domingo, 30 de setembro de 2012

A lei europeia dos cookies

A lei europeia dos cookies

Uma «nova» diretiva sobre a privacidade online está activamente a ser implementada na União Europeia desde a sua criação em novembro de 2009. Destina-se a dar aos usuários o controle sobre como os cookies são utilizados nos sites que eles visitam, para darem o seu consentimento para a sua utilização antes de serem copiados no seu dispositivo. Vamos ver neste post o que esta diretiva diz exatamente, e como é implementada nas leis locais, com foco no Reino Unido, em França, na Espanha e em Portugal.

Diretiva europeia 2009/136/EC

O que diz?


Datada do 25 de novembro 2009, a diretiva 2009/136/EC (pdf) altera duas outras diretivas em relação aos direitos dos utilizadores na matéria das redes de comunicações eletrónicas e dos serviços (Diretiva 2002/22/EC) e do tratamento de dados pessoais e da proteção da privacidade no setor das comunicações eletrónicas (Diretiva 2002/58/EC).

Estamos interessados aqui com o artigo 66:
Terceiros podem desejar armazenar informações sobre o equipamento de um utilizador, ou ter acesso a informação já armazenada, para uma série de fins, que vão desde os legítimos (por exemplo, certos tipos de testemunhos de conexão, «cookies»), até os que envolvem a intromissão indevida na esfera privada (por exemplo, software espião ou vírus). É, pois, de suma importância que sejam prestadas informações claras e exaustivas aos utilizadores, sempre que sejam encetadas actividades que possam resultar nesse tipo de armazenamento ou de possibilidade de acesso. As formas de prestação de dar informações, proporcionar o direito de recusar ou pedir consentimento deverão ser tão simples quanto possível. As excepções à obrigação de prestar informações e de permitir o direito de recusar deverão limitar-se às situações em que o armazenamento técnico ou o acesso é estritamente necessário para o objectivo legítimo de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador. Sempre que tecnicamente possível e eficaz, e em conformidade com as disposições aplicáveis da Diretiva 95/46/CE, o consentimento do utilizador relativamente ao tratamento de dados pode ser manifestado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação.

O que é um cookie?


Um cookie (também chamado testemunho) é um pequeno pedaço de dados enviado de um site e armazenado no navegador do usuário enquanto ele está a navegar num site. Pode ser recuperado durante a sessão do usuário ou durante as visitas posteriores no mesmo site, mesmo num futuro distante.

Diferentes tipos de cookies existem: cookie de sessão (usado durante o tempo de uma sessão, ou de uma visita a um site), cookie persistente ou cookie de rastreamento (utilizado para armazenar dados entre as sessões), cookie seguro (usado sobre conexão https criptografada, daí criptografado em si), cookie HttpOnly (utilizados durante as transmissões http/s), cookies de terceiros (de outros domínios que o site visitado para rastrear o histórico de navegação do usuário), e cookie zumbi (praticamente impossível de eliminar, uma vez que utiliza mecanismos de armazenamento diferentes dos cookies regulares: http ETag, flash, png, Silverlight…).

O que é que a diretiva visa?


Qualquer usuário web, começando por você e por mim, deveria ser livre para compartilhar dados pessoais com qualquer empresa ou organização se desejar, e somente se desejar. Por apenas navegar na internet, estamos rastreados por centenas de empresas diferentes que fazem perfis dos nossos hábitos. Esses perfis são os dados que eles utilizam para propor-nos anúncios específicos por meio da segmentação comportamental, ou para vender a marqueteiros.

Este é onde o retargeting entra em ação. Por exemplo, você visita o site de um vendedor de sapatos, e dois dias mais tarde, noutro site sobre, digamos, carros, você tem um anúncio de sapato. Existem algumas boas probabilidades que uma empresa de publicidade (Google AdSense ou outra) seguiu você do primeiro site a este último para retarget você com um produto ao qual fora previamente exposto.

Além disso, o perfil criado por suas footprints na web também é monitorado se você pertencer a uma rede social. Cada vez que você encontrar, ainda conectado ou não à sua rede, um botão de compartilhamento (seja Facebook Like, Twitter ou Google+), a rede social sabe onde você está e adiciona esta página ao seu histórico de navegação do seu lado.

