Google Analytics na Europa: como garantir a conformidade com o GDPR

As regras do jogo de privacidade de dados mudaram rapidamente, afetando a capacidade das empresas europeias de avaliar com precisão seu desempenho e avaliar adequadamente seus esforços de marketing. Com as proibições que surgiram, as formas usuais de trabalho não são mais possíveis, levando à perda de dados valiosos que nunca serão substituídos.

A tremenda mudança na análise digital começou com a proibição do uso do Google Analytics em alguns países europeus e terminou com uma nova estrutura de privacidade de dados entre a UE e os EUA. De acordo com decisões recentes das autoridades europeias de proteção de dados, o uso do Google Analytics tornou-se ilegal para operadores de sites em vários países. Desde que a implementação do Google Analytics agora é vista como uma violação do Capítulo V do GDPR, as empresas europeias enfrentam uma crise.

No entanto, em março de 2022, a situação mudou, então vamos tentar finalmente determinar quais problemas surgiram com a privacidade de dados e o que as empresas europeias podem fazer para proteger suas análises de marketing.

Nos últimos dois anos, muitos eventos aconteceram no campo da privacidade de dados e do Google Analytics. Para as empresas europeias, essas mudanças na coleta e aplicação de dados significaram o fim da era de ouro da análise de marketing avançada e ajustada. Limitações e proibições no uso de dados impossibilitam a aplicação de fluxos de trabalho estabelecidos. Reunimos e mapeamos todas as informações que temos para ver como todas essas mudanças começaram e onde estamos agora.

Em 2020, a organização sem fins lucrativos NOYB apresentou 101 reclamações contra sites do Espaço Econômico Europeu (EEE) que aplicaram o Google Analytics ou o Facebook Connect. Depois disso, as autoridades de proteção de dados do EEE começaram a emitir decisões obrigando os operadores de sites do EEE a parar de usar esses serviços, alegando que eles não cumprem o Regulamento Geral de Proteção de Dados (GDPR).

O problema estava no método de aplicação do Google Analytics na Europa, pois ele armazena dados coletados sobre residentes da UE (dados de comportamento do usuário) em um serviço de nuvem baseado nos EUA. O ponto de discórdia era – e ainda é – que as salvaguardas adotadas pelo Google são insuficientes para impedir que os serviços de inteligência dos EUA acessem os dados pessoais dos residentes da UE. De acordo com as autoridades europeias de proteção de dados, essas transferências de dados para o exterior violam o GDPR.

Até agora, dois processos judiciais foram ouvidos. O primeiro foi um caso austríaco (dezembro de 2021), seguido por um caso francês menos de dois meses depois (fevereiro de 2022). O resumo desses casos é que não há proteção adequada dos dados pessoais dos residentes da UE, juntamente com a transferência ilegal de seus dados pessoais para serviços baseados nos EUA. Por exemplo, números de ID de usuário exclusivos, endereços IP e parâmetros do navegador não são suficientemente protegidos pelas cláusulas de proteção padrão que o Google oferece.

Casos semelhantes em outros países europeus podem ter um efeito dominó na supressão do uso do Google Analytics (e serviços semelhantes). Como já existem respostas e reações modeladas a essas reclamações sobre violação de privacidade de dados, é possível que mais autoridades europeias sigam o exemplo, resultando em uma proibição completa do Google Analytics (e outras ferramentas) na Europa.

Então, em 25 de março de 2022, após mais de um ano de negociações, os EUA e a UE anunciaram um “acordo de princípio” sobre uma nova estrutura legal para transferências de dados pessoais em conformidade com GDPR da UE para os Estados Unidos. O Trans-Atlantic Data Privacy Framework aborda as preocupações levantadas pelo Tribunal de Justiça da União Europeia na decisão Schrems II de julho de 2020 e garante os mais altos padrões de privacidade e proteção de dados. O Google está ansioso para certificar seus processos sob o Trans-Atlantic Data Privacy Framework na primeira oportunidade. Ainda assim, continua sendo um “acordo em princípio”, com detalhes e prazos ainda a serem confirmados.

