Max Schrems, avocatul care a dat în judecată cu succes Facebook pentru încălcarea confidențialității cetățenilor europeni, a obținut o nouă victorie, de data aceasta împotriva Google: Printr-o hotărâre judecătorească istorică, autoritatea austriacă pentru protecția datelor a constatat că utilizarea Google Analytics pe site-urile europene este ilegală.

Atunci când legislația privind Protecția confidențialității a fost invalidată în 2020, acest lucru a avut consecințe profunde pentru serviciile online din SUA care operează în Europa: Acestea nu mai aveau voie să transfere date ale cetățenilor europeni în SUA, deoarece acest lucru ar fi făcut ca datele cetățenilor europeni să fie vulnerabile la supravegherea în masă americană – o încălcare clară a GDPR european.

Cu toate acestea, industria tehnologică din Silicon Valley a ignorat în mare măsură hotărârea. NOYB spune: “În timp ce acest lucru (=invalidarea Privacy Shield) a trimis unde de șoc în industria tehnologică, furnizorii din SUA și exportatorii de date din UE au ignorat în mare parte cazul. La fel ca Microsoft, Facebook sau Amazon, Google s-a bazat pe așa-numitele “clauze contractuale standard” pentru a continua transferurile de date și pentru a-și liniști partenerii de afaceri europeni.”

Acum, Autoritatea austriacă pentru protecția datelor atinge aceeași coardă ca și instanța europeană atunci când declară Privacy Shield ca fiind invalid: Aceasta a decis că utilizarea Google Analytics încalcă Regulamentul general privind protecția datelor (GDPR). Google “face obiectul supravegherii de către serviciile de informații americane și i se poate ordona să le divulge date ale cetățenilor europeni”. Prin urmare, datele cetățenilor europeni nu pot fi transferate peste Atlantic.

Despre ce era vorba în acest caz?

La 14 august 2020, un utilizator Google a accesat un site austriac despre probleme de sănătate. Acest site web folosea Google Analytics, iar datele despre utilizator au fost transmise către Google. Pe baza acestor date, Google a putut să deducă cine era acesta.

La 18 august 2020, utilizatorul Google a depus o plângere la autoritatea austriacă pentru protecția datelor cu ajutorul organizației pentru protecția datelor NOYB.

Acum, un tribunal austriac a declarat acest transfer de date ca fiind ilegal.

Problema în cauză este că, datorită legii americane CLOUD Act, autoritățile americane pot solicita date cu caracter personal de la Google, Facebook și alți furnizori americani, chiar și atunci când aceștia își desfășoară activitatea în afara SUA, de exemplu în Europa.

Astfel, Google nu poate oferi un nivel adecvat de protecție în temeiul articolului 44 din GDPR – o încălcare clară a garanțiilor europene de protecție a datelor. Clauzele contractuale standard invocate de operatorul site-ului web nu ajută, așa cum a recunoscut în 2020 Curtea Europeană de Justiție (CEJ) în decizia sa privind “Scutul de confidențialitate” (Schrems II).

Factorul decisiv pentru evaluarea juridică a utilizării Google Analytics nu este dacă o agenție de informații americană a obținut efectiv datele sau dacă Google a identificat efectiv utilizatorul. Simplul fapt că acest lucru era deja teoretic posibil a reprezentat o încălcare a GDPR.

Cu toate acestea, utilizatorii Google pot face o setare în conturile lor Google pentru a împiedica Google să evalueze în detaliu utilizarea de către aceștia a site-urilor web terțe. Dar faptul că această funcție există este o dovadă că Google este capabilă să fuzioneze datele de utilizare cu persoana respectivă.


Cel mai mare succes al NOYB

Această hotărâre este unul dintre cele mai mari succese de până acum ale organizației pentru protecția datelor NOYB. În consecință, NOYB și Max Schrems sunt foarte mulțumiți de decizia instanței austriece: “Aceasta este o decizie foarte detaliată și solidă. Concluzia este următoarea: Companiile nu mai pot utiliza serviciile cloud din SUA în Europa. A trecut deja un an și jumătate de când Curtea de Justiție a confirmat acest lucru a doua oară, așa că este mai mult decât timpul ca legea să fie și ea aplicată.”

Această hotărâre este prima dintre cele 101 procese intentate de NOYB, organizația non-profit a lui Schrems, în majoritatea statelor membre ale Uniunii Europene. Acum se așteaptă ca decizii similare să cadă în Germania, Olanda și în alte state membre ale UE.

Concluzie

Deși companiile de tehnologie din Silicon Valley vor găsi o modalitate de a-și oferi în continuare serviciile în Europa – într-un fel sau altul – abordarea pe care au adoptat-o după invalidarea Privacy Shield trebuie să ridice mai multe semnale de alarmă pentru întreprinderile europene:

În calitate de companie europeană, nu mai este posibil să încredințezi datele sensibile ale utilizatorilor unor companii precum Google, care ignoră în mod deliberat legislația europeană în materie de confidențialitate și riscă amenzi mari pentru clienții lor din mediul de afaceri european. (Amenzile împotriva site-ului austriac de sănătate în cazul discutat nu au fost încă stabilite, dar vom urmări îndeaproape evoluția situației).

Dimpotrivă – și având în vedere că viața privată devine din ce în ce mai importantă pentru consumatorii din întreaga lume – este un pas logic pentru orice întreprindere europeană să aleagă servicii care se concentrează pe protejarea vieții private a utilizatorilor lor.