Του Μιχάλη Ψύλου
[email protected]
Μόλις δύο εβδομάδες μετά την απόφαση της Αυστριακής Αρχής Προστασίας Δεδομένων ότι η συνεχής χρήση του Google Analytics παραβιάζει το GDPR, η αντίστοιχη Γαλλική Επιτροπή (CNIL) ανέλαβε επίσης ανάλογη δράση: Εξέδωσε επίσημη ειδοποίηση σε έναν ιστότοπο που χρησιμοποιεί τα Google Analytics, με το αιτιολογικό ότι η Google μεταφέρει παράνομα, δεδομένα στις Ηνωμένες Πολιτείες.
Το όνομα του ιστότοπου δεν αποκαλύφθηκε από την Cnil, αλλά όπως αναφέρει η Γαλλική Επιτροπή Προστασίας Δεδομένων, έχει στη διάθεσή του έναν μήνα για να συμμορφωθεί με τον ευρωπαϊκό κανονισμό προστασίας δεδομένων (GDPR), παύοντας να χρησιμοποιεί το εργαλείο Google Analytics υπό τις τρέχουσες συνθήκες. Μετά από αυτό το διάστημα, ενδέχεται να του επιβληθούν κυρώσεις.
Η Cnil εκτίμησε ότι οι προϋποθέσεις για τη μεταφορά των δεδομένων που συλλέγονται από αυτό το στατιστικό εργαλείο, λόγω έλλειψης πλαισίου, θα μπορούσαν να εκθέτουν Γάλλους χρήστες σε προγράμματα επιτήρησης στις Ηνωμένες Πολιτείες. Διότι αυτά τα δεδομένα, ακόμη και που φιλοξενούνται στην Ευρώπη, μπορούν να ανακτηθούν από αμερικανικές υπηρεσίες Πληροφοριών.
Η απόφαση του Cnil είναι σημαντική και θα μπορούσε να έχει σημαντικές συνέπειες στο διαδίκτυο στην Ευρώπη. Ανάλογη απόφαση έχει λάβει μάλιστα και η Ολλανδία και το ερώτημα είναι πλέον αν οι ενέργειες αυτές θα προκαλέσουν ένα φαινόμενο ντόμινο στην απαγόρευση των Google Analytics, ενός εργαλείου το οποίο είναι απαραίτητο για τη λειτουργία του 80% των ιστοσελίδων στην Ευρώπη.
Η υπηρεσία Google Analytics είναι ένα δωρεάν και πανταχού παρούσα, σε εκατομμύρια ιστότοπους ως εργαλείο συλλογής και επεξεργασίας στατιστικών στοιχείων και αναλυτικών πληροφοριών σχετικά με την επισκεψιμότητα μίας ιστοσελίδας.
Το ερώτημα είναι: θα απαγορευτούν σύντομα τα Google Analytics από όλη την Ευρώπη; Μετά την αυστριακή απόφαση, η Google προσπάθησε να ελαχιστοποιήσει τη σημασία της ,καλώντας την Ευρωπαϊκή Ένωση και τις Ηνωμένες Πολιτείες να διαπραγματευτούν ένα νέο νομικό πλαίσιο το συντομότερο δυνατό. Στη συνέχεια, η Meta – η μητρική εταιρεία του Facebook –προκάλεσε μια διαμάχη ειδοποιώντας την αρμόδια αρχή στις Ηνωμένες Πολιτείες ότι μπορεί να χρειαστεί να εγκαταλείψει την Ευρώπη εάν οι Βρυξέλλες δεν αμβλύνουν τις απαιτήσεις της για τη μεταφορά δεδομένων. Μια κρυφή απειλή που δεν ταρακούνησε την ΕΕ, τη Γαλλία και τη Γερμανία, που απάντησαν με καυστικό: «και τι μας νοιάζει;».
«None of Your Business»
Η πρωτοβουλία για τις δράσεις ενάντια στα Google Analytics ανήκει στο Ευρωπαϊκό Κέντρο Ψηφιακών Δικαιωμάτων για την υπεράσπιση της ιδιωτικής ζωής «NOYB» (None of Your Business)”-«Δεν είναι δική σου δουλειά). Το NOYB εδρεύει στη Βιέννη και είναι ένας μη κερδοσκοπικός οργανισμός που ιδρύθηκε το 2017 από τον Αυστριακό δικηγόρο και ακτιβιστή για την προστασία της ιδιωτικής ζωής Μαξ Σρεμς.
