Como usar cookies em conformidade com os regulamentos de proteção de dados

Publicados: 2016-09-21

Neste artigo

Cookies e coleta de dados pessoais

C ookies são ferramentas essenciais para o funcionamento de um site, permitindo gerenciar certas funções básicas (por exemplo, reconhecer um usuário ou gerenciar um carrinho de compras em atividades de e-commerce). Mas eles também têm grande potencial para coletar informações pessoais sobre como as pessoas navegam em sites, permitindo que você implemente campanhas de marketing direto altamente eficazes. Graças aos cookies, por exemplo, você pode oferecer publicidade direcionada a uma pessoa, com base em suas pesquisas em outros sites que ela visitou antes de entrar em uma nova página da web. Também permitem implementar ações de marketing que reproduzem a mesma mensagem ao navegar nos vários sites que as pessoas visitam (o chamado retargeting).

Os cookies (ou os mecanismos baseados no mesmo princípio) permitem-lhe saber se uma campanha de email marketing foi bem sucedida, se uma mensagem de email foi lida , quantas vezes foi aberta ou reencaminhada para outras pessoas.

Cookies, legislação de proteção de dados na Europa e o impacto no resto do mundo

Por muito tempo, essas ferramentas foram usadas essencialmente sem saber pela maioria dos usuários da web, mas as coisas mudaram em 2009 quando vários países (principalmente na UE) emitiram regulamentos que impunham regras para a coleta de dados pessoais por meio de cookies, com base no fornecimento de uma divulgação e obtenção de seu consentimento .

Alguns países (Reino Unido e Holanda em particular) abordaram o problema com uma abordagem particularmente pró-ativa, impondo pop-ups e banners para destacar a “política de cookies” dos sites e exigindo consentimento expresso para seu uso. Outros optaram por adiar e não fazer grandes mudanças na experiência de navegação consolidada, o que não se encaixava bem com esses “avisos aos navegadores”.

Aqueles que enviam o conteúdo dos seus sites a residentes europeus são, portanto, obrigados a conhecer estas regras para evitar quaisquer litígios por parte da Autoridade Europeia.

Como usar cookies

As regras em resumo

Em suma, as regras essenciais estipulam que ao acessar a home page ou outra página de um site, deve aparecer um banner bem visível , esclarecendo alguns elementos básicos.

Especificamente:

  1. deve ser especificado se o site usa cookies de perfil para enviar anúncios direcionados;
  2. deve ser especificado se o site também usa “cookies de terceiros” , ou seja, cookies que coletam dados que serão usados ​​por um site diferente daquele que está sendo visitado;
  3. deve fornecer um link que permita ao navegador ler uma divulgação mais ampla , indicando como os cookies enviados pelo site são usados ​​e especificando que a opção está disponível para recusar o consentimento para sua instalação direta, seja diretamente ou conectando-se a vários sites no caso de “cookies de terceiros”;
  4. por último, deve indicar que ao continuar a navegar (por exemplo, acessando outra área do site ou selecionando uma imagem ou link), o usuário está consentindo com o uso de cookies.

No entanto, continua a ser permitida a utilização de cookies técnicos, para que a breve divulgação não reapareça na segunda visita do utilizador, ficando registado o seu consentimento dado na visita anterior.

Por último, deve garantir que o utilizador retém, em qualquer caso, a possibilidade de alterar as suas escolhas relativamente aos cookies , recorrendo à ampla divulgação, que deve estar disponível em todas as páginas do site.

Aspectos específicos das regras sobre cookies

Do ponto de vista prático, vale a pena ter estes aspectos práticos em mente para ter uma visão precisa da legislação :

a) Escopo de aplicação

Fica entendido que os sites que não permitem o armazenamento de informações no equipamento terminal do usuário ou o acesso às informações já armazenadas - e, portanto, que não utilizam cookies - não estão sujeitos às obrigações exigidas pela regulamentação . Para a utilização de cookies exclusivamente técnicos, a divulgação só tem de ser feita na forma considerada mais adequada (por exemplo, referindo-se a ela na política de privacidade do site), sem ter que exibir o banner exigido pelo regulamento.

  • Os sites que não usam cookies não estão sujeitos a qualquer obrigação
  • Para usar cookies técnicos, as informações só devem ser fornecidas na política de privacidade do site, por exemplo. Não é necessário exibir um banner específico.
  • Os cookies analíticos são tratados como cookies técnicos apenas quando feitos e usados ​​diretamente pelo site original para melhorar sua usabilidade.
  • Se os cookies analíticos forem disponibilizados por terceiros, os titulares não estão sujeitos às obrigações de:
    • A) são adotadas ferramentas que reduzem a capacidade de identificação do cookie (por exemplo, ocultando grandes partes do endereço IP);
    • B) o terceiro concorda em não combinar as informações contidas nos cookies com outras informações que já possui.
  • Se o site contiver links para sites de terceiros (por exemplo, banners publicitários, links para redes sociais) que não requeiram a instalação de cookies de perfil, não há necessidade de divulgação e consentimento.
  • Na divulgação extensa, o consentimento para o uso de cookies de perfil pode ser solicitado por categoria (por exemplo, viagens, esportes).
  • Você pode exibir uma única notificação para todos os outros sites gerenciados com o mesmo domínio.
  • As obrigações aplicam-se a todos os sites que instalam cookies nos terminais dos usuários, independentemente de eles terem uma base na Itália.

b) Uso de cookies analíticos de terceiros

Em linha com a abordagem de simplificação da Autoridade, o regulamento já clarifica como os cookies analíticos - que são usados ​​para monitorar como o site é usado pelos navegadores para fins de otimização - podem ser tratados como cookies técnicos quando são fabricados e usados ​​diretamente pela primeira parte site (portanto, sem intervenção de terceiros).

