Nos últimos dois anos, temos visto diversas autoridades de proteção de dados da União Europeia emitirem opiniões ou decisões relacionadas ao uso de cookies no tratamento de dados pessoais, normalmente com desfecho desfavorável ao agente de tratamento.
Essa história ganhou mais um capítulo na semana passada, com a decisão proferida pelo Conseil d’Etat da França (órgão que funciona como espécie de última instância administrativa), confirmando decisão de 2020 do CNIL, multando a Amazon França em 35 milhões de euros.
O CNIL vem adotando postura rígida em relação ao uso de cookies e só neste ano autuou o Meta e o Google em 60 milhões e 150 milhões respectivamente, por conta de práticas inadequadas em relação à possibilidade de recusa dos cookies pelos usuários de seus sites.
Mas o CNIL não está sozinho, só no primeiro semestre deste ano foram publicadas diversas decisões relacionadas a este tema também pelas autoridades espanhola, belga e alemã. Abaixo alguns destaques extraídos destas decisões:
- Recusar os cookies deve ser tão fácil quanto aceitá-los. É inadequada a prática de apresentar um cookie banner com apenas um botão de ‘aceite’ e outro de ‘customização’, sendo que o usuário precisa clicar neste último para então ser apresentado a uma tela que possibilite a recusa dos cookies (pior ainda quando esta tela exige que cada cookie seja desabitado individualmente). Fonte: Decisão do CNIL contra o Google (link) e Meta (link), e a decisão da autoridade alemã de Hamburgo (link)
- O cookie banner e o consentimento devem ser exigidos antes dos cookies serem armazenados no navegador do usuário. Ainda, o consentimento presumido não é válido, portanto, considerar que o usuário aceitou os cookies por ter continuado a navegar no site mesmo após ter sido informado sobre o armazenamento de cookies contraria os requisitos de consentimento previstos no GDPR. Fonte: decisão da autoridade belga (link).
- Cookies utilizados para finalidades de estatística de acesso ao site não são estritamente necessários e, portanto, exigem consentimento prévio do usuário. Fonte: decisão da autoridade belga (link)
Estas autuações vieram após iniciativas ostensivas de fiscalização focadas no uso de cookies (como da autoridade dinamarquesa, anunciada em outubro do ano passado) e que provavelmente serão cada vez mais comuns, tendo em vista a facilidade e baixo custo de execução, afinal, basta acessar os sites dos agentes fiscalizados.
E no Brasil?
Importante destacar que na União Europeia, a Diretiva 2002/58/EC (conhecida como ePrivacy) é quem traz regras específicas para o uso de cookies (ou regras sobre o “armazenamento ou acesso a informações armazenadas no equipamento terminal do assinante ou usuário”) e de marketing realizados no contexto de redes públicas de telecomunicações, com alguns ‘complementos’ previstos no GDPR (como no considerando 30 e nas diversas disposições relacionadas ao consentimento).
Ainda, as regras relacionadas a cookies podem ser mais ou menos rigorosas em diferentes países da União Europeia, uma vez que pela própria natureza das diretivas, os estados-membro da UE precisam ‘transpor’ suas regras por meio de leis locais, que podem trazer elementos mais rígidos ou detalhados sobre estas práticas.
Já no Brasil, partindo-se do entendimento que as disposições sobre privacidade e proteção de dados do Marco Civil da Internet foram derrogadas pela LGPD, não existe disposição específica que se aplique aos cookies ou tecnologias de rastreamento online, portanto, é precoce afirmar que o consentimento também seria indispensável para seu uso, sejam eles necessários ao funcionamento dos sites ou não.
Portanto, aplicam-se aos dados pessoais armazenados e acessados por meio de cookies as regras gerais sobre o tratamento de dados pessoais o que significa, em tese, ser possível se valer do legítimo interesse como hipótese autorizadora do tratamento, desde que seus requisitos sejam preenchidos.
