Οι ρυθμιστικές αρχές διαφύλαξης προσωπικών δεδομένων της Αυστρίας διαπίστωσαν ότι η χρήση των Google Analytics αποτελεί κατά βάση παραβίαση των κανόνων του GDPR, κάτι το οποίο πυροδότησε την σύναψη νέων συμφωνιών μεταξύ της Ευρωπαϊκής Ένωσης και των ΗΠΑ.
Η γνωστή αυστριακή ιστοσελίδα ειδησεογραφικού περιεχομένου από την ιατρική κοινότητα NetDoktor λειτουργεί όπως εκατομμύρια άλλα websites. Όταν ένας χρήστης επισκέπτεται την ιστοσελίδα και αποδεχτεί τα cookies της, τότε αυτομάτως μέσω του Google Analytics γίνεται tracking η περιήγησή του μέσα σε αυτή. Για παράδειγμα, καταγράφονται ποιες σελίδες διαβάζει ο χρήστης, πόση ώρα βρίσκεται μέσα στο site, ενώ παράλληλα αντλεί πληροφορίες σχετικά με την εκάστοτε συσκευή που χρησιμοποιεί κατά τη διάρκεια της περιήγησής του. Την ίδια στιγμή η μηχανή αναζήτησης του Google εισχωρεί μέσα σε ένα πλήθος πληροφοριών, συνδέοντας τους χρήστες με διαφορετικά δεδομένα.
Έτσι το NetDoktor μπορεί να χρησιμοποιήσει τα συγκεκριμένα δεδομένα ώστε να εντοπίσει πόσους αναγνώστες προσέλκυσε και ποια είναι τα ενδιαφέροντά τους. Μέσω του Google Analytics, όλα αυτά τα δεδομένα περνούν από τους διακομιστές της Google και καταλήγουν στις Ηνωμένες Πολιτείες. Ωστόσο για τις αρμόδιες ρυθμιστικές αρχές δεδομένων της Ευρώπης, η αποστολή προσωπικών δεδομένων μέσω του Ατλαντικού εξακολουθεί να παραμένει προβληματική.
Διαβάστε επίσης: Η δραστηριότητα στο διαδίκτυο εκτινάχθηκε όπως και η συλλογή προσωπικών δεδομένων
Αυτός ο μικρός αυστριακός ιστότοπος ιατρικού περιεχομένου βρίσκεται στο επίκεντρο μιας ισχυρής διαμάχης μεταξύ των ΗΠΑ και των αμετάβλητων κανονισμών περί απορρήτου της Ευρώπης. Στις 22 Δεκεμβρίου, η ρυθμιστική αρχή διαφύλαξης προσωπικών δεδομένων της Αυστρίας, Datenschutzbehörde, δήλωσε ότι η χρήση του εργαλείου Google Analytics στο site NetDoktor παραβιάζει τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης, με αποτέλεσμα τα δεδομένα που αποστέλλονται στις ΗΠΑ να μη διαφυλάσσονται όπως θα έπρεπε. Λίγες μέρες νωρίτερα αποκαλύφθηκε ότι ο ιστότοπος δοκιμών Covid-19 του Ευρωπαϊκού Κοινοβουλίου παραβίασε εξίσου τους κανονισμούς του GDPR χρησιμοποιώντας cookies μέσω του Google Analytics και του Stripe, μετά από πόρισμα του Ευρωπαϊκού Επόπτη Προστασίας Δεδομένων (EDPS).
Οι δύο αυτές υποθέσεις πυροδότησαν ακόμη περισσότερο την κατάσταση, μιας και τον Ιούλιο του 2020 το λεγόμενο Privacy Shield, ή αλλιώς ο μηχανισμός που χρησιμοποιούν χιλιάδες εταιρείες για τη μεταφορά δεδομένων από την ΕΕ στις ΗΠΑ, αποδείχθηκε παράνομος. Με αφορμή τα παραπάνω γεγονότα ασκήθηκε ακόμη μεγαλύτερη πίεση στους διαπραγματευτές των ΗΠΑ και της Ευρώπης, οι οποίοι προσπαθούν να αντικαταστήσουν τον μηχανισμό Privacy Shield με κάποιο νέο μέσο συλλογής δεδομένων.