O princípio para lembrar aqui é este: quando um produto ser gratuito, você é o produto.

No seu parecer 2/2010 sobre publicidade comportamental em linha (pdf), o grupo de trabalho do Artigo 29 para a proteção de dados declara que a publicidade comportamental (…) não pode pôr em causa os direitos dos utilizadores em matéria de privacidade e de proteção de dados. Em seguida, ele desenha o quadro jurídico e detalha a obrigação de obter o consentimento prévio informado.

Implementação da diretiva europeia nas leis locais

Em setembro de 2012, a maioria dos países europeus já implementaram a diretiva europeia nas suas leis locais, incluindo a Áustria, a Bélgica, a Bulgária, Chipre, a Dinamarca, a Eslováquia, a Espanha, a Estónia, a Finlândia, a França, a Hungria, a Irlanda, a Itália, a Letónia, a Lituânia, o Luxemburgo, os Países Baixos, o Reino Unido, a República Checa, a Roménia e a Suécia. A Polónia e Portugal estão ainda a implementar a diretiva, apesar de propostas de lei foram apresentadas (fontes: Two birds, Field Fisher Waterhouse).

Vamos ver a implementação em três países: o Reino Unido, França e a Espanha.

Reino Unido: a ePrivacy Directive


Como os Regulamentos 2003 já implementaram a Diretiva Europeia (a 2002/58/EC) interessada com a proteção da privacidade no setor das comunicações eletrónicas, a implementação da nova directiva 2009/136/EC tomou a forma de uma mudança no artigo 5(3) da E-Privacy Directiva. O Reino Unido introduziu as emandas em 25 de maio de 2011 através dos Regulamentos da Privacidade e da Comunicações eletrónicas 2011, uma emenda conhecida como a «emenda cookie», que modificou o texto em:
Os Estados-Membros devem assegurar que o armazenamento de informações, ou a possibilidade de acesso a informações já armazenadas, no equipamento terminal de um subscritor ou utilizador só é permitido na condição de que o subscritor ou utilizador interessado tenha dado o seu consentimento, tendo sido fornecida informação clara e abrangente, de acordo com a Diretiva 95/46/EC, nomeadamente sobre os objetivos do processamento. Isso não deve impedir qualquer armazenamento ou acesso técnico com o único propósito de levar a cabo a transmissão de uma comunicação sobre uma rede de comunicações eletrónicas, ou que seja estritamente necessário para que o fornecedor de um serviço da sociedade da informação explicitamente solicitado pelo subscritor ou utilizador possa fornecer o serviço.
Como o podemos ver, a sua abordagem foi copiar diretamente a formulação da disposição e referir-se a elementos ao texto do Recital 66 que acreditam que as configurações do navegador podem dar aos consumidores uma maneira de indicar o seu consentimento aos cookies.
Se for tecnicamente possível e eficaz (…) o consentimento dos usuários ao tratamento pode ser expressado utilizando a configuração adequada do navegador ou de qualquer outra aplicação
O Regulamento 6 dos Regulamentos da Privacidade e Comunicações Eletrónicas 2003 (PECR) declara que:
Uma pessoa não deve armazenar ou ter acesso a informações armazenadas, no equipamento terminal de um subscritor ou utilizador a menos que os [seguintes] requisitos forem atendidos:
  • O subscritor ou utilizador deste equipamento terminal é fornecido com informações claras e completas sobre os fins do armazenamento, ou do acesso, a desta informação; e
  • tenha dado o seu consentimento.
Porém, há uma exceção à exigência para fornecer informações sobre cookies e obter o consentimento onde a utilização do cookie é:
  • com o único propósito de levar a cabo a transmissão de uma comunicação sobre uma rede de comunicações eletrónicas; ou
  • se a armazenagem ou o acesso ser estritamente necessário para a prestação de um serviço da sociedade da informação solicitado pelo subscritor ou utilizador.
O ICO (Information Commissioner's Office, ou Gabinete do Comissário de Informação) é uma organização semi-governamental inglesa responsável pela aplicação das medidas sobre a proteção de dados e a liberdade de informação. Oferece uma Guia de orientação sobre as regras de uso de cookies e tecnologias semelhantes (pdf, em inglês) para ajudar na implementação das regras para estar em conformidade com a lei.

