EU Cookies Law

Uma «nova» diretiva sobre a privacidade online está activamente a ser implementada na União Europeia desde a sua criação em novembro de 2009. Destina-se a dar aos usuários o controle sobre como os cookies são utilizados nos sites que eles visitam, para darem o seu consentimento para a sua utilização antes de serem copiados no seu dispositivo. Vamos ver neste «Artigo» o que esta diretiva diz exatamente, e como é implementada nas leis locais, com foco no Reino Unido, em França, na Espanha e em Portugal.

Diretiva europeia 2009/136/EC
O que diz?

Datada do 25 de novembro 2009, a diretiva 2009/136/EC (pdf) altera duas outras diretivas em relação aos direitos dos utilizadores na matéria das redes de comunicações eletrónicas e dos serviços (Diretiva 2002/22/EC) e do tratamento de dados pessoais e da proteção da privacidade no setor das comunicações eletrónicas (Diretiva 2002/58/EC).

Estamos interessados aqui com o artigo 66:

  • Terceiros podem desejar armazenar informações sobre o equipamento de um utilizador, ou ter acesso a informação já armazenada, para uma série de fins, que vão desde os legítimos (por exemplo, certos tipos de testemunhos de conexão, «cookies»), até os que envolvem a intromissão indevida na esfera privada (por exemplo, software espião ou vírus). É, pois, de suma importância que sejam prestadas informações claras e exaustivas aos utilizadores, sempre que sejam encetadas actividades que possam resultar nesse tipo de armazenamento ou de possibilidade de acesso. As formas de prestação de dar informações, proporcionar o direito de recusar ou pedir consentimento deverão ser tão simples quanto possível. As excepções à obrigação de prestar informações e de permitir o direito de recusar deverão limitar-se às situações em que o armazenamento técnico ou o acesso é estritamente necessário para o objectivo legítimo de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador. Sempre que tecnicamente possível e eficaz, e em conformidade com as disposições aplicáveis da Diretiva 95/46/CE, o consentimento do utilizador relativamente ao tratamento de dados pode ser manifestado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação.

O que é um cookie?

Um cookie (também chamado testemunho) é um pequeno pedaço de dados enviado de um site e armazenado no navegador do usuário enquanto ele está a navegar num site. Pode ser recuperado durante a sessão do usuário ou durante as visitas posteriores no mesmo site, mesmo num futuro distante.
Existem diferentes tipos de cookies: cookie de sessão (usado durante o tempo de uma sessão, ou de uma visita a um site), cookie persistente ou cookie de rastreamento (utilizado para armazenar dados entre as sessões), cookie seguro (usado sobre conexão https criptografada, daí criptografado em si), cookie HttpOnly (utilizados durante as transmissões http/s), cookies de terceiros (de outros domínios que o site visitado para rastrear o histórico de navegação do usuário), e cookie zumbi(praticamente impossível de eliminar, uma vez que utiliza mecanismos de armazenamento diferentes dos cookies regulares: http ETag, flash, png, Silverlight…).

O que é que a diretiva visa?

Qualquer usuário web, começando por si e por mim, deveriamos ser livres para compartilhar dados pessoais com qualquer empresa ou organização se desejar-mos, e apenas se desejar-mos. Por apenas navegar na internet, estamos rastreados por centenas de empresas diferentes que fazem perfis dos nossos hábitos. Esses perfis são os dados que eles utilizam para propor-nos anúncios específicos por meio da segmentação comportamental, ou para vender a entidades de Marketing.

Este é onde o retargeting entra em ação. Por exemplo, você visita o site de um vendedor de relógios, e dois dias mais tarde, noutro site sobre, digamos, carros, você tem um anúncio de relógios. Existem algumas boas probabilidades para que uma empresa de publicidade (Google AdSense ou outra) seguiu-o do primeiro site a este último para retarget com um produto ao qual fora previamente exposto.

Além disso, o perfil criado pelas suas footprints na web também é monitorado se você pertencer a uma rede social. Cada vez que você encontre algo, mas ainda não está conectado ou não é a sua rede, um botão de compartilhamento (seja Facebook Like, Twitter ou Google+) irá surgir, isto significa que, a rede social sabe onde você está e adiciona esta página ao seu histórico de navegação do seu lado.

O princípio para ser lembrado aqui é o seguinte: quando um produto parece ser gratuito, você é o produto.

