunicações Tele2 em 12 milhões de coroas e o mercado on-line CDON em 300.000 coroas.
A rede de supermercados Coop e o jornal Dagens Industri tomaram mais medidas para proteger os dados que estão sendo transferidos e não foram multados.
A Tele2 havia parado de usar o Google Analytics por vontade própria e o IMY ordenou que as outras empresas parassem de usá-lo.
A consultora jurídica do IMY, Sandra Arvidsson, que liderou a investigação, disse que a agência “deixou claro quais requisitos são colocados em medidas técnicas de segurança e outras medidas ao transferir dados pessoais para um terceiro país, neste caso, os Estados Unidos”.
Nyob congratulou-se com a decisão do IMY.
“Embora muitas outras autoridades europeias (por exemplo, Áustria, França e Itália) já tenham constatado que o uso do Google Analytics viola o GDPR, esta é a primeira penalidade financeira imposta a empresas pelo uso do Google Analytics”, afirmou em comunicado.
No final de maio, a Comissão Europeia disse esperar concluir até o final do verão um novo quadro legal para transferências de dados entre a UE e os Estados Unidos.
O GDPR, em vigor desde 2018, pode levar a multas de até 20 milhões de euros ou quatro por cento da receita global de uma empresa.