You are currently viewing Sites não podem obrigar utilizadores a aceitar cookies

Sites não podem obrigar utilizadores a aceitar cookies

O Comité Europeu para a Proteção de Dados (CEPD) acaba de atualizar as suas diretrizes sobre a utilização de cookies em websites, clarificando o seu entendimento relativamente a práticas que continuam a ser amplamente empregues em sites para obter o consentimento dos utilizadores: os cookie walls e o consentimento presumido a partir do scroll down no site.

Cookies e perfis

Apesar de serem úteis ao correto funcionamento dos sites e a uma boa experiência na internet, tornando a navegação mais cómoda e funcional, os cookies podem constituir uma ameaça à privacidade individual dos utilizadores.

É o que acontece em particular com os cookies persistentes, que se mantêm ativos durante longos períodos, durante os quais permitem que empresas de publicidade reunam informações detalhadas sobre os utilizadores dos sites, incluindo os seus interesses, comportamentos, hábitos de consumo e estilo de vida.

Os perfis individuais são particularmente valiosos para as redes de publicidade e respetivos anunciantes, que utilizam esse conhecimento para segmentar os utilizadores e lhes apresentar publicidade a produtos e serviços que correspondem aos interesses e comportamentos identificados.

Reconhecendo o potencial dos cookies no âmbito do tratamento de dados pessoais, o Regulamento Geral de Proteção de Dados veio exigir que a sua instalação seja objeto de consentimento sempre que estes ficheiros tenham como finalidade a recolha de informações que permitam identificar o utilizador. 

Consentimento pouco livre…

É aqui que entram em campo os cookie walls. Para obrigar o utilizador a dar o seu consentimento, muitos sites passaram a bloquear o acesso aos conteúdos, por exemplo usando pop-ups que ocupam todo o ecrã, enquanto o utilizador não confirma que aceita a política de cookies, dando permissão para a instalação dos diversos tipos de cookies.

Este mecanismo não permite que os utilizadores façam uma verdadeira escolha, uma vez que o acesso à informação ou serviço depende da aceitação em bloco de todos os cookies que o site pretende instalar.

Logo, esclarece o CEPD, a aceitação da política de cookies pelo utilizador nestas circunstâncias não constitui um consentimento válido, uma vez que este não é dado livremente, tal como o RGPD exige.

Guidelines 5/2020 do CEPD - parágrafo 41 (cookies)
Parágrafo 41 das Guidelines 5/2020 do CEPD, de 4 de maio de 2020

e nada explícito

Outra prática comum é considerar que a permanência do visitante no site equivale a um consentimento. Muitos sites limitam-se a informar o utilizador sobre a utilização de cookies, indicando que “ao continuar a navegar no site, está a concordar com a utilização de cookies no seu navegador”. 

Sobre esta prática, o CEPD esclarece que a mera interação do utilizador com o site, por exemplo quando percorre uma página, não satisfaz os requisitos de uma ação clara e afirmativa de aceitação dos cookies.

Guidelines 5/2020 do CEPD - parágrafo 86 (cookies)
Parágrafo 86 das Guidelines 5/2020 do CEPD, de 4 de maio de 2020

O RGPD determina que o consentimento requer uma declaração do titular dos dados ou um ato afirmativo claro, o que significa que deve ser sempre dado de forma ativa.

Além disso, mesmo que o scroll down fosse considerada uma manifestação de vontade válida, este mecanismo não proporcionaria ao utilizador uma maneira de retirar o consentimento tão fácil como a que foi usada para o conceder, algo que o RGPD igualmente exige, no art. 7º nº 3.

Contraordenação muito grave

Esta interpretação do CEPD tem sido seguida por várias autoridades de proteção de dados nacionais em decisões recentes.

Em 2019 a Agência Espanhola de Proteção de Dados, fundamentou a aplicação da coima máxima prevista na lei espanhola para este tipo de infração à companhia de aviação Vueling, na falta de consentimento explícito, como explicámos neste artigo.

Em Portugal, o tratamento de dados pessoais sem um consentimento ou outra condição de legitimidade válidos constitui uma contraordenação muito grave, podendo levar à aplicação de uma coima que poderá atingir os 20 milhões de euros ou 4% do volume de negócio mundial do infrator.

O Comité Europeu para a Proteção de Dados

Composto por representantes das autoridades nacionais para a proteção de dados e a Autoridade Europeia para a Proteção de Dados, o Comité Europeu para a Proteção de Dados é um organismo europeu independente que tem como missão contribuir para a aplicação coerente das regras de proteção de dados na União Europeia e promover a cooperação entre as autoridades de proteção de dados da UE.

As orientações emitidas pelo CEPD ajudam as autoridades nacionais dos Estados Membros da União Europeia a interpretar e aplicar as normas de proteção de dados de maneira uniforme.

Pode consultar aqui o documento do Comité Europeu para a Proteção de Dados.

Guidelines 05/2020 de 4 de maio

Este é um texto meramente informativo. As informações nele contidas são gerais e abstratas e não dispensam a assistência profissional qualificada e dirigida ao caso concreto.

O escritório de Mafalda Correia Advogados tem competência e experiência prática no domínio do Direito da Proteção de Dados e está preparado para ajudar a sua organização a cumprir estas obrigações. Caso tenha alguma questão contacte-nos por email ([email protected]).

Foto de Vitaly Vlasov / Pexels