Εάν δε βρεθεί σύντομα αυτός ο νέος δίαυλος τότε κι άλλες αντίστοιχες cloud υπηρεσίες από ογκόλιθους της διεθνούς βιομηχανίας όπως είναι το Amazon, το Facebook, το Google και η Microsoft θα βρεθούν σε αντίστοιχα δυσμενή θέση.
Η περίπτωση του NetDoktor δεν είναι μοναδική, είναι όμως η πιο αξιοσημείωτη απόδειξη ότι οι ευρωπαϊκές ρυθμιστικές αρχές εξακολουθούν να μην αρέσκονται στον τρόπο με τον οποίο οι αμερικανικές εταιρείες τεχνολογίας στέλνουν αλλά και διαχειρίζονται τα δεδομένα την άλλη πλευρά του Ατλαντικού. Όλο αυτό έχει ως αποτέλεσμα τα προσωπικά δεδομένα των ατόμων που δεν ζουν στις ΗΠΑ να μη διαφυλάσσονται με τον τρόπο που διαφυλάσσονται τα προσωπικά δεδομένα των εγχώριων χρηστών. Μάλιστα ακριβώς επειδή οι συγκεκριμένοι χρήστες θεωρούνται «ξένοι», αυτό δεν αποτελεί παραβίαση του Συντάγματος των ΗΠΑ.
Μία εξίσου σημαντική απόφαση που πρέπει να συμπεριληφθεί στο Privacy Shield σχετίζεται με το γεγονός ότι οι εταιρείες που μεταφέρουν δεδομένα από την ΕΕ στις ΗΠΑ πρέπει να βεβαιωθούν ότι παρέχουν πρόσθετους κανονισμούς αναφορικά με τη προστασία και τη διαχείριση των συγκεκριμένων πληροφοριών. Αυτή τη στιγμή η Αυστριακή Αρχή Προστασίας Δεδομένων έχει αποφασίσει ότι οι περιορισμοί που θέτει το Google Analytics, συμπεριλαμβανομένων και των περιορισμών πρόσβασης τόσο στα κέντρα δεδομένων όσο και της κρυπτογράφησης δεδομένων όπως μεταφέρονται σε όλο τον κόσμο, δεν επαρκούν ώστε να εμποδίσουν την πιθανή συλλογή τους από τα διάφορα πρακτορεία πληροφοριών των ΗΠΑ.
Προς το παρόν, η συγκεκριμένη απόφαση ισχύει μόνο στην Αυστρία και δεν είναι οριστική. Προφανέστατα τα websites σε όλη την Ευρώπη δεν πρόκειται να σταματήσουν ξαφνικά να χρησιμοποιούν το Google Analytics, αφού μία τέτοια απόφαση θα μπορούσε να επηρεάσει τον τρόπο ροής δεδομένων σε ολόκληρο το ευρωπαϊκό και αμερικανικό επιχειρηματικό οικοσύστημα.
Και αυτό είναι μόνο η αρχή. Όταν ο οργανισμός noyb υπέβαλε την καταγγελία κατά της NetDoktor τον Αύγουστο του 2020, δημοσιοποίησε κι άλλες 100 παρόμοιες υποθέσεις, οι οποίες σχετίζονται με τη διαχείριση και την προστασία δεδομένων από παρόχους των ΗΠΑ. Οι ρυθμιστικές αρχές σε 30 ευρωπαϊκές χώρες διερευνούν επί του παρόντος ανάλογες υποθέσεις, οι οποίες δε συνδέονται αποκλειστικά και μόνο με τη χρήση του Google Analytics, αλλά και με άλλα αντίστοιχα εργαλεία όπως είναι το Facebook Connect, το οποίο ουσιαστικά συνδέει τον εκάστοτε προσωπικό λογαριασμό ενός χρήση με άλλα sites. Επιπλέον, ιστοσελίδες από συγκεκριμένες χώρες που ανήκουν στις Airbnb, Sky, Ikea και The Huffington Post υπόκεινται επίσης σε καταγγελίες.
Η ολλανδική αρχή προστασίας δεδομένων, Autoriteit Persoonsgegevens, υποστηρίζει ότι δεν έχει αποκλείσει το ενδεχόμενο να απαγορευτεί η χρήση του Google Analytics στην τρέχουσα μορφή του. Για παράδειγμα στη Γερμανία, όπου τέτοιου είδους ζητήματα ρυθμίζονται ανά περιοχή, η αρχή προστασίας δεδομένων του Αμβούργου έλαβε δύο καταγγελίες από τον οργανισμό noyb, με αποτέλεσμα ένα website να αφαιρέσει εντελώς το εργαλείο του Google Analytics από το λειτουργικό του, αποφεύγοντας κάθε είδους επίπληξη.
