Em outubro de 2020, A Commission Nationale de l’Informatique et des Libertés (CNIL), órgão que regula a proteção de dados pessoais na França, publicou dois documentos, um de “Orientações” e outro de “Recomendação“, estabelecendo regras e boas práticas para o uso de cookies na internet.
ORIENTAÇÕES
Nesse documento, a autoridade francesa inicia descrevendo o Art. 82 da Lei de Informática e Liberdades, o qual diz o seguinte, em versão traduzida:
Art. 82 – “Qualquer assinante ou usuário de um serviço de comunicações eletrônicas deve ser informado de forma clara e completa, a menos que tenha sido previamente informado, pelo controlador ou seu representante, a respeito de:
1° A finalidade de qualquer ação destinada a acessar, por transmissão eletrônica, informações já armazenadas em seu equipamento terminal de comunicações eletrônicas, ou inserir informações neste equipamento;
2° Os meios à sua disposição para se opor.
Estes acessos ou registros só podem ser efetuados com a condição de o assinante ou usuário ter manifestado, após ter recebido esta informação, o seu consentimento, que pode resultar dos parâmetros adequados do seu dispositivo de conexão ou de qualquer outro colocado sob o seu controle.
Estas disposições não são aplicáveis se o acesso às informações armazenadas no equipamento terminal do usuário ou o registro de informações no equipamento terminal do usuário:
1° tem como único objetivo permitir ou facilitar a comunicação por via eletrônica;
2° é estritamente necessário para a prestação de um serviço de comunicação on-line a pedido expresso do usuário.”
A CNIL lembra, portanto, a necessidade do consentimento por meio de ação positiva (opt-in), devendo o silêncio do usuário ser considerado recusa, e sendo claramente vedado o uso de caixas ou botões pré-marcados. Deixou claro ainda que a Lei Europeia de Proteção de Dados (GDPR) estabeleceu as condições para a obtenção do consentimento e a necessidade de demonstrar que ele foi coletado. Em razão disso, esse conhecimento deve ter sido obtido de forma livre, específica, esclarecida e inequívoca, por meio da qual o usuário tenha expressado sua vontade para esse fim. Para tanto, precisa ser garantida ao usuário a liberdade de escolha, sem a qual não há como validar tais condições.
Portanto, as empresas precisam ter cuidado se condicionarem a prestação de um serviço ou o acesso a um website à aceitação de operações de escrita ou leitura no terminal do usuário (prática designada por “cookie wall”), visto que tal prática pode infringir, em certos casos, a liberdade de consentimento.
O artigo 1º da Diretiva 2008/63/CE, de 20 de junho de 2008, define o equipamento terminal como “qualquer equipamento que esteja conectado direta ou indiretamente à interface de uma rede pública de telecomunicações para transmitir, processar ou receber informações; em ambos os casos, direto ou indireto, a conexão pode ser feita por fio, fibra ótica ou canal eletromagnético. A conexão será indireta se um dispositivo é interposto entre o equipamento terminal e a interface de rede pública”. Dessa forma, tal definição abrange muitos dispositivos comumente usados, como tablet, smartphone, computador fixo ou móvel, console de videogame, televisão conectada, veículo conectado, assistente de voz etc.
É importante deixar claro que a possibilidade de simples configuração de computadores, celulares, tablets e navegadores de internet não é suficiente para caracterizar o consentimento. Por outro lado, o consentimento a cookies não se aplica a operações cujo único objetivo seja permitir ou facilitar a comunicação por meios eletrônicos ou que sejam estritamente necessários para a prestação de um serviço de comunicação on-line, mediante pedido expresso do usuário. Para facilitar a compreensão do alcance dessas isenções, a CNIL listou os casos abaixo:
1. os cookies preservando a escolha expressa pelos usuários no repositório de cookies;
2. os cookies destinados à autenticação com um serviço, incluindo aqueles destinados a garantir a segurança do mecanismo de autenticação, por exemplo, limitando tentativas de acesso por uso de robôs;
3. os cookies destinados a manter na memória o conteúdo de um carrinho de compras em um site comercial ou a faturar o usuário pelos produtos e/ou serviços adquiridos;
4. os cookies de personalização da interface do usuário (por exemplo, para a escolha do idioma ou apresentação de um serviço), quando tal personalização constitui um elemento intrínseco e esperado do serviço;
5. os cookies que permitem o balanceamento de carga de equipamentos que contribuem para um serviço de comunicação;
6. os cookies que permitem que websites pagos limitem o acesso gratuito a uma amostra de conteúdo solicitada pelos usuários (quantidade predefinida e / ou por um período limitado); e
7. certos cookies de medição de audiência (estatísticos).