No seu parecer 4/2010 sobre publicidade comportamental em linha (pdf), o grupo de trabalho do Artigo 29 para a proteção de dados declara que a publicidade comportamental (…) não pode pôr em causa os direitos dos utilizadores em matéria de privacidade e de proteção de dados. Em seguida, ele desenha o quadro jurídico e detalha a obrigação de obter o consentimento prévio informado.

Implementação da diretiva europeia nas leis locais

Em setembro de 2012, a maioria dos países europeus já implementaram a diretiva europeia nas suas leis locais, incluindo a Áustria, a Bélgica, a Bulgária, Chipre, a Dinamarca, a Eslováquia, a Espanha, a Estónia, a Finlândia, a França, a Hungria, a Irlanda, a Itália, a Letónia, a Lituânia, o Luxemburgo, os Países Baixos, o Reino Unido, a República Checa, a Roménia e a Suécia. A Polónia e Portugal estão ainda a implementar a diretiva, apesar de propostas de lei terem sido apresentadas (fontes: Two birds, Field Fisher Waterhouse).

Vamos ver a implementação em quatro países: Reino Unido, França, Espanha e Portugal.


Reino Unido: a ePrivacy Directive

Como os Regulamentos 2003 já implementaram a Diretiva Europeia (a 2002/58/EC) interessada com a proteção da privacidade no setor das comunicações eletrónicas, a implementação da nova directiva 2009/136/EC tomou a forma de uma mudança no artigo 5(3) da E-Privacy Directiva. O Reino Unido introduziu as emandas em 25 de maio de 2011 através dos Regulamentos da Privacidade e da Comunicações eletrónicas 2011, uma emenda conhecida como a «cookie directive», que modificou o texto em:

  • Os Estados-Membros devem assegurar que o armazenamento de informações, ou a possibilidade de acesso a informações já armazenadas, no equipamento terminal de um subscritor ou utilizador só é permitido na condição de que o subscritor ou utilizador interessado tenha dado o seu consentimento, tendo sido fornecida informação clara e abrangente, de acordo com a Diretiva 95/46/EC, nomeadamente sobre os objetivos do processamento. Isso não deve impedir qualquer armazenamento ou acesso técnico com o único propósito de levar a cabo a transmissão de uma comunicação sobre uma rede de comunicações eletrónicas, ou que seja estritamente necessário para que o fornecedor de um serviço da sociedade da informação explicitamente solicitado pelo subscritor ou utilizador possa fornecer o serviço.

Como o podemos ver, a sua abordagem foi copiar diretamente a formulação da disposição e referir-se a elementos ao texto do artigo 66 que acreditam que as configurações do navegador podem dar aos consumidores uma maneira de indicar o seu consentimento aos cookies.

Se for tecnicamente possível e eficaz (…) o consentimento dos usuários ao tratamento pode ser expressado utilizando a configuração adequada do navegador ou de qualquer outra aplicação.
O Regulamento 6 dos Regulamentos da Privacidade e Comunicações Eletrónicas 2003 (PECR) declara que:

Uma pessoa não deve armazenar ou ter acesso a informações armazenadas, no equipamento terminal de um subscritor ou utilizador a menos que os [seguintes] requisitos forem atendidos:

  • O subscritor ou utilizador deste equipamento terminal é fornecido com informações claras e completas sobre os fins do armazenamento, ou do acesso, a desta informação; e
  • tenha dado o seu consentimento.

Porém, há uma exceção à exigência para fornecer informações sobre cookies e obter o consentimento onde a utilização do cookie é:

  • com o único propósito de levar a cabo a transmissão de uma comunicação sobre uma rede de comunicações eletrónicas; ou
  • se a armazenagem ou o acesso ser estritamente necessário para a prestação de um serviço da sociedade da informação solicitado pelo subscritor ou utilizador.

O ICO (Information Commissioner's Office, ou Gabinete do Comissário de Informação) é uma organização semi-governamental inglesa responsável pela aplicação das medidas sobre a proteção de dados e a liberdade de informação. Oferece um Guia de orientação sobre as regras de uso de cookies e tecnologias semelhantes para o ajudar na implementação das regras para estar em conformidade com a lei. No entanto se pretender consulte o "Data Protection Act 2018..."

