Atualização em maio de 2020: O Conselho Europeu de Proteção de Dados (EDPB) revisou suas diretrizes sobre mecanismos de coleta de consentimento. Leia mais aqui.
Quando falamos sobre legislação de proteção de dados, pensamos automaticamente em cookies, pois os dois tópicos estão diretamente relacionados. Isso pode levar ao pensamento equivocado de que a Diretiva de Privacidade Eletrônica (ou Lei de Cookies) foi revogada pelo Regulamento Geral de Proteção de Dados (ou GDPR), o que não é verdade. Pelo contrário, você pode pensar que a Diretiva de Privacidade Eletrônica e o GDPR se aplicam em conjunto e complementam-se.
A Diretiva de ePrivacy 2002/58/CE (ou Lei dos Cookies) foi criada para estabelecer diretrizes para a proteção da privacidade eletrônica, incluindo e-mail marketing e uso de cookies, que se aplica até hoje. Como mencionado acima, você pode imaginar a Diretiva Privacidade Eletrônica como uma legislação que “complementa” o GDPR, e que não é substituída por este último.
Estritamente falando, se você usar cookies, você precisa considerar a conformidade com a Lei dos Cookies antes de focar no GDPR. Isso porque a Lei dos Cookies também é chamada “lex specialis“, o que significa que ela tem precedência sobre o GDPR.
Em geral, as diretivas estabelecem certas metas e diretrizes acordadas em vigor, com os Estados-Membros sendo obrigados a implementar essas diretivas na legislação nacional. Por outro lado, os regulamentos são juridicamente vinculativos em todos os Estados-Membros desde o momento da sua entrada em vigor sendo aplicados conforme as regras estabelecidas ao nível comunitário.
💡Para entender melhor quais regras de consentimento de cookies se aplicam em cada país, veja nossa tabela de comparação de regras na UE aqui.
Dito isto, a Diretiva de Privacidade Eletrônica será, de fato, em breve revogada pelo Regulamento de Privacidade Eletrônica (ePrivacy Regulation). O Regulamento de privacidade eletrônica deve ser finalizado em breve e se aplicará em conjunto com o GDPR para regulamentar os requisitos para o uso de cookies, comunicações eletrônicas e tópicos relacionados à proteção de dados e privacidade.
A Lei dos Cookies se aplica não apenas aos cookies, mas a qualquer outro tipo de tecnologia que armazena ou acessa informações no dispositivo de um usuário (por exemplo, marcas de píxeis, impressão digital do dispositivo, identificadores exclusivos, etc.). Para simplificar, todas essas tecnologias, incluindo cookies, são comumente definidas como rastreadores*.
Além disso, a Lei dos Cookies é neutra em tecnologia, o que significa que abrange não apenas o ambiente de sites e navegadores, mas também outros tipos de tecnologia, incluindo aplicativos em smartphones, tablets, smart TVs ou outros dispositivos.
*No entanto, neste guia, os termos cookie(s) e rastreadores(s) serão usados da mesma forma.
A Lei dos Cookies exige o consentimento informado dos usuários antes de armazenar ou acessar informações sobre dispositivos do usuário.
Isso significa que, se você usar cookies, você deve:
Na prática, você precisará mostrar um banner de cookies (também chamado aviso de cookies) após a primeira visita do usuário, implementar uma política de cookies e permitir que o usuário forneça consentimento – a menos que seu site use somente cookies isentos, o que é improvável. Antes do consentimento, nenhum cookie — exceto os isentos — deve ser executado ou instalado.
O aviso de cookies deve:
Tenha em mente que os detalhes mencionados acima são requisitos mínimos básicos. Os requisitos de conteúdo de banner de cookies podem variar de país para país, dependendo das opiniões da respectiva APD.
A Política de Cookies deve:
Os cookies de primeira são aqueles gerenciados diretamente por você, o proprietário do site/aplicativo, e os cookies de terceiros são gerenciados por terceiros e permitem serviços fornecidos por eles. Normalmente, cookies de terceiros estão presentes quando seu site/aplicativo usa serviços de terceiros para incorporar, por exemplo, imagens, plugins de mídia social ou publicidade.