Quanto aos cookies de medição de audiência (estatísticos), a CNIL reforça que devem ter uma finalidade estritamente limitada à medição única da audiência no local ou no aplicativo exclusivamente pelo operador ou controlador. Esses rastreadores não devem, em particular, permitir o rastreamento geral de navegação da pessoa usando diferentes aplicativos ou navegando em diferentes websites. Da mesma forma, estes cookies devem ser utilizados apenas para a produção de dados estatísticos anônimos, não podendo os dados pessoais recolhidos serem combinados com outras operações de tratamento ou serem transmitidos a terceiros.
As informações do consentimento devem ser redigidas em termos simples e compreensíveis por todos (sem termos jurídicos de difícil compreensão) e devem permitir que os usuários sejam devidamente informados das diferentes finalidades dos cookies utilizados. Por outro lado, muita atenção também precisa ser dada ao consentimento coletado de forma simultânea para permitir vários tratamentos de dados pessoais com diferentes finalidades, sem a possibilidade de aceitar ou recusar finalidade a finalidade; caso em que a liberdade de escolha do usuário também pode ser violada.
Ademais, é exigido que o usuário seja informado a respeito das seguintes informações básicas:
1. a identidade do (s) controlador (es) de dados para operações de leitura ou gravação;
2. a finalidade das operações de leitura ou gravação de dados;
3. como aceitar ou rejeitar cookies;
4. as consequências de recusar ou aceitar cookies; e
5. a existência do direito de retirar facilmente o consentimento, a qualquer momento.
A CNIL igualmente deixa claro que um editor de um website ou gestor de um aplicativo que utiliza cookies deve ser considerado responsável pelo tratamento dos dados pessoais, inclusive quando subcontrata a terceiros a gestão desses cookies utilizados pelo mesmo. Embora muitos cookies possam não envolver sistematicamente o tratamento de dados pessoais, em um grande número de casos as operações de leitura ou gravação envolverão dados pessoais, cujo tratamento deve estar sob proteção. Logo, existe responsabilidade solidária entre o controlador e qualquer operador contratado para operacionalizar o site ou terceirizar a adoção dos cookies e nesse caso, deve haver a definição de forma transparente das respetivas obrigações, preferencialmente em contrato entre as partes, para fins de garantir o cumprimento dos requisitos da GDPR (lei europeia de proteção de dados), em particular no que diz respeito à cobrança e demonstração, quando aplicável, do consentimento válido.
RECOMENDAÇÃO
Este documento foi desenvolvido após consulta a representantes de profissionais relacionados com a publicidade digital, bem como representantes da sociedade civil.
Vamos aos pontos adicionais que esse documento traz, além daqueles já expostos nas “Orientações” acima.
A fim de facilitar a leitura, a CNIL recomenda que cada finalidade seja destacada em um título curto e destacado, acompanhado de uma breve descrição. Exemplos de como cumprir as regras aplicáveis são apresentados a seguir, de forma não exaustiva:
1. Se o (s) cookie(s) forem usados para exibir publicidade personalizada, essa finalidade pode ser descrita da seguinte forma: “Publicidade personalizada: [nome do website / aplicativo] [e empresas terceirizadas / nossos parceiros] usa(m) cookies para exibir publicidade personalizada com base na sua navegação e no seu perfil ”.
2. Se os cookies forem usados apenas para medir a audiência do anúncio exibido, sem selecioná-lo com base em dados pessoais, o controlador dos dados pode usar a seguinte redação: “Anúncio não personalizado: [nome do website / aplicativo ] [e empresas terceirizadas / nossos parceiros] usa(m) cookies com a finalidade de medir a audiência para publicidade [no site ou aplicativo], sem traçar seu perfil ”.
3. Se a publicidade for adaptada de acordo com a geolocalização precisa, esta finalidade pode ser descrita da seguinte forma: “Publicidade geolocalizada: [nome do site / aplicativo] [e empresas terceirizadas / nossos parceiros] usa(m) cookies para enviar publicidade a você com base na sua localização”.
4. Se os cookies forem usados para personalizar o conteúdo editorial ou os produtos e serviços fornecidos exibidos pelo operador, as seguintes palavras podem ser exibidas: “Personalização de conteúdo: Nosso website / aplicativo [e empresas terceirizadas] usa(m) cookies para personalizar o conteúdo editorial [de nosso site / aplicativo] com base em seu uso”, ou “Nosso website / aplicativo [e empresas terceirizadas] usa(m) cookies para personalizar a exibição de nossos produtos e serviços com base naqueles que você visualizou anteriormente [em nosso website / aplicativo] “).
5. Se cookies forem usados para compartilhar dados em redes sociais, sua finalidade pode ser descrita da seguinte forma: “Compartilhamento em redes sociais: Nosso website / aplicativo usa cookies para permitir que você compartilhe conteúdo em redes sociais ou plataformas presentes [em nosso website / aplicativo]”. Se o operador optou por colocar em prática um mecanismo que permite que esses cookies sejam acionados apenas quando os usuários realmente desejam compartilhar dados com as redes sociais em questão (e quando eles interagem com o recurso ou o botão permitindo essa interação), as informações e a coleta de consentimento podem aparecer quando os usuários decidem acionar o referido recurso de compartilhamento.
A CNIL recomenda ainda a inclusão, para além da lista de finalidades apresentada na primeira tela, uma descrição mais detalhada dessas finalidades, facilmente acessível a partir da interface de recolhimento do consentimento, através de um link ou um botão suspenso, por exemplo.
Os usuários devem ser capazes de verificar a identidade de todos os responsáveis pelo (s) tratamento (s), incluindo os controladores conjuntos, antes de dar seu consentimento ou recusar. Se tais dados forem muito extensos, podem ser fornecidos em um segundo nível de informação, conforme o parágrafo acima. A CNIL recomenda ainda a utilização de um nome descritivo e de termos claros, como “Lista das empresas que utilizam rastreadores em nosso site / aplicativo”, de forma permanente, podendo ser acessada a qualquer momento.
O consentimento a ser dado pelo usuário de forma positivo pode ser manifestado assinalando caixas, clicando em botões ou deslizando interruptores.
Com o propósito de garantir o caráter livre do consentimento dado, a CNIL recomenda que se solicite o consentimento dos usuários de forma independente e específica, para cada finalidade distinta. No entanto, a CNIL considera que tal determinação não exclui a possibilidade de oferecer aos usuários um consentimento global para um conjunto de finalidades, sob reserva da apresentação, antecipadamente, de todas as finalidades aos usuários.
A este respeito, a CNIL esclarece que é possível oferecer botões de aceitação e rejeição gerais na fase do primeiro nível de informação, como, por exemplo, através da apresentação de botões intitulados “aceitar tudo” e “recusar tudo”, “autorizo” e “não autorizo”, “aceito tudo” e “não aceito nada” e permitindo consentir ou recusar, numa só ação, para diversos fins.
Para permitir que as pessoas escolham finalidade a finalidade, é possível incluir um botão, no mesmo nível de informação dos links ou botões que permitam aceitar tudo e recusar tudo, permitindo o acesso à escolha por finalidade. Por exemplo, um botão “personalizar minhas escolhas” ou “decidir por finalidade” indicaria claramente essa possibilidade. Aos usuários também pode ser oferecida a possibilidade de aceitar ou rejeitar finalidade a finalidade, diretamente no primeiro nível de informação. Eles também podem ser solicitados a clicar em cada finalidade para que um menu suspenso ofereça os botões “aceitar” ou “recusar”.
Além disso, na medida em que o consentimento possa ser esquecido pelas pessoas que o expressaram num determinado momento, a CNIL recomenda que os responsáveis pelo tratamento renovem o seu pedido em intervalos adequados. Nesse caso, o prazo de validade do consentimento escolhido pelo controlador deve levar em consideração o contexto, a finalidade do consentimento inicial e as expectativas dos usuários.
Quanto à retirada do consentimento, a CNIL exemplifica a hipótese através de uma ligação acessível a qualquer pessoa do serviço em causa. Recomenda-se usar um nome descritivo e intuitivo, como “módulo de gerenciamento de cookies” ou “gerenciar meus cookies” ou “cookies” etc. O operador de um website também pode fornecer aos usuários um módulo de configuração acessível em todas as páginas do website por meio de um ícone “cookie”, localizado por exemplo no canto inferior esquerdo da tela, permitindo-lhes acessar o mecanismo de gerenciamento e retirando seu consentimento.
Os responsáveis pelo(s) tratamento(s) devem poder demonstrar, a qualquer momento, que os usuários deram o seu consentimento. Para fazer isso, mecanismos para demonstrar que o consentimento dos usuários foi obtido de forma válida devem ser implementados e a CNIL considera que tal obrigação não pode ser cumprida pela mera presença de uma cláusula contratual que comprometa uma das partes para obter consentimento válido em nome da outra parte, na medida em que tal cláusula não garante, em todas as circunstâncias, a existência de consentimento válido. Com efeito a CNIL determina as seguintes possibilidades quanto à prova de validade do consentimento:
1. As diferentes versões do código de computador usado pelo órgão que coleta o consentimento podem ser colocadas sob custódia com um terceiro, ou, mais simplesmente, um condensado (ou “hash“) deste código pode ser publicado em uma forma com carimbo de data / hora em plataforma pública, para poder comprovar posteriormente a sua autenticidade;
2. Uma captura de tela da renderização visual exibida em um terminal móvel ou fixo pode ser mantida, com um carimbo de hora, para cada versão do site ou aplicativo;
3. Auditorias regulares dos mecanismos de coleta de consentimento implementados pelos websites ou aplicativos nos quais os consentimentos são coletados podem ser implementadas por terceiros designados para esse fim; e
4. As informações relativas às ferramentas implementadas e suas sucessivas configurações (tais como soluções de obtenção de consentimentos, também conhecidas como CMP – “Plataforma de Gestão de Consentimentos”) podem ser guardadas, de forma datada, por terceiros editando essas soluções.
A CNIL também esclarece que não exige que os usuários sejam informados da existência de operações de leitura e gravação não sujeitas a consentimento prévio. Por exemplo, o uso por um site de um cookie de preferência de idioma que armazena apenas um valor que indica o idioma preferido do usuário é suscetível de estar coberto pela isenção e não constitui processamento de dados pessoais sujeitos à GDPR. Entretanto, a fim de garantir a total transparência destas operações, a CNIL recomenda que os usuários também sejam informados da existência desses cookies e de suas finalidades, incluindo, por exemplo, uma nota a respeito deles na política de privacidade. Quanto aos cookies que medem a audiência (estatísticos), a CNIL recomendou que:
1. os usuários sejam informados sobre a implementação desses cookies, por exemplo, por meio da política de privacidade do site ou do aplicativo móvel;
2. a vida dos cookies seja limitada a um período que permite uma comparação relevante de audiências ao longo do tempo, como é o caso de um período de treze meses, e que não seja prorrogado automaticamente a novas visitas;
3. as informações coletadas por meio desses cookies sejam mantidas por um período máximo de vinte e cinco meses; e
4. o prazo de validade e os períodos de armazenamento acima mencionados estejam sujeitos à revisão periódica.
Finalmente, a CNIL recomenda também que os nomes dos cookies utilizados sejam explícitos e, na medida do possível, uniformizados, independentemente do agente responsável pela transmissão.