O European Data Protection Board (Conselho Europeu de Proteção de Dados) publicou há alguns dias atrás novas diretrizes dizendo que “paredes de cookies” em Websites violam as leis de proteção de dados da União Européia, conforme a GDPR. O consentimento deve ser “dado livremente”, disse o conselho, e uma opção de tudo ou nada não é realmente uma escolha.
As diretrizes atualizadas também impedem os sites de tratar o mero ato de rolar ou deslizar o mouser como consentimento. Gestos mais complexos valem (como desenhar uma figura), mas apenas desde que fique claro que realizá-los equivale a um acordo de consentimento.
Teoricamente, esse entendimento elimina algumas das ambiguidades que podem confundir os reguladores nos países da União Européia. Também é um aviso para sites que insistem em coletar dados do usuário: oferecem consentimento real para os cidadãos europeus ou estão preparados para uma ação legal. A aplicação pode ser necessária para garantir que alguns sites respeitem as regras, mas não será surpreendente se aqueles que abusam das paredes de cookies sejam mais educados quanto a isso daqui para frente.
Confira trecho do documento Guidelines 05/2020 on consent under Regulation 2016/679 que dispõe sobre esse assunto, complementando o entendimento da GDPR:
O European Data Protection Board (Conselho Europeu de Proteção de Dados) considera que o consentimento não pode ser considerado livremente concedido se um controlador argumentar que existe uma escolha entre seu serviço que inclui o consentimento do uso de dados pessoais para fins adicionais, por um lado, e um serviço equivalente oferecido por outro controlador por outro. Nesse caso, a liberdade de escolha ficaria dependente do que outros participantes do mercado fazem e se um titular de dados individuais consideraria os serviços do outro controlador genuinamente equivalentes. Além disso, implicaria uma obrigação para os controladores de monitorar a evolução do mercado para garantir a validade contínua do consentimento para suas atividades de processamento de dados, pois um concorrente pode alterar seu serviço posteriormente. Portanto, usar esse argumento significa que um consentimento que depende de uma opção alternativa oferecida por terceiros não cumpre a GDPR (General Data Protection Regulation), o que significa que um provedor de serviços não pode impedir que os titulares de dados acessem um serviço com base em que eles não consentem.
Para que o consentimento seja concedido livremente, o acesso a serviços e funcionalidades não deve ser condicionado ao consentimento de um usuário em armazenar informações ou obter acesso a informações já armazenadas no equipamento terminal de um usuário (chamado “cookie walls” ou paredes de cookies).
Exemplo 6a: Um provedor de sites cria um script que impede que o conteúdo fique visível, exceto por uma solicitação de aceitação de cookies e as informações sobre quais cookies estão sendo configurados e para quais finalidades os dados serão processados. Não há possibilidade de acessar o conteúdo sem clicar no botão “Aceitar cookies”. Como o titular dos dados não é apresentado com uma escolha genuína, seu consentimento não é dado livremente.
Isso não constitui consentimento válido, pois a prestação do serviço depende do titular dos dados, clicando no botão “Aceitar cookies”. Não é apresentado com uma escolha genuína.
Texto original em inglês:
The European Data Protection Board considers that consent cannot be considered as freely given if a controller argues that a choice exists between its service that includes consenting to the use of personal data for additional purposes on the one hand, and an equivalent service offered by a different controller on the other hand. In such a case, the freedom of choice would be made dependent on what other market players do and whether an individual data subject would find the other controller’s services genuinely equivalent. It would furthermore imply an obligation for controllers to monitor market developments to ensure the continued validity of consent for their data processing activities, as a competitor may alter its service at a later stage. Hence, using this argument means a consent relying on an alternative option offered by a third party fails to comply with the GDPR, meaning that a service provider cannot prevent data subjects from accessing a service on the basis that they do not consent.
In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls)
Example 6a: A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given.
This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice.
Confira a íntegra do documento Guidelines 05/2020 on consent under Regulation 2016/679
Para acessar a versão 1.0 de 4/5/2020 do documento Guidelines 05/2020 on consent under Regulation 2016/679 clique aqui.
Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados
Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD), Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail [email protected] ou fale com um Advogado online agora.
BL Consultoria e Advocacia Digital
Escritório jurídico voltado para o mundo conectado que busca auxiliar empresas e startups a desenvolverem seus projetos (Pesquisa, Desenvolvimento e Inovação) de forma ética e eficiente com atuação especializada em Direito Digital e Análise Regulatória para novas tecnologias. Estamos localizado em dois endereços: em São Paulo-SP, na Av. Paulista, 575 – conjunto 1903 – Bela Vista, CEP 01311-911 e em Campinas-SP, na Rua Antônio Lapa, 280 – 6o andar, Cambuí. Para mais informações ou consultoria jurídica com nossos advogados, agende uma reunião pelo link ou ligue +55 11 3090 5979.