Google Analytics (GA) utilizează module cookie precum _ga și _gid pentru a distinge utilizatorii individuali pe un domeniu. Aceste module cookie nu sunt clasificate ca fiind strict necesare, declanșând astfel cerințele stipulate de Regulamentul General privind Protecția Datelor (GDPR) și de Directiva ePrivacy pentru consimțământul explicit al utilizatorului înainte de implementarea lor. Acest lucru se aliniază cu principiul conform căruia doar modulele cookie strict necesare sunt scutite de obligațiile de consimțământ (Parlamentul European și Consiliul, 2016).
Cerințele de consimțământ variază în funcție de jurisdicția din cadrul UE, așa cum demonstrează interpretările și aplicările diferite ale Autorităților pentru Protecția Datelor (DPAs):
- Information Commissioner’s Office (ICO) din Marea Britanie clasifică modulele cookie de analiză ca fiind neesențiale, solicitând în mod explicit consimțământul utilizatorului înainte de a activa modulele cookie GA (ICO, 2020).
- DPA din Germania solicită consimțământul explicit pentru modulele cookie de analiză numai dacă datele sunt transferate către terți, reflectând o abordare mai condiționată (BfDI, 2021).
- Autorități precum DPA din Austria, CNIL din Franța și Garante din Italia au emis decizii conform cărora Google Analytics încalcă GDPR, în special din cauza problemelor legate de transferul de date și a garanțiilor insuficiente (CNIL, 2022; Garante, 2023).
Aceste decizii se concentrează pe:
- Transferurile de date către țări terțe, în special în SUA, care nu dispun de decizii privind caracterul adecvat al protecției în temeiul GDPR.
- Anonimizarea sau pseudonimizarea insuficientă a datelor cu caracter personal transmise către serverele Google.
- Absența unor temeiuri juridice valabile pentru prelucrarea datelor cu caracter personal prin intermediul GA fără consimțământ explicit.
Implicațiile pentru operatorii de site-uri web sunt semnificative:
- Aceștia trebuie să obțină consimțământul explicit informat înainte de a implementa modulele cookie GA.
- Aceștia ar trebui să evalueze dacă utilizarea lor a GA este conformă cu ghidurile DPA specifice jurisdicției.
- Alternativele sau măsurile suplimentare (de exemplu, urmărirea pe server, anonimizarea îmbunătățită) pot fi necesare pentru a asigura conformitatea.
În rezumat, utilizarea Google Analytics în conformitate cu GDPR nu este scutită de cerințele de consimțământ, cu semnale de reglementare puternice de la mai multe DPA-uri care subliniază consimțământul explicit din cauza riscurilor de confidențialitate legate de utilizarea modulelor cookie și de transferurile de date transfrontaliere. Neconformitatea poate duce la acțiuni de reglementare, inclusiv la amenzi.
