Há muito que os cookie banners aparecem em todos os sites a informar os utilizadores sobre a instalação de cookies e, de uma forma mais ou menos direta, a procurar obter o seu consentimento.
O que muitos não sabem é que esta não é uma mera formalidade. Trata-se de uma verdadeira obrigação no âmbito da proteção de dados que requer um ato de consentimento positivo e explícito por parte do utilizador do site.
Por efeito de imitação ou ignorância, são muitos os proprietários de sites – grandes e pequenos – que continuam a optar por um cumprimento meramente aparente das regras, ao instalarem sistemas que presumem o consentimento do utilizador, em vez de permitirem uma manifestação de vontade quando à instalação de cookies.
Um desses sites foi a agora sancionado pela Agência Espanhola de Proteção de Dados com uma multa de 30 mil euros, o valor máximo previsto para este tipo de infração na lei espanhola, na sequência de um processo desencadeado por uma queixa de um utilizador do site.
O cookie banner da Vueling
Como muitos dos sites que todos conhecemos, o site da Vueling exibe no rodapé um cookie banner, onde informa que utiliza cookies para memorizar as preferências do utilizador, elaborar estatísticas de utilização e oferecer-lhe publicidade baseada nos seus hábitos de navegação.
A informação é completada com uma presunção de consentimento para a instalação dos cookies, que todos conhecemos de cor: “Se continuar a navegar, consideraremos que aceita a respetiva utilização. Pode obter mais informações consultando a nossa Política de Cookies”. O banner disponibiliza um único botão, que permite “Aceitar e continuar a navegar”.
O que há de errado nesta prática?
Este cookie banner estabelece um mecanismo de consentimento implícito para o tratamento de dados e para a sua transferência para terceiros, sem que em nenhum momento seja apresentada ao utilizador uma opção para ele se opor à instalação dos cookies, nem a informação mínima indispensável a um consentimento informado.
Tal como o define o RGPD, o consentimento é “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”.
Neste caso, foram violados todos os pressupostos do consentimento que supostamente foi dado pelo utilizador:
- não foi livre, porque não foi proporcionada ao titular dos dados uma verdadeira escolha e controlo;
- não foi específico, porque não foi apresentado um mecanismo que permita o consentimento granular separado para cada uma das finalidades;
- não foi informado, porque foram fornecidas informações incompletas sobre as finalidades dos tratamentos dos dados e as entidades a quem estes são transmitidos;
- e não foi explícito porque não foi pedido um comportamento ou ato positivo inequívoco por parte do titular dos dados.
Conclusão
Essa multa deve constituir um aviso para as empresas que não ainda implementaram um sistema de gestão de cookies que cumpra as exigências legais. No caso da Vueling, o grau de intencionalidade, o tempo de duração da infração, o número de utilizadores afetados e os benefícios obtidos pela empresa infratora com o tratamento ilegal dos dados obtidos foram os fatores que levaram a Agência Espanhola de Proteção de Dados a aplicar a coima máxima prevista na lei espanhola para este tipo de infração.
Este é um texto meramente informativo. As informações nele contidas são gerais e abstratas e não dispensam a assistência profissional qualificada e dirigida ao caso concreto.
O escritório de Mafalda Correia Advogados tem competência e experiência prática no domínio do Direito da Proteção de Dados e está preparado para ajudar a sua organização a cumprir estas obrigações. Caso tenha alguma questão contacte-nos por email ([email protected]).
Foto de Pietro De Grandi / Unsplash