Proteção de Dados – Os cookies são mencionados apenas uma vez no GDPR (Regulamento Geral de Proteção de Dados), mas as repercussões são significativas para qualquer organização que os utilize para rastrear a atividade de navegação dos usuários.
O GDPR refere aos cookies da seguinte forma:
“Pessoas singulares podem estar associadas a identificadores online […] tais como endereços de protocolo da internet, identificadores de cookies ou outros identificadores […]. Isso pode deixar vestígios que, em particular quando combinados com identificadores exclusivos e outras informações recebidas pelos servidores, podem ser usados para criar perfis das pessoas naturais e identificá-los.”
Resumindo: quando os cookies podem identificar um indivíduo, por meio de seu dispositivo, eles são considerados dados pessoais.
Isto afirma que quaisquer dados que possam ser utilizados para identificar um indivíduo, direta ou indiretamente (seja ele próprio ou em conjunto com outra informação), são dados pessoais.
O que significa
Nem todos os cookies são usados de maneira a identificar usuários, mas a maioria está e estará sujeita ao GDPR. Isso inclui cookies para serviços analíticos, de publicidade e funcionais, como ferramentas de pesquisa e bate-papo.
Para tornar-se compatível, as organizações precisarão parar de coletar os cookies ofensivos ou encontrar um terreno legal para processar esses dados.
A maioria das organizações depende do consentimento (implícito ou não), mas os requisitos reforçados do GDPR significam que é muito mais difícil obter o consentimento legal.
As conseqüências disso foram discutidas durante a Conferência de Conformidade de Proteção de Dados de 2016 e suas descobertas descritas pela Lei de Cookies:
• O consentimento implícito não é mais suficiente: O consentimento deve ser dado por meio de uma ação afirmativa clara, como clicar em uma caixa de opção ou escolher configurações ou preferências em um menu de configurações. Simplesmente visitar um site não conta como consentimento.
• Ao utilizar este site, você aceita que as mensagens dos cookies também não sejam suficientes: Pelos mesmos motivos, se não há escolha genuína e livre, então não há consentimento válido. Você deve tornar possível aceitar ou rejeitar cookies.
• Deve ser tão fácil retirar o consentimento, quanto dar: Se as organizações quiserem dizer às pessoas para bloquearem cookies se elas não derem o seu consentimento, elas devem primeiro aceitar os cookies.
• Os sites precisarão fornecer uma opção de desativação: Mesmo depois de obter um consentimento válido, os sites devem oferecer às pessoas a opção de mudar de ideia. Se você pedir consentimento por meio de caixas opt-in em um menu de configurações, os usuários devem sempre poder retornar a esse menu para ajustar suas preferências.
Alcançando a conformidade
O consentimento do Soft Opt-in é provavelmente o melhor modelo de consentimento, de acordo com a Lei de Cookies: “Isso significa“ dar uma oportunidade para agir antes que os cookies sejam definidos em uma primeira visita a um site. Se houver um aviso justo, continuar a navegar pode, na maioria das circunstâncias, ser um consentimento válido por meio de ação afirmativa”.
As organizações estão desrespeitando seus requisitos
Embora a maioria das organizações tenha adotado um modelo de consentimento flexível, muitos se recusam a fazê-lo. Em vez disso, eles criaram uma “parede de cookies”, que bloqueia o acesso dos usuários até que eles consintam com as atividades de rastreamento do site.
Os usuários ainda têm uma escolha de tipos. Eles podem concordar com os termos do site ou ir para outro lugar. No entanto, de acordo com a Autoridade de Proteção de Dados da Holanda, essa não é uma opção válida em termos de conformidade com o GDPR.
Na orientação publicada em março de 2019, o DPA holandês enfatizou que o consentimento deve ser dado de forma livre e voluntária, e isso não é possível se os usuários tiverem acesso negado rejeitando a política de cookies do site.
Ele acrescentou que as paredes dos cookies são aceitáveis quando usadas para garantir o “funcionamento adequado do site” e para “a análise geral da visita naquele site”.
O regulador liberou a orientação depois de receber “dezenas” de reclamações de visitantes que foram afastados de sites após recusarem a política de cookies.
Em resposta, a DPA holandesa enviou cartas avisando as organizações em questão para alterar suas políticas de cookies, e disse que vai monitorar o uso de cookies mais de perto no futuro.
Tem certeza de que suas políticas são compatíveis com GDPR?
A questão da parede do cookie é um exemplo de quão difícil pode ser interpretar os requisitos do GDPR. Sua complexidade inevitavelmente terá organizações procurando atalhos de conformidade, mas se você não for cuidadoso, poderá ser pego de surpresa.
Você pode ter certeza de não cair nessa armadilha com a ajuda do nosso pacote inicial do GDPR. O Bundle fornece todos os recursos e ferramentas necessários para garantir a conformidade de suas organizações com o GDPR.
Tem algo a dizer sobre este artigo? Comente abaixo ou compartilhe conosco no Facebook, Twitter ou no nosso LinkedIn.
Leia também:
- Segurança da Informação – Ataques de ransomware se tornam mais difusos, destrutivos e caros.
- Segurança da Informação – Fim das atualizações para o Patch do Microsoft Windows 7
- Segurança da Informação – Cisco corrige bug crítico de senha padrão.
- Blog Netranet Networking | Segurança da Informação – Invasores hospedam páginas de phishing no Azure.
- Blog Netranet Networking | Segurança da Informação – Descobertas falhas de segurança em gerenciadores de senhas populares.