Na realidade, o ICO tem o poder ( Data Protection Act: Information Commissioner and Enforcement.. ) de ordenar as organizações, empresas privadas ou públicas ou qualquer cidadão a pagar multas que podem ser de apenas £500 (569.43 euros) até £17,000,000 (19,361,179.81 euros) por graves violações da Lei de Proteção de Dados. Daí, desde o 26 de maio de 2012, os sites de qualquer organização, empresas privadas ou públicas ou individuais com base para dentro do Reino Unido (mesmo se o site está hospedado no exterior) devem solicitar o consentimento para armazenar cookies no computador, ou no dispositivo, de um usuário, sendo que o desrespeito pode resultar numa multa.

Na prática, porém, o ICO «está a considerar queixas sobre cookies em linha com a sua abordagem normal para o tratamento de reclamações conforme os Regulamentos. Isto envolverá, na maioria dos casos, entrar em contato com a organização responsável pela criação ou implementação dos cookies em primeira instância, e pedi-lhes para responder à reclamação e explicar quais são as medidas que tenham tomado para cumprir com essas regras. Caso essa organização não possua “Politica para Cookies”, “Politica de Privacidade” ou “Termos de Usabilidade”... disponiveis e acessiveis aos usuários. A ausência de escalreacimentos ou o não cumprimento com disposto implicará uma penalidade monetária.
A «penalidade monetária» exige que uma organização pague uma multa em dinheiro de um valor determinado pela ICO, até um máximo de £ 500.000.

Contanto que você tenha tomado uma «ação sensata e circonspecta para ir para a conformidade», parece não haver nada a temer. Segundo palavras do Commissioner Officer, Ms Elizabeth Denham: "as penalidades monetárias serão reservadas para as mais graves violações dos Regulamentos."


França: o Paquet Télécom

A implementação na legislação francesa desta diretiva europeia ocorreu em 24 de agosto de 2011 na ordenança n°2011-1012 relativa às comunicações eletrónicas (em francês). O artigo 37 especifica que:

Qualquer subscritor ou utilizador de um serviço de comunicações eletrónicas deve ser informado de forma clara e completa, a não ser que ele ou ela já tenha tomado conhecimento, pela pessoa responsável ou o seu representante pelo tratamento:

  • do propósito de qualquer ação tendente a ter acesso, por meio de transmissão eletrónica, à informação já armazenada no seu equipamento terminal de comunicações eletrónicas, ou para registar informações nesse equipamento
  • dos meios à sua disposição para se opor

Estes acessos ou inscrições só podem ter lugar se o subscritor ou utilizador individual expressou, depois de ter recebido esta informação, o seu consentimento que pode resultar de parâmetros adequados do dispositivo de conexão ou qualquer outro dispositivo sob o seu controle.
Estas disposições não são aplicáveis se o acesso à informação armazenada ou o registo da informação forem efetuadas no equipamento terminal do utilizador:

  • ou tem o único propósito de permitir ou facilitar a comunicação por meios eletrónicos
  • ou é estritamente necessário para a prestação de um serviço de comunicação online por solicitação expressa do usuário.

Portanto, o usuário deve ser informado sobre se um cookie irá ser armazenado antes que ocorra, com o seu consentimento exigido. O termo cookie é usado de uma forma ampla e inclui qualquer técnica armazenando dados no lado do utilizador.

A CNIL (para Commission Nationale de l'Informatique et des Libertés, o Comissão Nacional da Informática e das Liberdades), a autoridade administrativa independente francesa cuja missão é garantir que a lei de privacidade de dados é aplicada à coleção, ao armazenamento, e à utilização de dados pessoais, isenta de consentimento prévio os cookies usados para medir audiência, sob determinadas condições (informação, direito de acesso e de oposição, propósito limitado, geolocalização por IP na escala máxima da cidade, duração de conservação).

As penalidades incorridas em caso de incumprimento com esta lei pode ser de até 300 000 euros, mas «em caso de denúncia ou de controle, a Comissão vai apreciar os esforços empreendida pela pessoa encarregada do processamento para atingir a conformidade» (fonte CNIL) pdf,em francês.


Espanha: a ley de las cookies

A transposição desta diretiva na Espanha foi realizada por meio do Decreto-Lei Real 13/2012 de 30 de março de 2012 (pdf, em espanhol) que diz:

  • Por último, vários artigos da lei dos serviços da sociedade de informação e do comércio eletrónico 34/2002 de 11 de julho são modificados para adaptar o seu sistema ao novo texto dado pela Diretiva 2009/136/CE à Diretiva 2002/58/CE de 12 de julho de 2002, do Parlamento Europeu e do Conselho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, para destacar a nova redação dada ao artigo 22.2, para exigir o consentimento do usuário sobre os arquivos ou programas de computador (como os chamados «cookies») que armazenam informações no equipamento do usuário e permitem o seu acesso; dispositivos susceptíveis de facilitar a navegação web mas cujo uso pode revelar aspectos da vida privada dos utilizadores, por isso é importante que os usuários estejam bem informados e tenham mecanismos que lhes permitam proteger a sua privacidade.

