Na Europa, concluiu-se que os banners de cookies não cumprem o RGPD. Discutimos os antecedentes da questão, compartilhamos as opiniões de especialistas e analisamos as opções para o desenvolvimento da situação.
/ Flickr / Carsten Schertzer / CC BY / Foto alteradaAntecedentes
O artigo 30 do Regulamento Geral de Proteção de Dados
da UE estabelece que um site é obrigado a notificar os usuários da instalação de cookies, se eles puderem ser usados para determinar a identidade de uma pessoa. Caso contrário, o recurso viola os requisitos do RGPD e pode ser cobrada uma multa grande de acordo com a lei.
Acredita-se que você não pode obter o consentimento do usuário se forem necessários cookies para salvar dados da sessão, reproduzir conteúdo de vídeo e áudio, equilibrar a carga no site e o trabalho de plug-ins de redes sociais de terceiros. No entanto, o texto é bastante vago e nem sempre é claro quando alertar o usuário sobre a configuração de cookies.
Para evitar problemas com o GDPR, alguns proprietários de sites foram ressegurados e colocados nas chamadas paredes de cookies. São banners que bloqueiam o acesso ao conteúdo até o usuário concordar com o processamento do PD. No entanto, no início de março, um regulador da Holanda
emitiu um decreto que considerava as paredes de cookies ilegais.
Qual o motivo desta decisão
A decisão foi uma resposta às inúmeras queixas dos europeus. No ano passado, o PA recebeu muitas demandas dos usuários para verificar a legitimidade dos banners que bloqueavam o acesso ao conteúdo.
Representantes da Agência de Proteção de Dados da Holanda (AP)
disseram que as paredes
dos cookies não são compatíveis com o GDPR. As paredes de cookies forçam os usuários a concordar com os termos da coleta de dados, o que é contrário aos requisitos do RGPD. Por lei, a permissão dos indivíduos para processar informações pessoais deve ser completamente voluntária.
Até agora, nenhuma empresa foi punida por tais práticas. No entanto, a AP alertou que nos próximos meses eles verificarão ativamente todas as reclamações dos usuários. Portanto, os proprietários do site provavelmente terão que abandonar os banners de bloqueio.
Observe que a decisão do regulador holandês não é a primeira na Europa. Em 2015 (quando a
diretiva ePrivacy estava no lugar do GDPR ), a Comissão Belga de Proteção de Dados
emitiu recomendações para os proprietários de sites, que proibiram restringir o acesso ao conteúdo sem permissão para definir cookies.
Pareceres
A posição da AP foi apoiada por advogados europeus especializados em proteção de dados. Eles
observam que o usuário deve dar seu consentimento voluntariamente, e a empresa ou o site não tem o direito de exercer pressão sobre ele.
“Observo que o Facebook foi criticado por essas atividades no início do RGPD. A empresa adicionou uma caixa de diálogo ao aplicativo, cuja interface muitos criticaram por pressionar desnecessariamente os usuários a concordar em processar os dados e continuar trabalhando com o serviço ”, comentou Sergey Belkin, chefe do departamento de desenvolvimento do provedor de IaaS 1cloud . - Então havia apenas críticas. Talvez o precedente holandês forme uma atitude diferente para esses casos ".
Nem todos os reguladores europeus estão do mesmo lado. Em novembro de 2018, a Agência Austríaca de Proteção de Dados (RIS)
examinou o caso da parede de cookies.
Um dos jornais locais mostrou aos visitantes do site um banner com três opções. Os usuários podem concordar em definir cookies e obter acesso total à página, recusar e abrir acesso limitado ou pagar por uma assinatura e obter acesso total sem configurar cookies. O RIS considerou que o banner não viola os requisitos do regulamento, e os indivíduos privados dão consentimento ao processamento de dados voluntariamente.
A solução AP também não era suportada pelos próprios proprietários do site. Em abril, uma reclamação pelo uso da parede de cookies foi
registrada contra a associação de publicidade da IAB Europe - há apenas um botão em seu banner com o consentimento para definir cookies. Representantes da organização
observaram que o regulamento não proíbe explicitamente restringir o acesso ao site e criticaram os reguladores pela falta de regras claras para o trabalho com cookies.
O IAB também não concordou com o fato de que seu banner viola o direito dos usuários de acessar o conteúdo. O bloqueador de anúncios da organização escreveu uma reclamação sobre a organização e, portanto, o IAB considera a campanha contra seu site uma manifestação de concorrência.
/ Flickr / K-State / CC BYO que vem a seguir
Apesar dos procedimentos recentes, em geral, com a entrada em vigor do RGPD, os proprietários do site reduziram o número de cookies nas páginas. Os especialistas da Universidade de Oxford analisaram dados de cookies em sites de abril a julho de 2018. Em média, durante esse período, os sites
começaram a usar 22% menos cookies.
Até o final de 2019, uma nova lei será
adotada na Europa - o
Regulamento ePrivacy , cujo objetivo é proteger os usuários da Internet contra spam e publicidade intrusiva. Um dos principais tópicos do documento serão os cookies. Como as políticas da UE são contra o bloqueio de cookies, é provável que a nova lei os proíba.
Uma alternativa aos sites pode ser notificações pop-up regulares para visitantes da página. Eles não restringem o acesso ao conteúdo e oferecem uma oportunidade de obter o consentimento do usuário. Os cidadãos da UE também apóiam essa opção - cerca de 53% dos europeus
consideram os alertas mais encorajadores do que irritantes.
Leitura adicional do nosso blog corporativo: