A inconformidade dos “cookies walls”

O uso de cookies e a eventual obtenção do respetivo consentimento têm que seguir a Directiva ePrivacy e o RGPD.

A autoridade holandesa de controlo dos dados pessoais (DPA) clarificou (aqui) que os “cookies walls” são, em muitos casos, uma prática irregular que não respeita o RGPD.

O tema é controverso e em última instância irá caber ao Tribunal de Justiça da União Europeia dar clareza jurídica a esta questão. É de esperar alguma resistência a este entendimento da autoridade holandesa de controlo dos dados pessoais, não só porque a sua adequabilidade depende das condições particulares de cada caso, como o benefício obtido pela utilização dos cookies é demasiado importante para não merecer oposição.

Nem na diretiva 2002/58/CE (ou «ePrivacy Directive») do Parlamento Europeu e do Conselho de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações eletrónicas, depois transposta para o ordenamento jurídico português através da Lei 41/2004 de 18 agosto e alterada pela Lei 46/2012 de 29 agosto, nem no RGPD conseguimos encontrar uma resposta simples para a questão. A única solução é acrescentar um pouco de ponderação aos princípios evocados pela lei e com sentido de proporcionalidade utilizar prudência e respeito pelo titular dos dados.

Para uma clara perceção das fronteiras da ePrivacy e o do RGDP consulte-se (aqui) o documento publicado este mês pela EDPB (European Data Protection Board – Conselho Europeu para a Proteção de Dados), intitulado “Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities”.

Recapitulemos o conceito de cookie e entendamos a que tipo de cookies se refere a DPA holandesa.

Globalmente, existem duas variedades de cookies: cookies de sessão e cookies persistentes. Os cookies de sessão (“Session Cookies”) desaparecem depois do utilizador fechar a janela do browser (terminando a sessão), e são muitas vezes utilizados por “carrinhos de compras” em lojas online, para manter um controlo dos itens que o utilizador deseja comprar. Os cookies persistentes, por outro lado, são enviados por sites de notícias, empresas de marketing digital, e outras que querem saber quando o utilizador volta a um site. Estes ficheiros ficam na memória do dispositivo eletrónico do utilizador depois de ele sair do site.

Ambos os tipos de ficheiros de cookies contem o URL ou domínio do site que o utilizador visitou e alguns códigos internos que indicam quais as páginas que o utilizador visitou. Os cookies persistentes acrescentam a última vez que o utilizador visitou o site e quantas vezes lá esteve; normalmente contem código que se torna no seu identificador exclusivo, o que permitem a um site saber que o utilizador já lá esteve antes. Alguns cookies podem conter informações pessoais, como o nome ou endereço de e-mail, mas só se o utilizador tiver dado essas informações ao Web site. Os cookies só recolhem informação como o nome ou endereço de e-mail se o utilizador der essa informação, os cookies não “roubam” informação.

Por omissão os browsers estão configurados para aceitarem cookies, mas se estiver preocupado com a sua privacidade pode bloquear essa funcionalidade só que, muito provavelmente, ficará limitado a navegar em apenas 10% dos sites.

Os cookies podem executar um conjunto muito variado de funções, tanto pelo utilizador do site como pelo Web site. Para os utilizadores, os cookies tornam a Web mais cómoda e funcional.

Para os Web sites, por exemplo, os cookies podem desempenhar um papel semelhante ao de um vendedor. Ligando historial de compras do utilizador ao seu cookie, a empresa pode fazer recomendações no momento de novos produtos de acordo com os seus gostos, graças a uma base de dados que mantem. A grande maioria dos Web sites enviam cookies também para saberem quantos utilizadores visitam o site, o que é uma métrica bem mais útil que os hits.

Uma visita a um mesmo site pode resultar em vários cookies e nem todos os cookies comunicam diretamente com o site que estiver a visitar. Alguns cookies enviam as informações para os anunciantes do site. É possível que algumas empresas de publicidade como a doubleclick.com, enviem, cookies que comunicam diretamente com elas e monitorizem os utilizadores. Cruzando os vários cookies que dispõem sobre o utilizador, é possível traçar um perfil dos seus interesses, hábitos de consumo e estilo de vida, para lhe dirigir comunicações comerciais. Estes tipos de cookies são classificados como “tracking cookies”.

Os cookies de tracking (na terminologia da google, chamam-se cookies de publicidade – ver aqui as definições da google) são usados ​​principalmente para monitorar o comportamento de navegação, estabelecer perfis e, geralmente, têm o marketing (publicidade) como objetivo. Os cookies funcionais são usados ​​para melhorar as funções do site, guardando informação de forma temporária. Os cookies analíticos ficam entre os dois e são usados ​​frequentemente para recolher informação sobre o utilizador.

Posto este esclarecimento, entendamos a posição da DPA holandesa.

Primeiramente a DPA holandesa refere que os cookies estão sujeitos à legislação sobre as comunicações eletrónicas, ou seja, a diretiva europeia 2002/58/CE e a sua transposição para a legislação nacional. De seguida, a DPA holandesa afirma que os cookies também têm que estar conformes com o RGPD.

A DPA holandesa debruça-se, então, sobre o caso específico dos “cookies walls”, isto é, sites que só dão acesso aos utilizadores se aceitarem a política de cookies. Se essa política incluir a utilização de “tracking cookies”, colocam-se problemas ao nível do consentimento.

Esta nota da DPA holandesa veio na sequência de dezenas de reclamações de visitantes de sites que não conseguiram aceder a páginas da Web que pretendiam consultar após terem recusado um pop-up a pedir a aceitação da politicai de cookies (“cookie Wall”).

Houve casos em que foi notório que os operadores de sites condicionavam o acesso aos seus sites ao consentimento na utilização de cookies persistentes, para “tracking”, em situações consideradas desproporcionadas, designadamente em situações em que a única alternativa é não usar o serviço.

Claro que o consentimento não é a única base legal para o tratamento de dados pessoais, mas muitos sites recorrem ao consentimento para utilizarem “tracking cookies” e, em verdade se diga que, com fundamento.

A DPA holandesa deixa claro que o site tem que pedir consentimento ao utilizador para usar software de tracking (tracking cookies de terceiras entidades; tracking pixels; e browser fingerprinting tech) e que esse consentimento tem de ser dado de livre vontade, específico e informado. A DPA holandesa acrescenta que a permissão não é “livre” se alguém não tiver uma escolha efetiva ou se a pessoa não poder recusar dar permissão sem consequências adversas.

A DPA holandesa não coloca objeção a cookies para o bom funcionamento do site e a análise geral da visita naquele site. A monitorização e análises mais completas do comportamento dos visitantes do site e a cedência dessa informação a terceiros é que só é permitida através do consentimento. Esse consentimento deve ser dado de livre vontade e de forma informada.

Basicamente está em questão o pedido de consentimento em bloco para os diversos tipos de cookies. Há que separar o consentimento dos cookies publicitários de terceiras entidades, do consentimento dos cookies site-funcionais e cookies site-analíticos. Ou, eventualmente, solicitar o consentimento unicamente para os cookies publicitários de terceiras entidades.

Na verdade este entendimento não tem nada de novo, sendo que o próprio EDPB, já o tinha expresso no parecer à revisão do Regulamento ePrivacy (aqui).

A diretiva 2002/58/CE permite que o conteúdo do site possa ter o acesso condicionado à aceitação bem informada sobre os cookies. Mas aqui coloca-se a questão da proporcionalidade e uma eventual necessidade de seccionar o site por forma a que o pop-up da aceitação da política de cookies (tracking) não bloqueie a utilização de todas as funcionalidades do site, particularmente se houver alguma razoabilidade em dar acesso ao site.

A controvérsia surge porque também há que ter em conta o direito de propriedade.

O proprietário do site também tem direitos. Não há nenhuma lei que obrigue o proprietário do site a disponibilizar o acesso e muito menos que disponibilize o acesso sem condições. O proprietário do site tem o direito de estabelecer os termos e condições de acesso ao seu site. O proprietário do site não pode obrigar ninguém a sujeitar-se ao “tracking”, mas também não o faz quando recorre a um “cookie wall”.

É nesta medida que, embora considerando as orientações gerais, a situação deva ser apreciada caso-a-caso.

José Duarte Alvarenga

Author: José Duarte Alvarenga

Economista, Consultor, DPO, Co-Chair IAPP Lisbon KnowledgeNet Chapter, Certified Information Privacy Manager (CIPM), Data Protection Lead Auditor (DPLA)

Leave a Reply