fbpx Skip to main content
Gonçalo Malho Rodrigues

Gonçalo Malho Rodrigues

Managing Partner

A aplicação do Regulamento Geral de Proteção de Dados (RGPD) em 25 de maio de 2018, veio sem dúvida reforçar a proteção de dados pessoais de cidadãos da União Europeia, num formato muito mais evoluído e implacável, face à sua versão original (Diretiva 95/46/CE).

Não vamos esconder que o primeiro contacto com este regulamento, por parte dos empresários, administradores e diretores de empresas, terá sido visto como um Adamastor pela sua intimidante escala, complexidade e, nada insignificante coima, em caso de não conformidade.

A então falta de informação e formação sobre este tema, conduziu em alguns casos em que eu próprio assisti, à implementação de medidas de zelo no seu extremo, provocando até constrangimentos caricatos na relação entre a empresa e os seus colaboradores. Felizmente, a nuvem tem vindo a dissipar-se, a informação a tornar-se mais clara e as empresas a adotar os procedimentos que são efetivamente adequados e exigidos pelo RGPD.

Não tenho dúvidas que o RGPD conduzirá implicitamente a uma mudança de mentalidade sobre a forma como se olha para os dados pessoais que, na minha opinião, é claramente positiva, já que reduz a pó, a possibilidade de utilização abusiva dos nossos dados, à qual reagíamos indignados, embora resignados.

Um tema com que me tenho frequentemente deparado (e a razão pela qual escrevo este artigo), é a indefinição sobre o que fazer agora com os Cookies: coabitam ou foram suprimidos pelo RGPD?

Se não tiver tempo para continuar a ler, adianto já que a resposta é: coabitam e ambos são obrigatórios. Mas se tem tempo e interesse em saber mais sobre o significado de cada coisa, como é que se relacionam e o que é que deve fazer no seu caso, passo a explicar:

Cookies e GDPR: o que é realmente exigido?

RGPD e CookiesÉ mais ou menos comum misturar-se Cookies com a política de privacidade ou leis de proteção de dados, conduzindo à ideia (errada) de que o uso de Cookies é regido pelo Regulamento Geral de Proteção de Dados (RGPD), quando na verdade não o é: o uso de Cookies e a obtenção de consentimento não são governados pelo GDPR, mas antes, pela Directiva ePrivacy.

 

O que são os Cookies e para que servem?

Cookies são pequenos ficheiros de informação que são armazenados no computador do utilizador, através do navegador de internet (browser), que procuram promover uma experiência de utilização melhorada e mais rápida do website, ao armazenar por exemplo uma sessão de login, produtos que adicionamos ao carrinho de compras, entre outras funcionalidades que podem melhorar a utilização de um website. Os Cookies não armazenam dados pessoais. A obrigatoriedade de informar o utilizador sobre o recurso a Cookies por parte dos proprietários de websites, teve início no ano de 2009, com a chegada da Diretiva da União Europeia 2009/136/EC.

Com a chegada do RGPD, a diretiva sobre Cookies deixa de ser necessária?

Não, não é verdade. A Diretiva ePrivacy 2002/58 / EC (ou a Lei original de Cookies) foi criada para colocar em prática diretrizes e expectativas para a privacidade eletrónica, incluindo o recurso a email marketing e Cookies. Podemos considerar a Diretiva de Privacidade Eletrónica como algo que “trabalha ao lado” do GDPR e não suprimida por este.

Qual a diferença entre “Diretiva” e “Regulamento”?

As Diretivas definem metas e diretrizes acordadas entre estados membros, sendo estes livres de as adotar e adaptar na sua legislação nacional. Já os Regulamentos, são juridicamente vinculativos em todos os estados membros a partir do momento em que são aplicados, tendo de ser cumpridos de acordo com as regras estabelecidas em toda a União.

O que é exatamente exigido pela Lei de Cookies?

A lei de cookies exige que, mediante a informação dada ao utilizador sobre os cookiesarmazenados, se obtenha o consentimento informado do utilizador, antes de armazenar cookies no dispositivo do mesmo e / ou rastreá-los. Antes do consentimento, nenhum cookie – exceto Cookies isentos – poderão ser instalados.

O que deve ser feito para obter esse consentimento?

Dependendo da autoridade local, a obtenção do consentimento pode ser realizada através de navegação contínua, clicando, rolando a página ou outro método que requeira que o usuário continue ativamente. Na prática, é necessário recorrer a um banner ou pop-up com a explicação sucinta e clara sobre o propósito da instalação de cookies que o website utiliza. Deverá incluir um link para a página com o detalhe sobre os cookies utilizados no website, incluindo atividade de terceiros, caso exista. Existindo Cookies de terceiros, o seu website não será responsável, mas tem de incluir um link para a política de privacidade desse(s) terceiro(s).

Isenções à obrigatoriedade de obtenção de consentimento

Cookies técnicos – essenciais para a prestação do serviço. Estes incluem cookies de preferência, cookies de sessão, balanceamento de carga, etc.

Cookies estatísticos – geridos diretamente pelo proprietário (não por terceiros), desde que os dados não sejam usados ​​para criação de perfis.

Cookies estatísticos de terceiros (anônimos) – por exemplo, Google Analytics * * Esta isenção pode não ser aplicável a todas as regiões e, portanto, está sujeita a regulamentações locais específicas.

Prova de consentimento vs Registo de consentimento

A Lei de Cookies não exige que se mantenha registo do consentimento, mas indica que deverá ser possível comprovar que o consentimento ocorreu (mesmo que esse consentimento tenha sido retirado). Tipicamente, a forma mais simples de se conseguir isto é através de uma solução de cookie que emprega um mecanismo de bloqueio prévio, já que nessas circunstâncias, os scripts de instalação de cookies só serão executados após o consentimento ser obtido. Desta forma, o simples fato de os scripts serem executados, constituem prova suficiente de consentimento.

Para ilustrar melhor este ponto, vamos imaginar que a capacidade de executar cookies é um automóvel. A solução de cookies é a chave da ignição e, o consentimento, é o ato de ligar a ignição do motor do automóvel; Para ligar o motor o utilizador teve de ligar a ignição com a chave ou carregando no botão “Start” (o ato de dar o consentimento), para ele conseguir conduzir o automóvel, significa que a ignição tem de ser ligada e, portanto, o facto de estar a conduzir o automóvel é prova suficiente do seu consentimento.