Pubbl. Lun, 23 Nov 2015
A nova “Lei dos Cookies”: um olhar às novas regras da e-privacy relativas à segurança e à eficiência da rede
No dia 3 de Junho do corrente ano, entrou em vigor a nova “Lei dos Cookies“ (Cookie law). Trata-se de uma lei italiana sobre a utilização dos cookies nas páginas web, emitida pela Autoridade para a Protecção dos Dados na transposição da directiva 2009/136/CE. Quais são as novidades e as novas obrigações para os administradores das páginas web? E sobretudo, o que é que está em jogo?
Não se conhece o motivo da escolha do nome “cookies” – literalmente “biscoitos”. O que sabemos é que os “biscoitos da web” hoje são os protagonistas de uma adaptação da normativa interna da legislação comunitária, realizada pela Autoridade para a Protecção dos Dados com a Disposição 229/2014, chamada “Individuação das modalidades simples para a informativa e a aquisição do consenso pelo uso dos cookies”.
Por melhor compreender o significado desta intervenção legislativa, é oportuno, em fase preliminar, esclarecer o que são os cookies e quais são os problemas ligados ao uso deles.
Trata-se de pequenos ficheiros de texto que, ao acesso do user numa página web, são dirigidos ao browser (programa de navegação) mais especificamente à pagina visitada pelo usuário. Sucessivamente, estes ficheiros são transmitidos novamente às mesmas páginas, isto é, à próxima visita do mesmo usuário.
Segundo a função que os ficheiros de texto desempenham, existe uma distinção entre cookies técnicos e cookies de monitoramento. Esta classificação tem um valor importante para a aplicação da nova normativa.
De facto, os cookies técnicos têm o fim de segurar o normal funcionamento da página web, por exemplo evitar que o user (o usuário), entrando novamente na página já visitada, não deverá reinserir as próprias credenciais; por outro lado, os cookies de monitoramento não absolvem só uma função técnica, mas servem para traçar um perfil dos gostos e das preferências comerciais do usuário.
Mais especificamente, o envio de tais cookies, através da criação de uma espécie de impressão digital electrónica dos movimentos online do consumador, permite às empresas – advertisers - de orientar estrategicamente e habilmente, a própria actividade publicitária, propondo ao usuário mensagens publicitárias e banners inerentes aos sectores interessados.
É importante compreender como tal mecanismo de “espionagem virtual” favorece, por um lado, as empresas que permitem uma customização remuneratória da oferta comercial, por outro lado, põe consideráveis problemas para a tutelagem do carácter confidencial dos utilizadores.
É evidente como a monitoração das preferências dos consumadores passa necessariamente por um invasivo controlo da actividade online dos usuários, que é traçada e memorizada constantemente, numa perspectiva estratégica de behavioral advertising.
Esta categoria de cookies, explicitamente mencionada no art. 122 do Decreto Legislativo 196/2003 na Disposição da Autoridade para a Protecção dos Dados, afirma o seguinte: “o arquivamento das informações no aparelho terminal de um contraente ou de um usuário ou o acesso a informações já arquivadas é permitido só com a condição que o contraente ou o usuário tenha exprimido o próprio consenso depois ter sido informado (…)”.
É claro que o risco de vulnerabilidade da privacidade dos usuários é normalmente relacionado aos cookies de monitoramento e, portanto, é sobre eles que se deve focar, em primeiro lugar, a intervenção reformadora do legislação comunitária, e a seguir àquela nacional.
Em particular, entre os pontos-chave da Directiva 2009/136/CE- já parcialmente implementada em 2012 - há a transição de um sistema de opt-out para um de opt-in.
Anteriormente, o mecanismo baseava-se na manifestação de um desacordo ex post do utilizador em usar os cookies – o qual, sucessivamente, podia desactivá-los -, actualmente o sistema resulta invertido, pois o arquivamento dos cookies se passa no computador do usuário que é obrigado a fornecer o próprio consenso para os activar.
Tal consenso, actualmente especificado na Disposição 299/14 da Autoridade, será validado e fornecido pelo utente após de ter sido devidamente informado, em conformidade do art. 13 da Lei de Privacidade.
Por este motivo, com o fim de tornar o mais possível consciente o usuário face ao processamento de dados, a “Lei dos Cookies" (Cookie law) impõe aos gerentes das páginas web, uma rigorosa obrigação da informativa, estruturada em dois níveis.
