Algum software e alguns serviços e widgets não recolhem dados pessoais. Devem estes serviços, mesmo assim, ser incluídos na sua política de privacidade? E a política de cookies? Neste artigo, respondemos a estas perguntas e vemos como o RGPD e a Diretiva Privacidade e Comunicações Eletrónicas se relacionam com serviços que não tratam dados pessoais.
Alguns serviços populares de vários tipos (como serviços de análise de dados estatísticos ou de mapeamento de calor) afirmam que os seus serviços não recolhem dados pessoais. Isso significa que, sempre que os utilizadores naveguem num website ou utilizem uma aplicação na qual tal serviço esteja integrado, os seus dados pessoais não são recolhidos nem tratados pelo mesmo.
Estas afirmações acontecem geralmente em dois casos distintos:
O hashing é um procedimento através do qual determinados dados (como um endereço de correio eletrónico ou de IP) são processados de forma automática através de um algoritmo numa sequência única de valores (números e letras). Estas funções de hash criptográficas não podem ser revertidas: depois de o resultado do hashing ser gerado, não existe praticamente forma de inverter a função para se regenerar a informação original. Se pretender saber mais pormenores técnicos sobre este assunto, pode ler a Opinião 05/2014 sobre técnicas de anonimização [Opinion 05/2014 on Anonymisation Techniques] do Grupo de Trabalho do Artigo 29.º para a Proteção de Dados.
Vejamos abaixo como são estes casos tratados pelo RGPD e pela Diretiva Privacidade e Comunicações Eletrónicas.
Não é necessário mencionar tais serviços na sua política de privacidade. Os artigos 13.º e 14.º do RGPD (que estabelecem as informações que os responsáveis pelo tratamento devem facultar aos titulares dos dados na sua política de privacidade) aplicam-se apenas quando os dados pessoais são recolhidos. Assim, os serviços que não recolhem dados pessoais não devem ser mencionados.
Adicionalmente, de acordo com o princípio geral de transparência (previsto nos Artigos 5.º e 12.º do RGPD), os serviços que não recolhem dados pessoais não devem ser mencionados – uma vez que tal poderia levar os utilizadores a pensar, erradamente, que tais serviços recolhem e tratam dados pessoais.
Considerando o exposto, decidimos não adicionar tais serviços ao gerador. Para clarificar, estes serviços podem ainda ser adicionados como serviços personalizados se o pretender, mas não os oferecemos como integração padrão (pré-inseridos).
Determinámos atualmente que os seguintes serviços se inserem nesta política:
A fundamentação anterior não se aplica da mesma forma às políticas de cookies. Neste caso, a legislação da UE requer que os fornecedores de websites ou aplicações divulguem quaisquer cookies ou tecnologias de rastreamento similares independentemente de recolherem e tratarem dados pessoais. Esta abordagem foi confirmada mais recentemente pelo Tribunal de Justiça da União Europeia na sua decisão Planet49.
Assim, as tecnologias que devem ser mencionadas na política de cookies não são apenas cookies, mas igualmente tecnologias similares* que permitam o acesso ou armazenamento de informação no dispositivo do utilizador, incluindo – nomeadamente – píxeis de rastreamento, fontes instaladas, etc.
Como tal, ao utilizar a iubenda para gerar uma política de cookies, poderá incluir tais serviços, independentemente de tratarem dados pessoais.
*Não tem a certeza do que são “tecnologias similares” a cookies? Leia aqui o que a Autoridade de Proteção de Dados do Reino Unido tem a dizer sobre tais tecnologias.
Como cumprir a CCPA Pode ser difícil chegar à conformidade se não souber por onde começar.
Aqui poderá encontrar 5 coisas fáceis que precisa de fazer para cumprir o RGPD.