Banner de cookie - mas adequado! 7 coisas que deves considerar

Mario Steinberg Última atualização 10.11.2020
6 min.
banner de cookie RGPD e-privacidade

O aparecimento de banners de biscoitos mudou em muitos sites recentemente. No passado, você só tinha uma pequena janela pop-up com um aviso sucinto de que alguns "cookies" não especificados estão definidos no site. Hoje em dia, muitas vezes você recebe uma lista dos cookies individuais e uma escolha através de caixas de seleção quais deles são aceitos ou não. Por que é este o caso - e o que está correto agora?

Este artigo lança luz sobre os banners de cookies e explica como criares corretamente o aviso de cookies no teu site. Antes de entrarmos em detalhes, porém, é necessário entender quando e porque precisas de um banner de cookie.

Os cookies são informações que são armazenadas no dispositivo final do visitante do site (PC, smartphone, etc.). Por um lado, eles são necessários para exibir um site corretamente ("cookies tecnicamente necessários"). Por outro lado, também são utilizados para outros fins, por exemplo, para analisar o comportamento do visitante do site, para fins publicitários ou para a integração de plugins sociais. (Observação: A seguir, o termo "cookies" também se refere a tecnologias comparáveis, como contagem de pixels, etc.) 

Vejamos primeiro a situação legal actual. A este respeito, desde a entrada em vigor do RGPD (Regulamento (UE) 2016/679) em 25.05.2018 aplica-se o seguinte:

Se os cookies não forem armazenados no dispositivo final do visitante do site para proteger os interesses legítimos do operador do site ou de um terceiro, é necessário o consentimento do visitante do site para este fim, de acordo com o art. 6 secção 1 do RGPD.

banner de cookie RGPD

Uma vez que os interesses legítimos do operador do site ou de terceiros devem ser ponderados em relação aos interesses ou direitos e liberdades básicas do visitante do site, muitas vezes não é claro, em casos individuais, quais os interesses que prevalecem sobre os outros.

Um interesse legítimo na operação de um site é sempre, naturalmente, que o site seja exibido corretamente. Os cookies necessários para isso são, assim, sempre do interesse legítimo do operador do site. 

Torna-se mais difícil quando os cookies são definidos para analisar o comportamento do visitante do site ou para fins publicitários. Neste caso, muitas vezes não se pode excluir que os interesses dos visitantes do site tenham maior prioridade por parte das autoridades de protecção de dados e/ou dos tribunais, em caso de litígio.

Para além dos cookies tecnicamente necessários, a definição de cookies deve, portanto, basear-se sempre no consentimento do visitante do site. Este consentimento é obtido classicamente através de uma caixa de seleção.

Não se deve esconder que esta situação legal pode mudar com a entrada em vigor do Regulamento E-Privacy. No entanto, como o Regulamento E-Privacy ainda está em discussão política, a aplicação de RGPD - e, portanto, a obtenção preventiva do consentimento por meio de uma caixa de seleção - permanecerá, por enquanto, em vigor no que diz respeito aos cookies & co. Você pode ler os detalhes no meu artigo O regulamento da e-privacidade: o que é que te espera?"artigo".

Criar corretamente um banner de cookies não é assim tão difícil. A única coisa importante é prestar atenção a algumas pequenas coisas que te vou apresentar a seguir.

#1 O momento certo

É importante que o banner de cookie apareça imediatamente quando o site for acessado, e que nenhum cookie seja definido inicialmente e nenhum dado possa ser transmitido a terceiros (por exemplo, através de um plugin social).

#2 O lugar certo

Além disso, deve-se garantir que nenhum outro conteúdo essencial seja coberto: por exemplo, o banner de cookie é frequentemente colocado na área do rodapé - e cobre o link para o aviso legal e/ou a declaração de proteção de dados.

#3 Voluntariado 

Também é importante que novas visitas ao site não estejam dependentes do consentimento do visitante do site para a configuração de todos os cookies. Mesmo que apenas seja dado consentimento para definir os cookies tecnicamente necessários, ainda assim, deve ser possível visitar o site. É claro que algumas funcionalidades do site podem eventulmente não funcionar corretamente se não for dado o consentimento.  

#4 Enumeração completa de todos os cookies

No banner de cookies, os cookies individuais ou - se houver muitos - pelo menos os contextos individuais (cookies tecnicamente necessários, cookies de análise, cookies para fins publicitários etc.) devem ser listados; se apenas forem mencionados contextos, eles devem ser explicados com mais detalhes clicando noutra outra janela e nos cookies individuais aí especificados.    

#5 Caixas de seleção com opt-in

Os consentimentos em websites são obtidos sensatamente por meio de caixas de seleção.

Isto significa que há uma caixa de seleção separada no banner de cookie para cada cookie - ou por contexto de cookie. 