Em conformidade com os princípios gerais da legislação de privacidade, que impedem o tratamento antes do consentimento, a Lei dos Cookies não permite o armazenamento de informações ou o acesso às informações armazenadas em dispositivos de usuário antes de obter o consentimento do usuário. Isso implica a necessidade de bloquear os códigos que instalam cookies antes de obter o consentimento do usuário.
Consentimento para cookies livremente dado, específico, informado e explícito, o que significa que ele deve ser fornecido através de uma ação afirmativa (opt-in) clara. Portanto, se você utiliza mecanismos como caixas de seleção, elas não podem estar pré-selecionadas.
O documento do Grupo de Trabalho na Lei dos Cookies estabelece que:
Para garantir que os mecanismos de consentimento para cookies estejam em conformidade com as condições de cada Estado-Membro, o mecanismo de consentimento deverá incluir cada um dos principais elementos informação específica, consentimento prévio, indicação das preferências definidas pelo comportamento ativo do usuário e possibilidade de livre escolha.”
Muitas autoridades de proteção de dados da UE lançaram orientações sobre cookies e tecnologias similares que incluem conselhos e recomendações sobre métodos válidos para obter consentimento.
A APD italiana atualizou as diretrizes sobre o uso de cookies e outros rastreadores. As mudanças foram adotadas em junho de 2021. Você pode ler o resumo aqui.
O Conselho Europeu de Proteção de Dados (EDPB) atualizou suas diretrizes de consentimento: Instruções 05/2020 sobre consentimento sob o Regulamento 2016/679. Esta atualização é importante porque visa eliminar qualquer ambiguidade em relação aos cookies. Essas últimas diretrizes afirmam claramente que as Cookie Walls (ou “paredes de cookies) são proibidas e que o EDPB não considera o consentimento via rolagem ou navegação contínua como válido.
📌Para saber mais sobre quais regras de consentimento de cookies da UE se aplicam por país,confira aqui nossa cheatsheet de consentimento de cookies.
A respeito da opção de recusar o consentimento ou à revogação do mesmo após o ter dado (opt-out), a lei estabelece que deve ser “dada ao usuário a possibilidade” de negar ou retirar o consentimento. O documento do Grupo de Trabalho aborda esse ponto especificando que, em relação à revogação ou recusa do consentimento expresso, é necessário fornecer as seguintes informações:
Isso significa que esses métodos não podem ser fornecidos diretamente pelo operador do site. Em alguns casos, segundo a legislação dos Estados-Membros, as configurações do navegador por si só já são consideradas um meio aceitável para retirar o consentimento.
Os mecanismos de obtenção de consentimento válido podem variar de um Estado-Membro para outro.
Em geral, a diretiva não exige especificamente que você liste cookies um a um. Invés disso, você é explicitamente obrigado a declarar claramente o tipo, finalidade e se eles são cookies de terceiros; você também deve indicar o terceiro que está gerenciando-os e vincular à política de privacidade/cookies relevante de terceiros.
Essa decisão da Autoridade é provavelmente deliberada, pois, exigir a listagem de cookies um a um significaria que os proprietários individuais de sites/aplicativos suportariam a responsabilidade de vigiar constantemente cada cookie de terceiros, procurando por mudanças que estão fora de seu controle; isso seria em grande parte irracional, ineficiente e provavelmente inútil para os usuários.
Para entender mais este ponto, veja esse trecho do Guia para Cookies do ICO que explica o seguinte:
Existe a opção de fornecer listas longas de todos os cookies instalados, mas para a maioria dos usuários uma explicação mais ampla de como os cookies funcionam e as categorias usadas é mais que suficiente. Uma descrição dos tipos de cookies usados no site terá mais probabilidade de atender aos requisitos de informação, em vez de apenas listar cada um dos cookies usados, com referências básicas à sua função.”
Esta orientação é desenvolvida pela Autoridade Italiana de Proteção de Dados (o “Garante Privacy”), que afirma expressamente o seguinte:
Muitas são as razões pelas quais não é possível impor ao anunciante a obrigação de fornecer as informações e obter o consentimento para a instalação de cookies no seu site, mesmo para aqueles instalados por “terceiros”.
Em primeiro lugar, a editora deve ter sempre os instrumentos e a capacidade econômico-jurídica para assumir as obrigações de terceiros, portanto, também deve poder verificar eventualmente que o que é declarado por terceiros corresponde às finalidades para quais eles realmente usam os cookies. Isso é muito difícil pelo fato de que a editora muitas vezes não possui contato direto com todos os terceiros que instalam cookies através de seu site e, nem mesmo conhece a lógica do tratamento relacionado.
Além disso, não é incomum os casos em que há um terceiro no meio da relação da editora com estes terceiros fornecedores, tornando muito complexo para a editora controlar as atividades de todos os envolvidos.
Ainda, os cookies de terceiros podem então ser modificados ao longo do tempo, sendo impraticável exigir que os editores monitorem essas alterações subsequentes também.
Também deve ser considerado que os editores, que também incluem pessoas físicas e pequenas empresas, costumam ser a parte “mais fraca” desta relação. Por outro lado, os terceiros são geralmente grandes empresas caracterizadas com influência econômica considerável e que, normalmente atendem a várias editoras da mesma forma, por isso a editora pode frequentemente ter que trabalhar com vários terceiros.
Pela razões descritas acima, segundo a Autoridade de Proteção de Dados (APD), as editoras não podem ser obrigadas a incluir na página inicial do seu site, os avisos legais referentes aos cookies por instalados por terceiros.
Você pode ler mais sobre isso aqui.
A lei estabelece que o consentimento coletado deve ser dado livremente pelo usuário para ser considerado válido. O uso de métodos coercitivos para obter consentimento pode, portanto, invalidar o consentimento coletado com esses mecanismos. A lei realiza algumas concessões quando o funcionamento do site é afetado pelo consentimento ou falta do mesmo.
O documento do Grupo de Trabalho estabelece que:
Websites não devem fazer o acesso geral ao site sujeito à aceitação de todos os cookies, mas só podem limitar determinados conteúdos se o usuário não consentir com os cookies.“
Portanto, embora alguns conteúdos (por motivos legítimos) possam ser limitados com base nas preferências do usuário em relação aos cookies, a capacidade de acessar seu site não deve ser forçada ou condicionada ao consentimento deles.
A este respeito, tenha em mente que, em suas diretrizes e recomendações, o EDPB, entre outras APDs da UE, proibiu explicitamente o uso das chamadas “cookie walls” com base em uma abordagem “pegar ou largar” que exija que os usuários necessariamente forneçam seu consentimento para acessar o conteúdo de um serviço online. As paredes de cookies são consideradas inválidas, pois o usuário não teve uma opção genuína.
Atualização A APD Italiana (Garante Privacy) declarou em suas últimas Diretrizes sobre cookies e outras ferramentas de rastreamento que atualmente proíbe o uso de cookie walls, a menos que o site forneça ao usuário uma alternativa equivalente para acessar o conteúdo ou serviços sem fornecer consentimento para cookies ou outros mecanismos de rastreamento, que precisarão ser avaliada caso a caso.
Estamos acompanhando os desenvolvimentos sobre o assunto desde que a Garante publicou um comunicado de imprensa para dizer que está analisando esta solução conforme implementada por alguns editores italianos.
A iubenda, como sempre, acompanhará este caso em evolução e manterá você atualizado com quaisquer novas decisões.
A Lei dos Cookies prevê duas isenções ao requisito de consentimento, em específico:
Exemplo: você usa um cookie de balanceamento de carga para distribuir tráfego de rede em diferentes servidores. O único propósito do cookie é identificar um dos servidores (ou seja, um ponto final de comunicação), portanto, ele se enquadra na isenção de comunicação.
Exemplo: seu site de e-commerce usa um cookie de sessão que permite que os usuários “segurem” itens em seu carrinho enquanto estão usando o site ou durante a duração de uma sessão. Neste caso, os cookies técnicos, necessários ao processo de compra, são solicitados explicitamente pelo usuário quando este adiciona um artigo ao carrinho. Da mesma forma, os cookies usados para lembrar as preferências de linguagem de um usuário podem estar na isenção necessária.
É fundamental notar que mesmo quando essas exceções ao requisito de consentimento se aplicam, você ainda precisará informar o usuário sobre o uso de cookies e tecnologias similares através de uma política de cookies. O banner não é necessário nessas instâncias específicas se a política de cookies for facilmente acessível e visível em todas as páginas do site.