Ninguém pode prever o futuro e, como o cenário digital está mudando rapidamente, as empresas devem estar preparadas para proteger seu fluxo de trabalho de processamento de dados.

Devido a reclamações da NOYB, muitas autoridades de proteção de dados do Espaço Econômico Europeu (EEE) querem forçar os operadores de sites do EEE a parar de usar o Google Analytics. Aqueles que sofrem com essas decisões são empresas europeias que desejam implementar tecnologias on-line para aumentar sua receita comercial e melhorar seu desempenho geral.

No momento, essas empresas estão em uma posição fraca, pois esperam que o tópico politicamente quente das transferências internacionais de dados seja resolvido com algumas resoluções lógicas. Não vamos esquecer que, apesar dos problemas de transferência de dados, outros riscos perigosos à privacidade dos dados estão presentes globalmente, como ataques cibernéticos e ransomware.

No momento, os problemas que ocorrem com o uso do Google Analytics são os seguintes:

• Os sites que não cumprirem o GDPR pagarão multas pesadas se continuarem a transferir dados confidenciais de usuários para serviços baseados nos EUA.
• Sem aplicar o Google Analytics, os profissionais de marketing têm medo de não conseguir avaliar seu desempenho de marketing.
• Para mudar sua solução de análise de marketing, as empresas gastarão muito no aprendizado e na implementação de um novo produto.

Vamos ver o que pode ser feito para resolver esses problemas e como as empresas podem evitar problemas ainda maiores no futuro.

Nota: O projeto NOYB fornece diretrizes para empresas. Especialmente para empresas menores da UE que não têm certeza sobre as leis de vigilância dos EUA ou cujo parceiro dos EUA se enquadra nessas leis, existem diretrizes gratuitas e solicitações de modelos no site noyb.eu.

Obviamente, esse estado de coisas é desagradável para muitas empresas e viola processos de trabalho de longa data. No entanto, não há motivo para desespero, pois certamente não é o fim do mundo, e há saídas.

Antes de mais nada, devemos começar mencionando que o Google Analytics pode ser implementado de duas maneiras. Assim, a forma como é implementado influencia a sua conformidade com o GDPR. Os dois métodos são:

Normalmente, os sites aplicam o modo do lado do cliente , o que significa usar código JavaScript nas páginas do site, definir cookies, gerar IDs de cliente e transferir os dados obtidos para o Google Analytics para produzir as estatísticas do site.

Vamos ver quais etapas devem ser seguidas ao usar o Google Analytics no modo do lado do cliente. Há aspectos técnicos e legais a serem verificados para garantir a conformidade com o GDPR.

1. Comece com o consentimento adequado do usuário. Você deve informar aos usuários que seus dados (informações do dispositivo, IDs de rastreamento, endereços IP etc.) serão não apenas coletados, mas transferidos para serviços baseados nos EUA. Além disso, deve ser declarado que os usuários podem retirar seu consentimento a qualquer momento.
2. Implementar anonimização de IP. (Para propriedades do Google Analytics 4, a anonimização de IP é ativada por padrão.)
3. Verifique se a opção de compartilhamento de dados e a opção de sinais no Google Analytics estão desativadas.
4. Se você estiver usando IDs de usuário proprietários, verifique se não há permissão para identificação do usuário.

Importante! Não se esqueça de verificar o estado legal das coisas. Verifique todos os contratos assinados, pois todos os contratos assinados por empresas da região EMEA devem ser celebrados com a Google Ireland Limited e não com a Google LLC. Em seguida, verifique a TIA que cobre a transferência de dados entre a Google Ireland Limited e a Google LLC.