Em muitos casos, no entanto, os sites usam cookies analíticos produzidos e disponibilizados por terceiros apenas para fins estatísticos. Nestes casos, os sites acima mencionados não estão sujeitos aos requisitos e formalidades exigidos pela legislação, caso sejam adotadas ferramentas adequadas para reduzir a capacidade de identificação dos cookies analíticos que utilizam - por exemplo, ocultando grandes partes do endereço IP .

Além disso, a utilização destes cookies também deve estar sujeita a ligações contratuais entre sites e terceiros , em que se faça referência expressa ao compromisso do terceiro de utilizá-los exclusivamente para a prestação do serviço, para os manter separados, e não para “Enriquecer” ou “combiná-los” com outras informações que eles possam ter.

c) Usando plataformas que instalam cookies

Em alguns pedidos, foi apontado que é difícil fazer as alterações necessárias para implementar a legislação de cookies às plataformas, amplamente utilizadas para criar sites, que por vezes já contêm ferramentas pré-configuradas para gerir cookies ou widgets.

d) Indivíduos obrigados a exibir o banner: o papel dos sites próprios

No que diz respeito à responsabilidade dos gestores de sites próprios relativamente à instalação de cookies de perfil de domínios de “terceiros” , esses indivíduos desempenham o papel de mero intermediário técnico para a instalação de tais cookies.

É importante notar, no entanto, que devido à “natureza distribuída” desse tratamento, que em qualquer caso envolveu o site de terceiros no processo, o consentimento para o uso de cookies de terceiros envolve dois elementos que são necessários . Em primeiro lugar, a presença do banner , que produz o evento adequado para fornecer consentimento documentado (responsabilidade da primeira parte). Em segundo lugar, a presença de links atualizados para sites operados por terceiros, onde o usuário pode fazer suas próprias escolhas sobre as categorias e indivíduos de quem receberá cookies de perfil.

Também fica claro que se os banners do site ou links para redes sociais são links básicos para sites de terceiros que não instalam cookies de perfil, não há necessidade de divulgação e consentimento.

e) Procedimentos para obtenção de consentimento

As soluções para obtenção de consensos com base no método “scroll” , ou seja, continuar a navegar na mesma página - amplamente utilizada e particularmente significativa no caso dos dispositivos móveis - são consideradas como estando em conformidade com os requisitos legais desde que estejam claramente indicados na divulgação e são capazes de gerar um evento registrável e documentável no servidor do operador do site (primeira parte), que pode ser classificado como uma ação positiva do usuário.

Como os dados podem ser processados ​​usando cookies na prática

Vejamos alguns exemplos práticos de como um banner pode ser estruturado para cookies , também pela experiência já adquirida no exterior.

1) Exemplo de banner ou pop-up ao entrar em um site

O texto do banner pode variar em comprimento . Um texto completo e descritivo é mais reconfortante e explica os termos essenciais de um assunto com o qual muitas pessoas não estão familiarizadas. Claro que aqui cada um tem que fazer a sua própria avaliação e ponderar a solução que ache mais adequada, tendo em conta o tipo de site e as características de quem o visita.

Por exemplo, um texto conciso a ser colocado em um banner poderia ser:

Usamos cookies para melhorar a sua experiência de navegação e para nos ajudar a melhorar o nosso site. Para obter mais detalhes, consulte nossa política de cookies aqui. Ao continuar a navegar, concorda com a utilização de cookies. Caso contrário, você tem a opção de sair do site.

A escolha de dois botões deve ser fornecida:

  1. “Configurar Cookies” que permite acessar uma seção do site para habilitar ou desabilitar os vários tipos de cookies usados ​​pelo site;
  2. “Aceitar e continuar”, que dá acesso instantâneo ao site.

Em seguida, deve ser fornecido um texto específico e extenso , a chamada “Política de cookies”, para delinear detalhadamente os cookies e permitir que sejam desativados por cada tipo.

2) Exemplo de aviso de isenção de responsabilidade a ser colocado em mensagens de e-mail, no caso de uma campanha de marketing por e-mail

Quanto às ferramentas que permitem coletar dados sobre se um e-mail é aberto, lido e encaminhado, é bom incluir algumas informações úteis na mensagem .

O espaço para esta isenção de responsabilidade pode ser encontrado no rodapé do e-mail:

Email e Cookies

* O remetente desta mensagem usa cookies e tecnologia semelhante (chamados coletivamente de cookies) neste e-mail. Se você habilitou as imagens, você pode definir suas configurações de cookies no seu computador ou dispositivo móvel. Os cookies também serão configurados se você clicar em qualquer link deste e-mail. Se suas configurações de e-mail desativaram os links neste e-mail, você pode colar o endereço em seu navegador sem ativar ou aceitar cookies: ____________________________.

Esses exemplos específicos dão uma ideia das escolhas que você precisa fazer para gerenciar o impacto dessas regras de forma mais eficaz.

Recomendamos não usar a técnica de “copiar e colar” . O que pode ser adequado para um site pode não funcionar para outro. Todos se deparam com a questão de garantir que os cookies sejam apresentados adequadamente aos usuários de cada site, permitindo que eles façam uma escolha consciente de aceitá-los ou rejeitá-los . Só assim é possível cumprir o princípio básico, segundo o qual todos os utilizadores podem ter o controlo das suas próprias informações, ainda que estas sejam recolhidas a partir do seu comportamento de navegação.