Fonte:
Nos últimos dois anos, temos visto diversas autoridades de proteção de dados da União Europeia emitirem opiniões ou decisões relacionadas ao uso de cookies no tratamento de dados pessoais, normalmente com desfecho desfavorável ao agente de tratamento.
Essa história ganhou mais um capítulo na semana passada, com a decisão proferida pelo Conseil d’Etat da França (órgão que funciona como espécie de última instância administrativa), confirmando decisão de 2020 do CNIL, multando a Amazon França em 35 milhões de euros.
O CNIL vem adotando postura rígida em relação ao uso de cookies e só neste ano autuou o Meta e o Google em 60 milhões e 150 milhões respectivamente, por conta de práticas inadequadas em relação à possibilidade de recusa dos cookies pelos usuários de seus sites.
Mas o CNIL não está sozinho, só no primeiro semestre deste ano foram publicadas diversas decisões relacionadas a este tema também pelas autoridades espanhola, belga e alemã. Abaixo alguns destaques extraídos destas decisões:
- Recusar os cookies deve ser tão fácil quanto aceitá-los. É inadequada a prática de apresentar um cookie banner com apenas um botão de ‘aceite’ e outro de ‘customização’, sendo que o usuário precisa clicar neste último para então ser apresentado a uma tela que possibilite a recusa dos cookies (pior ainda quando esta tela exige que cada cookie seja desabitado individualmente). Fonte: Decisão do CNIL contra o Google (link) e Meta (link), e a decisão da autoridade alemã de Hamburgo (link)
- O cookie banner e o consentimento devem ser exigidos antes dos cookies serem armazenados no navegador do usuário. Ainda, o consentimento presumido não é válido, portanto, considerar que o usuário aceitou os cookies por ter continuado a navegar no site mesmo após ter sido informado sobre o armazenamento de cookies contraria os requisitos de consentimento previstos no GDPR. Fonte: decisão da autoridade belga (link).
- Cookies utilizados para finalidades de estatística de acesso ao site não são estritamente necessários e, portanto, exigem consentimento prévio do usuário. Fonte: decisão da autoridade belga (link)
Estas autuações vieram após iniciativas ostensivas de fiscalização focadas no uso de cookies (como da autoridade dinamarquesa, anunciada em outubro do ano passado) e que provavelmente serão cada vez mais comuns, tendo em vista a facilidade e baixo custo de execução, afinal, basta acessar os sites dos agentes fiscalizados.
E no Brasil?
Importante destacar que na União Europeia, a Diretiva 2002/58/EC (conhecida como ePrivacy) é quem traz regras específicas para o uso de cookies (ou regras sobre o “armazenamento ou acesso a informações armazenadas no equipamento terminal do assinante ou usuário”) e de marketing realizados no contexto de redes públicas de telecomunicações, com alguns ‘complementos’ previstos no GDPR (como no considerando 30 e nas diversas disposições relacionadas ao consentimento).
Ainda, as regras relacionadas a cookies podem ser mais ou menos rigorosas em diferentes países da União Europeia, uma vez que pela própria natureza das diretivas, os estados-membro da UE precisam ‘transpor’ suas regras por meio de leis locais, que podem trazer elementos mais rígidos ou detalhados sobre estas práticas.
Já no Brasil, partindo-se do entendimento que as disposições sobre privacidade e proteção de dados do Marco Civil da Internet foram derrogadas pela LGPD, não existe disposição específica que se aplique aos cookies ou tecnologias de rastreamento online, portanto, é precoce afirmar que o consentimento também seria indispensável para seu uso, sejam eles necessários ao funcionamento dos sites ou não.
Portanto, aplicam-se aos dados pessoais armazenados e acessados por meio de cookies as regras gerais sobre o tratamento de dados pessoais o que significa, em tese, ser possível se valer do legítimo interesse como hipótese autorizadora do tratamento, desde que seus requisitos sejam preenchidos.
Fonte: Henrique Fabretti Moraes. Leia matéria completa.