A segunda variante está implementando um modo do lado do servidor . É mais discreto, pois este modo permite que você remova as tags do site (tanto de publicidade quanto de medição) e as transfira para um contêiner de servidor seguro. Além disso, ao aplicar o rastreamento do lado do servidor, os endereços IP dos usuários são automaticamente anonimizados antes que as informações sejam compartilhadas com as ferramentas de relatórios do Google. Em suma, significa que não há comunicação direta entre o usuário e o Google. As informações são coletadas pelo servidor do editor e encaminhadas ao Google para análise.

Embora muitas empresas possam ter a impressão de que nenhum Google Analytics significa nenhuma análise, isso não é verdade. Existem outras maneiras de implementar análises avançadas de marketing, e a equipe OWOX BI fornece soluções seguras para coletar e armazenar dados.

O que é OWOX BI?

OWOX BI é uma solução de análise de marketing que automatiza a entrega de dados de fontes isoladas para seu destino de análise, garantindo que seus dados estejam sempre precisos e atualizados.

Entre as principais vantagens de trabalhar com dados usando OWOX BI estão as seguintes:

• Todos os dados são armazenados no Google BigQuery com total conformidade com o GDPR. O rastreamento do lado do servidor do OWOX BI fornece coleta segura de dados primários em seu domínio pessoal. O processo de rastreamento é compatível com Schrems II e GDPR.
• Esquema de dados familiar do Google Analytics. Você obtém o conhecido esquema de dados universal do Google Analytics para hits e transformação de sessão. Leva apenas alguns minutos para configurar facilmente o rastreamento usando suas configurações atuais do Google Analytics.
• Coleta de dados de alta qualidade. Não seja afetado por bloqueadores de anúncios e obtenha dados brutos completos com qualidade explicável. Colete cada hit no armazenamento do Google BigQuery EU quase em tempo real e sem amostragem.
• Marketing eficaz e análise de dados. Em 2023, uma parte significativa das informações sobre a eficácia dos canais de publicidade não estará mais disponível devido ao desaparecimento dos cookies de terceiros e à redução da vida útil dos cookies. Você pode minimizar as perdas com o rastreamento do lado do servidor OWOX BI, coletar dados primários e mesclá-los com dados de marketing em seu armazenamento.

Quais são as etapas que você pode seguir com o OWOX BI para salvar suas análises de marketing?

Como a maioria das empresas prefere garantir que a coleta e o armazenamento de dados ocorram na região da UE, o OWOX BI evita o uso do Google Analytics. Em detalhes, o fluxo de dados OWOX BI se parece com isso:

1. Colete dados do site no formato clássico do Google Analytics. Como esse formato de dados é familiar, é possível reutilizar milhares de consultas SQL existentes.
2. Colete dados brutos no armazenamento do Google BigQuery em tempo real. Os dados obtidos pertencem a você e são armazenados na zona da UE que você selecionou.

Resumindo, o OWOX BI permite que todo profissional de marketing e analista continue seu trabalho e aplique soluções analíticas que satisfaçam o departamento jurídico da empresa:

• Garanta a conformidade com o GDPR enquanto trabalha com dados confidenciais.
• Evite perder tempo e recursos no reprocessamento de dados ou aprendizado e adoção de uma nova pilha de tecnologia.
• Mantenha a marcação existente do seu site, pois o tempo de implementação junto com os períodos de tempo para avaliar são muito curtos.

A situação com o Google Analytics sendo banido e o próximo Trans-Atlantic Data Privacy Framework ainda precisa ser esclarecida. No entanto, independentemente dos resultados, é melhor proteger seus negócios agora sem esperar por um momento melhor no futuro. Existem passos óbvios que você pode tomar para minimizar os riscos, desde fazer preparativos legais e garantir o consentimento do usuário até se afastar de provedores de serviços de propriedade dos EUA.

O rastreamento do lado do servidor OWOX BI fornece coleta segura de dados primários em conformidade com Schrems II e GDPR. E a cereja do bolo é a capacidade de minimizar as perdas resultantes do desaparecimento de cookies de terceiros e da redução da vida útil dos cookies.