Is Google Analytics illegaal in Brazilië?

Image of Iron Brands

Gepubliceerd op 13 jan 2023 door Iron Brands

Dit artikel is automatisch vertaald. Ga naar de Engelse versie voor het origineel.

Laten we het je direct zeggen: Nee, Google Analytics is niet illegaal in Brazilië. Google Analytics kwam onder vuur te liggen van verschillende Europese autoriteiten omdat het niet voldoet aan de GDPR-regels voor de doorgifte van gegevens buiten Europa. De GDPR is niet van toepassing in Brazilië omdat het land geen lid is van de Europese Unie of de Europese Economische Ruimte.

Hoewel Braziliaanse bedrijven nog steeds moeten voldoen aan de GDPR als ze zich richten op de Europese markt of gedrag in de EU monitoren (dit omvat het gebruik van Google Analytics op een website die gericht is op een Europees publiek). Daarom is het de moeite waard om hier dieper op in te gaan.

  1. De Braziliaanse privacywetgeving
  2. Welke regels gelden voor Google Analytics in Brazilië?
  3. Kan ik persoonsgegevens doorgeven van Europa naar Brazilië?
  4. Waar gaat al die ophef over Google Analytics over?
  5. Eindgedachten
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

De Braziliaanse privacywetgeving

De Federale Grondwet van Brazilië erkent privacy als een fundamenteel recht en is onlangs gewijzigd om te voorzien in een recht op gegevensbescherming. Bijgevolg garandeert de grondwet nu zowel privacy als gegevensbescherming als afzonderlijke rechten, zoals het Handvest van de grondrechten van de Europese Unie.

De belangrijkste Braziliaanse privacywetgeving is de General Data Protection Act van 2018. De GDPR heeft deze wet in veel opzichten sterk beïnvloed. Brazilië heeft ook een handhavingsmodel aangenomen dat vergelijkbaar is met dat van de Europese Unie en heeft in 2020 een onafhankelijke nationale gegevensbeschermingsautoriteit opgericht.

Welke regels gelden voor Google Analytics in Brazilië?

Cookies zijn persoonsgegevens onder de LGPD, maar het Braziliaanse wettelijke kader is minder streng dan het Europese, en toestemming is niet altijd nodig.

De Braziliaanse autoriteiten voor gegevensbescherming hebben gedetailleerde richtlijnen over cookies gepubliceerd. Als vuistregel geldt dat voor cookies van derden en het gebruik van cookies voor marketingdoeleinden toestemming van de gebruiker nodig is. Aan de andere kant kunnen essentiële cookies en cookies voor web analytics zonder toestemming worden gebruikt, zolang aan specifieke eisen wordt voldaan.

De cookiebanners en beleidsvereisten zijn vergelijkbaar met die van de GDPR.

Kan ik persoonsgegevens doorgeven van Europa naar Brazilië?

Op dit moment is er geen adequaatheidsbesluit voor Brazilië. Met andere woorden, de Europese Commissie heeft Brazilië geen groen licht gegeven als veilig land voor de doorgifte van gegevens.

U kunt nog steeds persoonsgegevens doorgeven aan Brazilië, maar dat wordt lastiger dan wanneer u gegevens doorgeeft aan een EU/EER-land of een land waarvoor een adequaatheidsbesluit geldt.

Waar gaat al die ophef over Google Analytics over?

De recente trend van besluiten tegen Google Analytics maakt deel uit van een grotere juridische puzzel over gegevensoverdrachten tussen de EER en de VS. De kwestie heeft niet direct betrekking op Brazilië, maar wel op Brazilliaanse websites die Google Analytics gebruiken, mits zij zich richten op de Europese markt en het Europese publiek. We hebben hier al uitgebreid over geschreven op onze blog, dus hier is een korte versie.

De kern van de zaak is staatstoezicht. Volgens de GDPR kunnen Europese persoonsgegevens alleen veilig buiten de EER worden doorgegeven. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse wettelijke kader uitgebreide en invasieve surveillance van de gegevens van buitenlandse burgers toestaat.

Twee verschillende kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden GDPR-conforme gegevensoverdrachten mogelijk, maar beide kaders werden ongeldig verklaard door het Hof van Justitie van de EU in de zaken Schrems I en II. Een derde kader is in de maak, maar zal ongetwijfeld op juridische problemen stuiten. Met een Schrems III-arrest in het verschiet blijft de toekomst van de gegevensstromen tussen de EU en de VS onzeker.

In de tussentijd moeten bedrijven hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaard contractuele clausules) om gegevens rechtmatig naar de VS door te geven onder de GDPR. Het probleem met deze instrumenten is echter dat ze geen bescherming bieden tegen overheidstoezicht. Daarom heeft het Hof van Justitie in de zaak Schrems II verduidelijkt dat zij moeten worden aangevuld met extra privacybeschermende maatregelen wanneer gegevens naar "onveilige" landen worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven hierover hier). Staatstoezicht is de reden waarom het overbrengen van gegevens naar de VS doorgaans lastiger is dan naar Brazilië, ook al heeft een adequaatheidsbesluit betrekking op geen van beide landen.

Na de Schrems II-uitspraak in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. In de tussentijd diende NGO noyb 101 klachten in over gegevensoverdrachten tegen Europese websites die Google Analytics en Facebook Connect gebruiken om de autoriteiten aan te zetten tot een striktere handhaving van het Schrems II-arrest.

De gegevensbeschermingsautoriteiten coördineerden hun aanpak op Europees niveau om de klachten coherent te behandelen. Bijgevolg hebben de Oostenrijks, Frans, Italiaans, en Hongaars De gegevensbeschermingsautoriteiten hebben zich in zeer vergelijkbare besluiten uitgesproken tegen het gebruik van Google Analytics, en de Deense gegevensbeschermingsautoriteit heeft in wezen hetzelfde gedaan in een persbericht. Hoewel de beslissingen betrekking hebben op een individuele controller, vormen ze allemaal een precedent dat praktisch neerkomt op een verbod voor de hele staat, zoals we hier hebben uitgelegd.

Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse autoriteiten die het voortouw nemen, zullen andere gegevensbeschermingsautoriteiten waarschijnlijk het voorbeeld volgen en een harder standpunt innemen over Google Analytics.

Eindgedachten

Of Google Analytics nu illegaal is in Brazilië of niet, het is zeker niet privacyvriendelijk voor uw websitebezoekers. Wij geloven dat u website-inzichten kunt verzamelen terwijl u de privacy van uw bezoekers respecteert. Daarom zijn we begonnen met het bouwen van Simple Analytics als een privacy-vriendelijk Google Analytics alternatief.

Met Simple Analytics kunt u toch inzichten verzamelen en kansen ontdekken uit uw website analytics zonder cookies te gebruiken of persoonlijke gegevens te verzamelen. Wilt u zien hoe dat eruit ziet? Bekijk ons live dashboard hier. Als dit u aanspreekt, voel u dan vrij om het eens te proberen.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode