Cookies como dados pessoais
O problema de reforçar os requisitos para o uso de cookies foi discutido desde a entrada em vigor do Regulamento Europeu de Proteção de Dados (doravante GDPR), bem como a publicação dos projetos de emendas à Diretiva ePrivacy (mais conhecida como "Declaração de Privacidade e Comunicações Eletrônicas"). São esses documentos que definem oficialmente os cookies como dados pessoais e fornecem responsabilidade extraterritorial, bem como a imposição de multas colossais aos proprietários do site pelo uso ilegal de tais arquivos. Já realizamosuma visão geral das penalidades por violar os princípios básicos do RGPD, mas nenhum deles incluía violações relacionadas ao manuseio de cookies. Freqüentemente, na ausência de prática judicial e de punições reais, os representantes comerciais têm uma sensação de segurança, em outras palavras: "Até que o trovão exploda, o homem não se cruzará". Mas há muito tempo se ouvem trovoadas - uma das maiores penalidades por violações relacionadas a cookies é uma multa de € 30.000 emitida em outubro de 2019 pela autoridade espanhola de proteção de dados Vueling por não poder optar por não receber cookies de terceiros.
Devido às peculiaridades da profissão, ao visitar vários sites, você involuntariamente os analisa quanto à conformidade com atos legais regulamentares conhecidos no campo da proteção de dados pessoais. Como resultado de outra análise, ficou claro que, em busca da implementação dos requisitos do GDPR, muitas empresas estão preocupadas com a questão de "colocar as coisas em ordem" em seus recursos da web. No entanto, devido à falta de entendimento dos requisitos ou na ausência de um desejo de "estragar" a interface do usuário do site, parece que toda segunda organização implementa incorretamente a política de uso de cookies em seus recursos.
Regulamentos implementando a política de uso de arquivos de cookie
Do ponto de vista do GDPR e do ePrivacy, as regras para o uso de cookies não são diferentes das regras para o processamento de todos os outros dados pessoais e devem ser seguidas se o site usar cookies que permitam formar um perfil de usuário na rede. No entanto, isso não se aplica a:
- cookies estritamente necessários para o correto funcionamento do site;
- cookies estritamente necessários para fornecer um serviço online ao usuário, por exemplo, quando um usuário preenche um formulário online, usa um carrinho de compras ou se autentica em um site para fazer login em um serviço online
De volta às regras, sua essência é a seguinte:
- A instalação de um cookie deve ser realizada apenas com o consentimento prévio do usuário.
- , , , , /, .
- cookie, , , , .
- .
- – cookie- , , , .
Principais erros na implementação da política de cookies ou como não fazê-lo
Vejamos três exemplos de implementação incorreta da política de cookies mais comuns entre os sites de controladores e processadores de dados pessoais.
Exemplo 1. Faixa de aviso de que, continuando a usar o site, você concorda com o uso de cookies.
Essa prática é difundida entre os recursos da Web da Rússia e da Europa. Como exemplo, considere o site de uma loja de cosméticos italiana. De acordo com a política de cookies apresentada no site, cookies técnicos, cookies funcionais e cookies de campanhas de marketing de terceiros são definidos para o usuário.
No entanto, a tradução literal do aviso no banner na parte inferior da página diz: “Este site usa cookies técnicos, analíticos e de perfil de terceiros. Se você escolher "Continuar" ou acessar qualquer conteúdo em nosso site sem determinar sua escolha, você concorda com o uso de cookies. Para saber mais e recusar o consentimento para a instalação de cookies, clique aqui. "
Nesse caso, todas as regras mencionadas anteriormente são violadas:
- Os cookies são instalados imediatamente quando o usuário abre o site.
- Continuar usando o site ou clicando no botão Continuar não é uma ação clara de confirmação, pois o usuário não tem escolha e não pode recusar a instalação de um cookie.
- , cookie, cookie.
- cookie , cookie .
- , , , , .
Exemplo 2. Banner com o formulário de consentimento correto, que NÃO funciona em todas as páginas do site.
Como exemplo, considere a versão francesa do huppe.com.
O banner de consentimento exibido no site está em conformidade com as regras que estamos considerando, e o manual de proteção de dados mencionado no texto descreve em detalhes suficientes a política da empresa em relação aos cookies. Na versão russa, o banner de consentimento fica assim: no
entanto, se você se aprofundar e tentar abrir não a página principal do site, mas, por exemplo , isso é mágico.
A mágica está no fato de que o banner, que parece atender a todos os requisitos, na verdade não funciona. A instalação de cookies que não sejam estritamente necessários não será bloqueada até que as ações permissivas sejam tomadas, o que significa que o site definitivamente não será mais um "excelente aluno". Nesse caso, das 5 regras, podemos dizer que apenas as regras 2 e
3. Exemplo 3. Política insuficientemente transparente para o uso de cookies
Também acontece que uma empresa está preocupada com um mecanismo de trabalho para obter consentimento, mas perdeu um detalhe importante - informações fornecidas com transparência sobre a finalidade de cookies específicos e termos de armazenamento. Essa situação se desenrola no site castrol.com.
O site possui um banner de consentimento com a opção de gerenciar cookies individuais.
E, importante, o mecanismo de bloqueio funciona:
Antes de obter o consentimento
Depois de receber o consentimento
No entanto, as informações sobre o uso de cookies contêm pouca especificidade - nem uma lista de pessoas cujos cookies de terceiros são instalados pelo site, nem os períodos de armazenamento de pelo menos grupos individuais de cookies no site. Nesses casos, um dos principais princípios do RGPD - Transparência do processamento é violado e, portanto, a regra 3. Não é atendida. Um exemplo de uma política de cookies completamente transparente é a política publicada no site da Comissão Europeia.
Além de serem indicativos de erros comuns na implementação dos requisitos europeus de proteção de dados e privacidade, os exemplos revisados demonstram que o trabalho dos reguladores europeus força muitos controladores e processadores a se preocuparem com questões de conformidade. E se há dois anos, na grande maioria dos sites, o tópico sobre o uso de cookies não foi abordado, agora a situação está mudando drasticamente, o que não pode deixar de agradar aos usuários interessados em obter controle sobre seus dados - afinal, de acordo com a Comissão Européia de Proteção de Dados, é exatamente isso que foi desenvolvido pelo GDPR.
A prática mostra que, nas realidades atuais, os proprietários de sites controladores ou processadores têm duas opções:
- ;
- - cookie-, , , .
,