Analisamos o impacto do Guia de Cookies, publicado pela AEPD, para esclarecer a sua política de uso e autorizações

A Agência Espanhola de Proteção de Dados (AEPD) publicou o tão aguardado novo Guia de Cookies para esclarecer e trazer mais luz para este controverso assunto. E, numa primeira análise, parece que ninguém ficou satisfeito.

Cookies são pequenos arquivos de texto que os websites podem usar para tornar mais eficaz a experiência do utilizador. O lançamento deste guia acontece a poucos meses da publicação do Regulamento E-Privacy, cujo objetivo é aumentar a segurança dos serviços digitais e a confiança que os cidadãos depositam neles. Veremos se a Agência Espanhola de Proteção de Dados retifica ou lança uma nova atualização do seu novo guia, após ser publicado este novo texto normativo que será aplicado na UE.

Nesse sentido, a controvérsia resulta do consentimento e instalação de cookies, que surgiu em outubro de 2019 com a publicação de resoluções que surpreenderam bastante o setor da privacidade e proteção de dados.

Falamos das resoluções do Tribunal de Justiça da União Europeia (TJUE) quanto a uma questão prejudicial e outra da Agência Espanhola de Proteção de Dados, que dissipam todas as dúvidas sobre a invalidez da fórmula “se continuar a navegar consideramos que aceita a sua utilização” e exigiam o consentimento como base de legitimação para o uso de cookies. Como veremos mais à frente, esta questão não é assim tão clara no novo guia de cookies da AEPD, como se previa após a leitura e análise do que foi citado.

Relativamente ao novo guia de cookies da AEPD, com caráter indicativo, se fizéssemos uma análise crossover com a anterior versão publicada em abril de 2013, o mais importante a destacar seria:

Informação

A comunicação deve ser concisa, transparente e inteligível; deve ser usada uma linguagem clara e simples, evitando o uso de frases que induzam em erro; e a informação deve ser de fácil acesso. Por isso, a AEPD volta a apostar no modelo de informação por camadas.
O guia sobre o uso de cookies refere que a primeira camada de informação deve identificar sempre o editor responsável pelo website, determinar para que fins são usados os cookies, bem como fornecer dados sobre se estes são próprios ou de terceiros, entre outros assuntos.

Assim, e tal como notou a AEPD no seu procedimento PS/00300/2019, deve ser fornecido um painel de opções onde se possa ativar um mecanismo ou botão para recusar todos os cookies, outro para aceitar todos os cookies ou fazê-lo de forma a poder gerir preferências. Sobre isto considera-se que a informação apresentada sobre as ferramentas fornecidas por vários browsers para configurar os cookies seria complementar à anterior, mas insuficiente para o fim pretendido, que é o de permitir configurar as preferências de forma gradual ou seletiva. Este é um ponto importante a ter em conta aquando da atualização de cláusulas informativas de cookies dos websites.

Consentimento

Sem dúvida que o novo guia de cookies ganhou protagonismo com este ponto, onde são descritas diferentes modalidades para outorgar consentimento em função do tipo de cookies, a finalidade dos mesmos e se são próprios ou de terceiros.
A AEPD estabelece no seu guia que, em virtude do artigo 4º do RGPD, deve ser dado um consentimento válido para cada finalidade específica através de uma ação afirmativa claramente feita pelo utilizador com plena consciência das consequências dessa ação.

E foi neste campo que surgiu a controvérsia ao afirmar à AEPD que a fórmula “continuar a navegar” pode ser considerada uma opção para obter o consentimento de forma válida.
Para que a ação de continuar a navegar possa ser considerada um consentimento válido, o aviso deverá ser colocado num sítio claramente visível, para que pela sua forma, cor, tamanho ou localização haja certeza que o aviso não passa despercebido ao utilizador. Mesmo assim, será necessário, para que o consentimento se considere concedido, que o utilizador efetue uma ação que possa ser entendida como uma clara ação afirmativa.

A AEPD estabelece no seu próprio guia que poderá ser considerada uma ação afirmativa navegar para uma secção diferente do website (que não seja a segunda camada informativa sobre cookies nem a política de privacidade), deslizar a barra de deslocamento, fechar o aviso da primeira camada ou clicar em algum conteúdo do serviço, sem que o simples facto de continuar a visualizar o ecrã, mover o rato ou clicar numa tecla do teclado possa ser considerada uma aceitação.

Quanto aos websites em que o utilizador tenha menos de 14 anos, será exigido aos responsáveis desses sites que, atendendo ao princípio de responsabilidade proativa, façam um esforço adicional para verificar se o consentimento do utilizador é dado pelos seus pais ou tutores legais.

Por fim, e ainda sobre o consentimento, outro aspeto a destacar neste guia, que tem uma importante versão prática sobre a atualização e adequação das políticas de cookies, é o uso de CMPs (Consent Management Platform). Os CMP permitem obter rapidamente o consentimento dos utilizadores/ visitantes do site que tenham autorizado o responsável do site a usá-los. Além disso, esta plataforma trata de transmitir este consentimento a todos os colaboradores do responsável que inserem cookies na sua página web, o que é bastante útil.

Depois desta pequena análise, prevemos inúmeras dúvidas relativas à atualização das políticas de cookies nos websites, adequadas às últimas indicações dadas pela AEPD no dito guia, e sob o prisma da minha humilde opinião, e recorrendo à analogia da pastelaria, este guia de cookies deveria ficar mais alguns minutos no forno. A publicação do guia pode ter sido precipitada, motivada pelos guias de cookies publicados pelas autoridades homologas de controlo em matéria de proteção de dados no Reino Unido, na Alemanha e França.
Seguindo o espírito de homogeneização normativa do RGPD e do Regulamento E-Privacy, é menos singular que, nesta questão tão controversa como são os cookies, sobre os quais cada país faz as suas recomendações a esse respeito, possam tornar-se contraditórias em certos casos e não se chegue a nenhum acordo comum sobre os mesmo.

Estamos pendentes da publicação do Regulamento E-Privacy, esperado para o primeiro trimestre de 2020, e continuaremos atentos a qualquer novidade sobre o que possa afetar a correta adequação das políticas de cookies para os manter informados e ajudar os nossos clientes quanto à adequação dos seus websites e cumprir, assim, a legislação em vigor em matéria de privacidade e proteção de dados.