Assim, o artigo 22.2 (página 26947) da lei 34/2002 de Serviços da Sociedade da Informação e Comércio Eletrónico (ou LSSI-CE) do 11 de julho tornou-se:

  • Os prestadores de serviços poderão usar dispositivos de armazenamento e recuperação de dados nos equipamentos terminais dos destinatários, desde que eles tenham dado o seu consentimento após terem recebido informações claras e completas da sua utilização, em particular, nos objetivos do processamento de dados, de acordo com a lei orgânica 15/1999 do 13 de dezembro sobre a proteção de dados pessoais.
  • Sempre que for tecnicamente possível e eficaz, o consentimento do destinatário para aceitar o processamento de dados poderá ser facilitado utilizando as configurações apropriadas do navegador ou doutras aplicações, desde que tenha de fazer a sua configuração ao instalar ou atualizar este por uma ação explícita para esta finalidade.
  • Isto não impedirá o armazenamento ou o acesso possível de caráter técnico com o único propósito de levar a cabo a transmissão de uma comunicação por uma rede de comunicações eletrónicas ou, na medida em que for estritamente necessário, para fornecer um serviço da sociedade da informação explicitamente solicitado pelo destinatário.

Com a nova legislação, cada site deve informar os seus utilizadores do uso que será feito com as informações coletadas por cookies, dando-lhes a oportunidade de os aceitar ou não. Ao consentimento implícito (opt out) da lei anterior substitui-se o consentimento informado (opt in).
Porém, a modificação da lei não resultou na adição de uma penalidade: a falha da obtenção do consentimento para o uso de cookies não pode ser sancionada (pelo menos por agora, fonte; Agencia Estatal - Legislación consolidada) em espanhol.


Portugal: a Lei dos cookies

Publicado no Diário da República (pdf), em 29 de agosto de 2012, o Artigo 5° diz que:

  • O armazenamento de informações e a possibilidade de acesso à informação armazenada no equipamento terminal de um assinante ou utilizador apenas são permitidos se estes tiverem dado o seu consentimento prévio, com base em informações claras e completas nos termos da Lei de Proteção de Dados Pessoais, nomeadamente quanto aos objetivos do processamento.

Assim, em Portugal também, a directiva dos cookies insiste no consentimento prévio do utilizador.

Conclusão

Como já vimos, a maioria dos países europeus já transpuseram a diretiva 2009/136/EC, e os restantes irão faze-lo. Contudo, algumas perguntas permanecem a respeito das soluções técnicas para a implementação, ou das penalidades no caso de incumprimento com a lei.

Também temos de responder à pergunta dos sites hospedados fora da União Europeia. Um país ou mesmo a totalidade da União poderia proibir Google AdSense ou Facebook por não cumprir com a legislação local quando a maioria dos sites governamentais ainda estão longe disso?



Cookies Solutions

Soluções à diretiva dos cookies

Acima referido, vimos como países diferentes transpuseram a diretiva europeia 2009/136/EC, também conhecida sob o nome da Diretiva dos Cookies. Para cumprir com as leis locais de cada país, deve fornecer aos seus visitantes uma informação clara sobre a forma de como os cookies são usados no seu site (inclusive os cookies de terceiros), e um método fácil de consentir (ou não) no seu equipamento terminal (computador, telefone, tablet…).
Vamos ver agora quais são as soluções que você pode implementar para cumprir com essas leis.

Auditoria de cookies

Para poder cumprir com a presente diretiva e a suas transposições nas legislações locais, a primeira etapa consiste em fazer uma auditoria de cookies do seu site.