Os cookies e outros rastreadores são usados para fins de análise susceptivelmente para atender a uma isenção?
Não há uma resposta direta. De fato, as autoridades de proteção de dados da UE têm interpretações diferentes sobre isso. Por exemplo, de acordo com as diretrizes da ICO do Reino Unido, os cookies de análise não se enquadram na isenção estritamente necessária e, consequentemente, sempre requerem consentimento. As APDs belgas e irlandesas têm opiniões semelhantes. Por outro lado, nas opiniões das APDs francesas, alemãs, holandesas e italianas, os cookies de análise de APDs podem se enquadrar na isenção estritamente necessária na medida em que circunstâncias específicas são atendidas (por exemplo, são cookies de primeira parte, o opt-out é anonimizado, o cross-tracking não é habilitado). Para concluir, você deve verificar cuidadosamente quais regras se aplicam aos cookies para fins de estatística em seu país de referência.
Após exibir o banner de cookies na primeira visita do usuário, você não precisa repetir a visualização do banner a cada visita desse usuário. No entanto, considere oferecer aos usuários a opção de ressurgir o banner, caso eles precisem alterar as suas preferências.
Há muitos motivos pelos quais você pode precisar fornecer aos usuários a opção de retirar o consentimento. Algumas Autoridades de Proteção de Dados exigem que os usuários tenham acesso fácil para atualizar suas preferências. Por exemplo, a APD italiano (Garante) sugere fornecer um ícone sempre visível durante a navegação que resume as escolhas do usuário. Para obter mais informações sobre isso e ver o que outros APDs exigem, confira o nosso Resumo do consentimento de cookies do GDPR. Vale ressaltar que esse também é um ponto de foco para ONGs de privacidade, como Noyb, que exige que os usuários tenham uma forma de retirar o consentimento.
Certifique-se de dar aos seus usuários a possibilidade de reabrir o seu banner de cookies ativando o widget de privacidade no seu Privacy Controls and Cookie Solution.
Você também deve considerar que há uma série de razões e circunstâncias que podem desencadear a necessidade de pedir aos visitantes para “reconsentir” e, consequentemente, ressurgir o banner.
Um exemplo prático é quando você está usando um novo cookie de terceiro não isento. Nesse caso, você precisará obter um novo consentimento, dado que o consentimento previamente coletado do usuário se aplicaria apenas àqueles terceiros que você declarou no momento original da coleta.
Para ajudá-lo com essa exigência, oferecemos a possibilidade de atualizar facilmente a coleta de consentimento em cada atualização da política de cookies.
Note que algumas APDs da UE especificaram o que pode ser considerado um período razoável de tempo para a validade do consentimento dos cookies (por exemplo, de acordo com a APD francesa, 6 meses é considerado um período razoável de tempo). Nosso Privacy Controls and Cookie Solution permite que você defina facilmente esse período de tempo. Para saber mais sobre os cronogramas de validade do consentimento do cookie, consulte nossa Cookie Consent Cheatsheet.
Embora a Lei dos Cookies não exija explicitamente que os registros de consentimento sejam mantidos (apenas a prova) na maioria dos casos, os cookies tratam dados pessoais, e é por isso que os requisitos de registro decorrentes do GDPR podem ser aplicados. Muitas Autoridades de Proteção de Dados em toda a UE se alinharam, portanto, suas regras de cookies e rastreadores aos requisitos do GDPR.
Caso precise desse recurso, nosso Privacy Controls and Cookie Solution se integra perfeitamente à nossa Consent Database para simplificar o processo de manutenção de registros válidos. Você pode nos enviar um e-mail para obter as instruções.
Nossa solução de gerenciamento de cookies simplifica o cumprimento das disposições da Lei dos Cookies da UE. Como uma Plataforma de Gerenciamento de Consentimento (CMP) certificada pelo IAB, o Privacy Controls and Cookie Solution ajuda você a cumprir os padrões exigidos pela indústria e a compartilhar preferências de consentimento com elas de maneira compatível.
Ela permite que você:
Nosso Privacy Controls and Cookie Solution informa o usuário sobre:
Nossa solução permite a coleta do consentimento explícito do usuário por meio de:
O Privacy Controls and Cookie Solution também oferece uma série de opções para: