Gonçalo Malho Rodrigues
A aplicação do Regulamento Geral de Proteção de Dados (RGPD) em 25 de maio de 2018, veio sem dúvida reforçar a proteção de dados pessoais de cidadãos da União Europeia, num formato muito mais evoluído e implacável, face à sua versão original (Diretiva 95/46/CE).
Não vamos esconder que o primeiro contacto com este regulamento, por parte dos empresários, administradores e diretores de empresas, terá sido visto como um Adamastor pela sua intimidante escala, complexidade e, nada insignificante coima, em caso de não conformidade.
A então falta de informação e formação sobre este tema, conduziu em alguns casos em que eu próprio assisti, à implementação de medidas de zelo no seu extremo, provocando até constrangimentos caricatos na relação entre a empresa e os seus colaboradores. Felizmente, a nuvem tem vindo a dissipar-se, a informação a tornar-se mais clara e as empresas a adotar os procedimentos que são efetivamente adequados e exigidos pelo RGPD.
Não tenho dúvidas que o RGPD conduzirá implicitamente a uma mudança de mentalidade sobre a forma como se olha para os dados pessoais que, na minha opinião, é claramente positiva, já que reduz a pó, a possibilidade de utilização abusiva dos nossos dados, à qual reagíamos indignados, embora resignados.
Um tema com que me tenho frequentemente deparado (e a razão pela qual escrevo este artigo), é a indefinição sobre o que fazer agora com os Cookies: coabitam ou foram suprimidos pelo RGPD?
Se não tiver tempo para continuar a ler, adianto já que a resposta é: coabitam e ambos são obrigatórios. Mas se tem tempo e interesse em saber mais sobre o significado de cada coisa, como é que se relacionam e o que é que deve fazer no seu caso, passo a explicar:
Cookies e GDPR: o que é realmente exigido?
É mais ou menos comum misturar-se Cookies com a política de privacidade ou leis de proteção de dados, conduzindo à ideia (errada) de que o uso de Cookies é regido pelo Regulamento Geral de Proteção de Dados (RGPD), quando na verdade não o é: o uso de Cookies e a obtenção de consentimento não são governados pelo GDPR, mas antes, pela Directiva ePrivacy.
O que são os Cookies e para que servem?
Cookies são pequenos ficheiros de informação que são armazenados no computador do utilizador, através do navegador de internet (browser), que procuram promover uma experiência de utilização melhorada e mais rápida do website, ao armazenar por exemplo uma sessão de login, produtos que adicionamos ao carrinho de compras, entre outras funcionalidades que podem melhorar a utilização de um website. Os Cookies não armazenam dados pessoais. A obrigatoriedade de informar o utilizador sobre o recurso a Cookies por parte dos proprietários de websites, teve início no ano de 2009, com a chegada da Diretiva da União Europeia 2009/136/EC.
Com a chegada do RGPD, a diretiva sobre Cookies deixa de ser necessária?
Não, não é verdade. A Diretiva ePrivacy 2002/58 / EC (ou a Lei original de Cookies) foi criada para colocar em prática diretrizes e expectativas para a privacidade eletrónica, incluindo o recurso a email marketing e Cookies. Podemos considerar a Diretiva de Privacidade Eletrónica como algo que “trabalha ao lado” do GDPR e não suprimida por este.
Qual a diferença entre “Diretiva” e “Regulamento”?
As Diretivas definem metas e diretrizes acordadas entre estados membros, sendo estes livres de as adotar e adaptar na sua legislação nacional. Já os Regulamentos, são juridicamente vinculativos em todos os estados membros a partir do momento em que são aplicados, tendo de ser cumpridos de acordo com as regras estabelecidas em toda a União.
O que é exatamente exigido pela Lei de Cookies?
A lei de cookies exige que, mediante a informação dada ao utilizador sobre os cookiesarmazenados, se obtenha o consentimento informado do utilizador, antes de armazenar cookies no dispositivo do mesmo e / ou rastreá-los. Antes do consentimento, nenhum cookie – exceto Cookies isentos – poderão ser instalados.
O que deve ser feito para obter esse consentimento?
Dependendo da autoridade local, a obtenção do consentimento pode ser realizada através de navegação contínua, clicando, rolando a página ou outro método que requeira que o usuário continue ativamente. Na prática, é necessário recorrer a um banner ou pop-up com a explicação sucinta e clara sobre o propósito da instalação de cookies que o website utiliza. Deverá incluir um link para a página com o detalhe sobre os cookies utilizados no website, incluindo atividade de terceiros, caso exista. Existindo Cookies de terceiros, o seu website não será responsável, mas tem de incluir um link para a política de privacidade desse(s) terceiro(s).
Isenções à obrigatoriedade de obtenção de consentimento
Cookies técnicos – essenciais para a prestação do serviço. Estes incluem cookies de preferência, cookies de sessão, balanceamento de carga, etc.
Cookies estatísticos – geridos diretamente pelo proprietário (não por terceiros), desde que os dados não sejam usados para criação de perfis.
Cookies estatísticos de terceiros (anônimos) – por exemplo, Google Analytics * * Esta isenção pode não ser aplicável a todas as regiões e, portanto, está sujeita a regulamentações locais específicas.
Prova de consentimento vs Registo de consentimento
A Lei de Cookies não exige que se mantenha registo do consentimento, mas indica que deverá ser possível comprovar que o consentimento ocorreu (mesmo que esse consentimento tenha sido retirado). Tipicamente, a forma mais simples de se conseguir isto é através de uma solução de cookie que emprega um mecanismo de bloqueio prévio, já que nessas circunstâncias, os scripts de instalação de cookies só serão executados após o consentimento ser obtido. Desta forma, o simples fato de os scripts serem executados, constituem prova suficiente de consentimento.
Para ilustrar melhor este ponto, vamos imaginar que a capacidade de executar cookies é um automóvel. A solução de cookies é a chave da ignição e, o consentimento, é o ato de ligar a ignição do motor do automóvel; Para ligar o motor o utilizador teve de ligar a ignição com a chave ou carregando no botão “Start” (o ato de dar o consentimento), para ele conseguir conduzir o automóvel, significa que a ignição tem de ser ligada e, portanto, o facto de estar a conduzir o automóvel é prova suficiente do seu consentimento.