Eis uma pequena lista de serviços gratuitos de auditoria de cookies:

  • Listando todos os rastreadores colocados em cada página enquanto você navega, o plugin Ghostery ajuda-o a ver a web invisível feita de etiquetas, bugs web e píxeis espiões incluídos em páginas web para ter uma idéia do seu comportamento online. Apresenta-se sob a forma de um plugin para os navegadores os mais populares (Firefox, Safari, Google Chrome, Opera, Internet Explorer e iOS).
  • Optanon Cookie Audit é um plugin para Google Chrome que captura todos os cookies usados pelo site visitado (incluindo os terceiros) durante a navegação.
  • Cookie Cert propõe uma auditoria de cookie gratuita, oferecendo até 100 páginas auditadas por mês.
  • A ferramenta de auditoria da Attacat, uma extensão Google Chrome, gera automáticamente informações de cookie personalizadas pela sua política de privacidade.

Código javascript e plugins jQuery

  • O plugin cookiesDirective.js fornece um mecanismo para obter o consentimento explícito dos cookies dos seus usuários, e também uma instalação a fim de evitar a criação de cookies desnecessários (como aqueles criados pelos scripts javascript terceiros como o Google Analytics) antes que o usuário tenha dado o seu consentimento.
  • cPrompt é uma implementação javascript minimalista que não requer o framework jQuery.
  • Cookie control é uma implementação muito agradável e não intrusiva.


Social Share Privacy

As redes sociais espiam os visitantes dos sites desde que estes sites tiverem um botão (como um Facebook Like, um botão Twitter ou Google+...). Além disso, se estiver sempre conectado a estas redes sociais, estes dados de monitorização podem ser ligados à sua verdadeira identidade.

Uma solução interessante foi desenvolvida para os editores de sites, mostrando primeiro um botão fictício para a ação preferencial da rede social, botão que deve ser clicado para ser ativado. Desta maneira, os visitantes são invisíveis para estas redes, a não ser que queiram interagir ativamente com elas. Esta solução apresenta-se como um plugin jQuery intitulado Social Share Privacy.

Plugins e módulos para sistemas de gerenciamento de conteúdo

Drupal propõe um módulo chamado Cookie control que pode gerir o módulo Google Analytics, e aplicar restrições ao consentimento dos cookies para alguns países, ou para o mundo inteiro.

WordPress oferece muitos plugins: Cookie Cert, EU Cookie Directive, Cookie Control, Cookie Law Info.

Outras formas de armazenar dados

Esta diretiva inclui qualquer tipo de cookies, independentemente da tecnologia usada, o que faz que os cookies zumbis não possam ser utilizados caso você queira cumprir com a lei. Contudo, pode ser interessante, como para fins de teste, entender como criar cookies persistentes nos dispositivos dos visitantes.

Ever cookie é uma API javascript que usa cookies persistentes por 13 mecanismos diferentes: cookies HTTP padrões, Local Shared Objects (supercookies Flash que podem armazenar até 100kb de dados), Silverlight Isolated Storage, imagens PNG (os dados são armazenados como valores RGB em PNG auto-geradas e colocadas em cache usando a etiqueta canvas do HTML5 para ler o valor dos pixels), histórico web, ETags HTTP, cache web, cache por window.name, armazenamento por userData do Internet Explorer, armazenamento de sessão HTML5, armazenamento local HTML5, armazenamento global HTML5 e armazenamento HTML5 por base de dados utilizando SQLite.

Medição de audiência

A ferramenta mais utilizada para a medição de audiência e sua análise é Google Analytics, e esta solução é baseada em cookies que os seus visitantes podem aceitar ou não. Enquanto alguns países como a França isentam do consentimento prévio dos cookies usados para este propósito, há outras soluções disponíveis para rastrear os seus visitantes respeitando a lei.
Uma delas é de usar Piwik, um software de análise da web de código aberto pelo qual o suporte dos cookies pode ser desativado, usando outras heurísticas para detetar a impressão do navegador.


Conclusão

Diferentes soluções para fornecer um meio para os seus visitantes aceitar ou não os cookies do seu site, que sejam originários do seu domínio ou de um terceiro. Com certeza, a primeira coisa a fazer é a realização de uma auditoria de cookies para ter uma idéia do número de cookies diferentes nos quais o seu site se baseia.

No entanto, uma pergunta permanece sem resposta sobre a afiliação. Como a maioria dos sistemas de afiliação dependem de cookies para rastrear os visitantes que você enviou para os sites comerciais, a aplicação desta diretiva sem levar em conta as suas implicações poderia levar a uma perda significativa do seu volume de negócios. A redação das mensagens que explicam o uso dos cookies no seu site e nos sites comerciais envolvidos para obter o consentimento dos seus visitantes é muito importante.

por, RJCS

 


Referências