Acum doi ani Curtea de Justiție a Uniunii Europene dădea sentința în cauza C-311/18 care a dus la moartea Privacy Shield, mecanismul de liber schimb de date personale între Uniunea Europeană și Statele Unite ale Americii. Încă de acum doi ani am spus că „nicio companie nu ar mai trebui să facă campanii pe Facebook, Google, nu ar mai trebui să folosească cloud Microsoft, Amazon, Google până când nu apar garanții serioase de partea americană”. Motivul invalidării a fost existența legilor americane ce permit solicitarea de către autorități a datelor personale stocate pe servere ale unor companii americane, indiferent dacă ele sunt stocate pe teritoriul SUA sau nu. GDPR obligă operatorii de date ce exportă date personale în afara UE să găsească mecanisme legale prin care datele personale exportate să fie la fel de bine protejate ca sub GDPR.
Între timp, cei de la ONG-ul austriac NOYB (None of Your Business) – cel în care lucrează și Max Schrems, activistul care a pornit cazurile Schrems I (invalidarea mecanismului Safe Harbor, precursorul Privacy Shield) și Schrems II (care a dus la invalidarea Privacy Shield) au depus 101 plângeri împotriva unor operatori de date personale din UE care foloseau Google Analytics.
În urma acestor plângeri avem niște decizii clare.
Autoritatea franceză a dat în Februarie anul curent o primă decizie de interzicere a folosirii Google Analytics de către un operator, urmate rapid de o a doua și de o a treia. Autoritatea din Austria a dat tot în Februarie o decizie de interzicere, însă în Aprilie a venit cu o decizie mult mai amplă prin care a invalidat și conformitatea unui așa zis mecanism de reducere a riscurilor prin folosirea unui sistem de anonimizare a IP-urilor de către Google.
Google argumentase că este foarte puțin probabil ca autoritățile americane să solicite datele personale colectate de către Google în Europa și că oricum aceste date ar fi anonimizate. Însă autoritatea austriacă a arătat că procesul de anonimizare are loc la Google, că nu se știe dacă la Google în Europa sau la Google în State și că oricum autoritățile americane pot prin FISA 702 să solicite direct datele personale de pe serverele din UE.
Deciziile se vor aplica pe întreg teritoriul Uniunii.
Autoritatea Națională de Supraveghere a Prelucrărilor de Date cu Caracter Personal (ANSPDCP) din România nu a luat încă nicio măsură, însă în comunicatul autorității franceze avem această frază: „The CNIL, in cooperation with its European counterparts, analysed the conditions under which data collected through the use of Google Analytics was transferred to the United States and the risks incurred for the individuals concerned”. Chestia asta înseamnă că este foarte probabil ca deciziile să fie rulate prin mecanismul de coerență (articolele 63-65 GDPR) ceea ce înseamnă că s-ar putea să avem o decizie obligatorie pe întreg teritoriul UE (deciziile rulate prin mecanismul de coerență până acum se regăsesc AICI).
Decizia autorității din Austria este foarte importantă deoarece invalidează și măsurile luate de Google pentru a crește gradul de conformitate a Google Analytics. Argumentele austriecilor sunt puternice, la fel ca și argumentele francezilor. Și odată ce apare decizia de coerență, Google Analytics va fi oficial interzis pe teritoriul Uniunii.
Ce este de făcut?
Din păcate nu sunt prea multe soluții. Cum mulți dintre marketeri au precizat, Google Analytics nu are o alternativă funcțională în ceea ce înseamnă eforturile de retargeting și remarketing. Îl citez pe bunul meu prieten Andrei Cismaru:
Matomo se vede din satelit că este o soluție de avarie, care sa suplinească Google Analytics, dar îi lipsește grav integrarea si ecosistemul pe care ni-l pune Google la dispoziție. Deja suntem dependenți de mai mult decât analiza „read -only”, fluxurile și funnelurile fiind dezvoltate de-a lungul anilor, complicate și complexe.
Facebook va fi și el afectat de aceste decizii în mod direct. Problema este că firmele din Europa au ajuns dependente de tehnologiile Google și Facebook de remarketing, în timp ce în Rusia de exemplu există Yandex iar în China există Baidu. În Europa există alternative ce oferă o mică parte a funcționalităților date de către Google Analytics și de către Facebook Connect, precum Matomo, însă cât timp ele nu sunt utilizate la scară largă, sunt ineficiente. Conversiile vor pica iar costurile de advertising vor crește semnificativ. Paradoxul este că firmele mici și mijlocii sunt cele mai afectate deoarece ele oricum sunt sub presiunea creșterii costurilor din cauza inflației, o creștere semnificativă a costurilor în zona de digital advertising le va pune în cap.
Privacy Shield 2 – așteptări nerealiste.
Președintele Statelor Unite, Joe Biden și Președintele Comisiei Europene, Ursula von der Leyen, au anunțat într-o conferință de presă că pun bazele unui nou acord de liber schimb de date între Uniunea Europeană și Statele Unite – Trans-Atlantic Data Privacy Framework. Însă acest acord nu există încă, urmează a fi redactat, aprobat de toate părțile (inclusiv de către toate autoritățile de protecție a datelor din Uniune) și pus în funcțiune. Însă reacțiile nu sunt neapărat optimiste – comunicatul European Data Protection Board este unul foarte rezervat iar Max Schrems cred că se pregătește deja de Schrems III. Rămâne să vedem…
4 comentarii Adaugă comentariu