A primeira tipologia de informativa, informativa curta, tem de ser exibida ao usuário logo que acede à página web – por meio de banners ou pop-up - e tem de informá-lo relativamente à presença dos cookies de monitoramento, especificando a natureza e as finalidades do uso deles.
O usuário deve ser informado também que na informativa alargada é oferecida a possibilidade em negar o consenso em usar qualquer tipo de cookies - além de incluir o link relacionado - e especificar que continuando a navegação no sítio web, esta implica o consenso para o uso dos cookies.
O segundo tipo, por outro lado, deve fornecer informações sobre a política de privacidade usada, sobre a natureza e a função dos cookies técnicos e sobre as modalidades para marcar ou desmarcar os mesmos cookies.
O editor em que se usam os cookies de perfil, devem informar o usuário - se for o caso - que o site permite o envio dos third party cookies, ou seja, cookies instalados no site do usuário, por sujeitos diferentes do administrador da página visitada e por meio deste último.
Relativamente a isso, é importante informar como um dos perfis com maior criticidade, delineado pela Autoridade na Disposição 229/14, refere à definição do regime de distribuição das obrigações da informativa e da aquisição do consenso entre o editor e o terceiro.
A solução finalmente delineada é, de facto, o resultado da difícil reconciliação entre duas necessidades: por um lado, a de distinguir entre a responsabilidade do editor e a do terceiro; por outro lado, a de segurar a continuidade da navegação, a qualidade e a inteligibilidade da informativa.
Segundo a Disposição, o gerente da página web, sendo um intermediário técnico entre os usuários e os terceiros, é obrigado a adquirir os links destes últimos para as páginas web e as normas pelo consenso precautório pelo uso dos cookies, já na negociação do contrato, para fornecer a informativa e adquirir o consenso dos users em nome do terceiro.
Nesta maneira, evita-se a desaceleração e o peso da navegação e, sobretudo, facilita-se o usuário na recepção e compreensão da informativa.
A respeito da aquisição do consenso, é importante especificar que o mesmo, é necessário exclusivamente para a instalação de cookies de monitoramento, e não por aqueles técnicos, os quais – sendo pouco invasivos pela privacidade - são importantes só para fornecer a informativa do art. 13 do Código.
Está também estipulado que o desempenho do consenso do user tem de ser registado e delineado pelo editor, usando também um cookie técnico ad hoc.
Última obrigação do administrador da página é aquela de fazer uma notificação do uso de cookies – caso se trata de cookies de monitoramento - à Autoridade para a Protecção de Dados, assim como disposto do art. 37 do Código, o qual circunscreve a obrigação da notificação aos “dados tratados com a ajuda de instrumentos electrónicos para delinear o perfil ou a personalidade do interessado, ou para analisar hábitos ou escolhas de consumo, ou seja para monitorar o uso dos serviços de comunicação electrónica.”
Uma normativa estrita, detalhada e, por isso, vista com suspeito por muitas empresas, as quais tentam chamar novamente a atenção na inevitável recaída económica negativa da reforma.
Em particular, é importante ver como a introdução de tais estritas obrigações da informativa precautória e a aquisição do consenso, dificultam a dos perfis do cliente e a criação de campanhas publicitárias direccionadas e possam ter um efeito muito depressivo nas empresas.
Sem dúvida, não pode ser negada a contracção dos rendimentos, intimamente relacionados ao uso dos dados privados dos usuários, da nova “Cookie Law” (embora concebida com o equilíbrio dos interesses em causa).
No entanto, é igualmente claro que o interesse principal e, portanto, mais digno de tutela, aqui representado pela protecção da privacidade dos usuários e, sobretudo, o aumento do nível de consciência do mesmo durante a navegação.
Como resulta da formulação da carta da Disposição 229/14, o objectivo da lei não é inibir o uso dos cookies, mas segurar o emprego consciente dos dados dos usuários a fim de publicidade comportamental, e que os clientes não sejam passivamente “saqueados” dos seus dados pessoais, pelo contrário, permitindo o uso deles.
Além disso, o princípio da precaução do consenso para o tratamento dos dados, é a pedra angular que sustenta toda a disciplina do Código. E ainda mantém o seu carácter vinculativo tanto no mundo real como naquele virtual.