Στόχος του δικτύου είναι η προώθηση πρωτοβουλιών στα μέσα ενημέρωσης για την υποστήριξη του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR), του προτεινόμενου κανονισμού για την προστασία της ιδιωτικής ζωής και γενικότερα του απορρήτου των πληροφοριών. Η Αυστριακή Αρχή Προστασίας Δεδομένων (Datenschutzbehörde (DSB”) αποφάσισε μάλιστα πρόσφατα μετά από παρέμβαση του ΝΟΥΒ ότι η συνεχής χρήση του Google Analytics παραβιάζει τον GDPR.
Αυτή ήταν η πρώτη απόφαση από συνολικά 101 καταγγελίες που υπέβαλε η ΝΟΥΒ στην Ευρώπη κατά υπευθύνων επεξεργασίας δεδομένων που μεταφέρουν προσωπικά δεδομένα, που συλλέγονται από το Google Analytics ή το αντίστοιχο του Facebook Connect. Οι καταγγελίες της ΝΟΥΒ ακολούθησαν την απόφαση του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων (ΔΕΕ) τον Ιούλιο του 2020, ότι η χρήση παρόχων από τις Ηνωμένες Πολιτείες παραβιάζει τον GDPR.
Το ΔΕΕ έκρινε ότι οι Αμερικανικοί νόμοι περί επιτήρησης απαιτούν από τους παρόχους των ΗΠΑ, όπως η Google και το Facebook να παρέχουν προσωπικά στοιχεία στις αρχές των Ηνωμένων Πολιτειών. Ο Μαξ Σρεμς λέει μάλιστα ότι παρόμοιες αποφάσεις αναμένονται και σε άλλα κράτη μέλη της ΕΕ, καθώς οι ρυθμιστικές αρχές έχουν συνεργαστεί σε αυτές τις περιπτώσεις σε μια «task force» του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB)-του ανεξάρτητου ευρωπαϊκού φορέα, σκοπός του οποίου είναι να διασφαλίσει τη συνεπή εφαρμογή του Γενικού Κανονισμού για την Προστασία Δεδομένων και να προωθήσει τη συνεργασία μεταξύ των αρχών προστασίας δεδομένων της ΕΕ.
Μακροπρόθεσμη λύση
«Είναι ενδιαφέρον να δούμε ότι οι διάφορες Αρχές Προστασίας Δεδομένων στις χώρες μέλη, καταλήγουν στο ίδιο συμπέρασμα: η χρήση του Google Analytics είναι παράνομη. Υπάρχει μια ευρωπαϊκή ομάδα εργασίας και υποθέτουμε ότι αυτή η ενέργεια είναι συντονισμένη και άλλες αρχές θα αποφασίσουν αναλόγως», λέει ο Σρεμς και προσθέτει: «Ενώ υπάρχουν πολλές εναλλακτικές λύσεις στην Ευρώπη, πολλοί ιστότοποι βασίζονται στην Google και έτσι προωθούν τα δεδομένα των χρηστών τους στην αμερικανική πολυεθνική».
Μακροπρόθεσμα πάντως, φαίνεται να υπάρχουν δύο επιλογές: Είτε οι Ηνωμένες Πολιτείες να προσαρμόσουν τους βασικούς κανόνες προστασίας για τους ξένους για να υποστηρίξουν τη βιομηχανία τεχνολογίας τους, είτε οι Αμερικανικοί πάροχοι να αποθηκεύουν τα δεδομένα χρηστών εξωτερικού, εκτός των Ηνωμένων Πολιτειών. «Είτε θα χρειαστούμε την κατάλληλη προστασία στις ΗΠΑ ή θα καταλήξουμε με ξεχωριστά προϊόντα για τις Ηνωμένες Πολιτείες και την ΕΕ», λέει ο Σρεμς. «Προσωπικά θα προτιμούσα καλύτερη προστασία στις ΗΠΑ, αλλά αυτό εξαρτάται από το αμερικανικό νομικό πλαίσιο και όχι από την Ευρώπη».