Αξίζει να σημειωθεί ότι εκτός από τον γενικότερο συντονισμό από τις ρυθμιστικές αρχές διαφύλαξης δεδομένων, ενδέχεται να υπάρχουν χάσματα μεταξύ των διαφορετικών απόψεων των 27 φορέων επιβολής του GDPR της ΕΕ, κάτι που σε καμία περίπτωση δεν είναι ασυνήθιστο. Κάθε συμπέρασμα διεξάγεται λαμβάνοντας υπόψη τα γεγονότα της εκάστοτε υπόθεσης.
Τι γίνεται λοιπόν με την υπόθεση της Αυστρίας; Κάποιοι είναι αισιόδοξοι ότι θα μπορούσε να μειωθεί η εξάρτηση της Ευρώπης από μεγάλες αμερικανικές εταιρείες τεχνολογίας, ενώ άλλοι υποστηρίζουν ότι η χρυσή τομή βρίσκεται στη σωστή διαπραγμάτευση και από τις δύο πλευρές, διασφαλίζοντας ότι θα δημιουργηθεί μία νέα συμφωνία, η οποία θα επιτρέπει την ανταλλαγή δεδομένων βελτιώνοντας το επιχειρηματικό τοπίο.
Σε γενικότερο πλαίσιο, οι εταιρείες είναι πιθανό να εξετάσουν τόσο την απόφαση της αυστριακής αρχής όσο και άλλων πιθανών εναλλακτικών λύσεων ενώ περιμένουν τις περαιτέρω αποφάσεις από τους εθνικούς φορείς δεδομένων. Ταυτόχρονα υπάρχουν αρκετές ευρωπαϊκές cloud-based analytics επιχειρήσεις, οι οποίες δεν τραβούν τόσο μεγάλη προσοχή όσο το Google Analytics, το οποίο εκτιμάται ότι χρησιμοποιείται από 28 εκατομμύρια ιστότοπους παγκοσμίως.
Από την πλευρά των ΗΠΑ, οι εταιρείες της Σίλικον Βάλεϊ δεν προτίθενται να αλλάξουν προς το παρόν ούτε την τεχνολογία αλλά ούτε και τη στάση τους. Παραδείγματος χάρη τα εσωτερικά έγγραφα του Facebook αποδεικνύουν ότι η εταιρεία δεν πιστεύει ότι υπάρχουν προβλήματα με το ζήτημα της αποστολής δεδομένων της ΕΕ στις ΗΠΑ, ενώ οι δικηγόροι της εταιρείας υποστηρίζουν ότι οι νόμοι των ΗΠΑ προστατεύουν πλήρως τα δεδομένα των «ξένων» χρηστών. Είναι πιο πιθανό οι διαπραγματευτές της ΕΕ και των ΗΠΑ να συνάψουν μια νέα συμφωνία, προτού οι μεγάλες εταιρείες τεχνολογίας αλλάξουν ριζικά την στάση τους.
Τόσο η ΕΕ και όσο και οι ΗΠΑ συζητούν τι θα πρέπει να αντικαταστήσει το Privacy Shield από τότε που καταργήθηκε τον Ιούλιο του 2020. Οι διαπραγματεύσεις έχουν γίνει αρκετά έντονες τους τελευταίους μήνες και αποτελούν προτεραιότητα και για τις δύο πλευρές. Ωστόσο υπάρχουν κόκκινες γραμμές, μολονότι μόνο μια συμφωνία που είναι πλήρως συμβατή με τις απαιτήσεις και των δύο πλευρών θα μπορούσε να δώσει λύση στο συγκεκριμένο ζήτημα.
Τελικά, οι συνεχιζόμενες νομικές διαμάχες και οι πολιτικές διαπραγματεύσεις μπορεί να οδηγήσουν στην αντικατάσταση του Privacy Shield, με πολύ μεγαλύτερο νομικό έλεγχο μέσα στους επόμενους δύο μήνες. Το ζήτημα όμως παραμένει. Θα είναι, μετά την αναγέννηση του Privacy Shield, και οι δύο ευχαριστημένες με τις νέες μεταρρυθμίσεις;
ή αποκτήστε ετήσια συνδρομή εδώ.