É importante que apenas a caixa de seleção para os cookies tecnicamente necessários já possa ser marcada - para todos os outros as caixas de seleção devem estar vazias. Ao clicar nas outras caixas de seleção, o visitante do site pode agora decidir por si mesmo que cookies ou contextos ele aceita ou não.

Os antecedentes legais para isto são os seguintes: 

Se o consentimento for obtido por meio de uma caixa de seleção, há basicamente duas possibilidades: Opt-in ou Opt-out. A diferença é que com o opt-in, a caixa de seleção está inicialmente vazia e o visitante do site deve dar seu consentimento ativamente, clicando na caixa ou definindo a marca de seleção. Com o opt-out, a caixa de seleção já está definida por padrão - o consentimento já está dado - e o visitante do site deve remover ativamente a marca de seleção, clicando na caixa de seleção.

Muitos operadores de sites utilizam o opt-out por padrão. Provavelmente porque eles sabem que a maioria dos seus visitantes deseja acessar o site rapidamente e, por isso, clicam no botão OK do banner de cookie - sem ler o texto do banner ou pensar no que estão a dar o seu consentimento.

Porque a opção de Opt-Out não é suficiente

Embora este procedimento seja generalizado, não é legalmente correto. O consentimento requer uma ação ativa do visitante do site. A única coisa legalmente correta é, portanto, o opt-in, ou seja, que o visitante do site dê o seu consentimento ativamente - por exemplo, para usar uma ferramenta de análise como o Google Analytics - marcando a caixa.

Poder-se-ia argumentar que, com o opt-out, o consentimento real reside em clicar no botão OK do banner do cookie. Mas isto está a pisar em gelo fino. De acordo com o considerando 32 de RGPD , aplica-se o seguinte em relação ao consentimento (ênfase por mim):

infobox de linha

"O consentimento deve ser dado por um acto afirmativo inequívoco livremente, caso a caso, de forma informada e inequívoca, que a pessoa em causa consinta no tratamento dos dados pessoais que lhe dizem respeito, como por exemplo uma declaração escrita, que também pode ser feita por via electrónica, ou uma declaração oral.

Isto poderia ser feito marcando uma caixa ao visitar uma página da Internetselecionando configurações técnicas para serviços da sociedade da informação ou por qualquer outra declaração ou conduta pela qual a pessoa em questão expresse sem ambiguidade a sua concordância com o tratamento pretendido dos seus dados pessoais no contexto relevante.

Silêncio, caixas já assinaladas ou inactividade por parte da pessoa em causa não deve, portanto, constituir consentimento. O consentimento deve abranger todas as operações de processamento realizadas para o mesmo fim ou fins. Quando o processamento serve vários propósitos, o consentimento deve ser dado para todos esses fins de processamento. Quando o consentimento for solicitado ao interessado por meios eletrônicos, o pedido deve ser feito de forma clara e concisa e sem interrupção desnecessária do serviço para o qual o consentimento é dado".

infobox de linha

#6 Adaptação da política de privacidade

Ao criares o teu banner de cookies, não deves esquecer de ajustar a tua política de privacidade. Isto significa que os detalhes dos cookies individuais também devem ser explicados na política de privacidade. 

#7 Problema Social Especial Plugins

Há um problema especial com a integração de plugins sociais, pois eles não apenas configuram cookies, mas também enviam automaticamente dados pessoais dos visitantes do teu site para a rede social correspondente, etc.

De acordo com um recente acórdão do TJCE de 29 de Julho de 2019 os dados pessoais do visitante do site só podem ser transmitidos à rede social, etc. após o correspondente consentimento. Portanto, deve-se garantir que o site social Plugin só se torne ativo se o visitante do site tiver dado seu consentimento previamente, assinalando a caixa de seleção correspondente. (Esta decisão ainda se refere à "Directiva de Protecção de Dados", ou seja, ao regulamento anterior de RGPD; no entanto, o resultado também se aplica a RGPD).

Desenhar corretamente um banner de cookie, ou seja, em conformidade com a lei, não é bruxaria. E também não é uma desvantagem para o operador do site. Porque os visitantes do seu site também devem ser tratados de forma justa. E isso também inclui o fornecimento de informações transparentes sobre o que acontece quando o site é acessado. Só então os visitantes do site estão em condições de tomar uma decisão bem informada sobre se e, em caso afirmativo, quais os dados que desejam divulgar. Assim como muitos desenvolvedores e operadores de websites estão relutantes em serem espiados por terceiros, eles também deveriam dar aos visitantes de seus próprios websites a oportunidade de decidir por si mesmos quais dados eles fazem ou não querem divulgar.

Imagem contribuída: Emily Wilson | Unsplash
Imagens adicionais: Rawpixel | pexels, RAIDBOXES

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.