Em teoria, o ICO tem o poder de ordenar as organizações a pagar até 500 000 libras (630 000 euros) como multa por graves violações da Lei de Proteção de Dados. Daí, desde o 26 de maio de 2012, os sites de qualquer organização com base para dentro do Reino Unido (mesmo se o site está hospedado no exterior) devem solicitar o consentimento para armazenar cookies no computador, ou no dispositivo, de um usuário, como o desrespeito pode resultar numa multa.

Na prática, porém, o ICO «está [agora] a considerar queixas sobre cookies em linha com a sua abordagem normal para o tratamento de reclamações conforme os Regulamentos. Isto envolverá, na maioria dos casos, entrar em contato com a organização responsável para a criação dos cookies em primeira instância, e pedi-lhes para responder à reclamação e explicar quais são as medidas que tenham tomado para cumprir essas regras.»

Contanto que você tenha tomado uma «ação sensata e circonspecta para ir para a conformidade», parece não haver nada a temer. Em suas próprias palavras: «as penalidades monetárias serão reservadas para as mais graves violações dos Regulamentos.»

França: o Paquet Télécom


A implementação na legislação francesa desta diretiva europeia ocorreu em 24 de agosto de 2011 na ordenança n°2011-1012 relativa às comunicações eletrónicas (em francês). O artigo 37 especifica que:
Qualquer subscritor ou utilizador de um serviço de comunicações eletrónicas deve ser informado de forma clara e completa, a não ser que ele ou ela já foi informado ou informada, pela pessoa responsável pelo tratamento ou o seu representante:
  • do propósito de qualquer ação tendente a ter acesso, por meio de transmissão eletrónica, à informação já armazenada no seu equipamento terminal de comunicações eletrónicas, ou para registrar informações nesse equipamento
  • dos meios à sua disposição para se opor
Estes acessos ou inscrições só podem ter lugar se o subscritor ou utilizador individual expressou, depois de ter recebido esta informação, o seu consentimento que pode resultar de parâmetros adequados do dispositivo de conexão ou qualquer outro dispositivo sob seu controle.
Estas disposições não são aplicáveis se o acesso à informação armazenada ou o registo da informação no equipamento terminal do utilizador:
  • ou tem o único propósito de permitir ou facilitar a comunicação por meios eletrónicos
  • ou é estritamente necessário para a prestação de um serviço de comunicação online por solicitação expressa do usuário.
Portanto, o usuário deve ser informado o cookie ser armazenado antes que ocorra, com o seu consentimento exigido. O termo cookie é usado de uma forma ampla e inclui qualquer técnica armazenando dados no lado do cliente.

A CNIL (para Commission Nationale de l'Informatique et des Libertés, o Comissão Nacional da Informática e das Liberdades), a autoridade administrativa independente francesa cuja missão é garantir que a lei de privacidade de dados é aplicada à coleção, ao armazenamento, e à utilização de dados pessoais, isenta de consentimento prévio os cookies usados para medir audiência, sob determinadas condições (informação, direito de acesso e de oposição, propósito limitado, geolocalização por IP na escala máxima da cidade, duração de conservação).

As penalidades incorridas em caso de incumprimento com esta lei pode ser de até 300 000 euros, mas «em caso de denúncia ou de controle, a Comissão vai apreciar os esforços empreendida pela pessoa encarregada do processamento para atingir a conformidade» (fonte CNIL, em francês).

Espanha: a ley de las cookies


A transposição desta diretiva na Espanha foi realizada por meio do Decreto-Lei Real 13/2012 do 30 de março de 2012 (pdf, em espanhol) que diz:
Por último, vários artigos da lei dos serviços da sociedade de informação e do comércio eletrónico 34/2002 de 11 de julho são modificados para adaptar o seu sistema ao novo texto dado pela Diretiva 2009/136/CE à Diretiva 2002/58/CE de 12 de julho de 2002, do Parlamento Europeu e do Conselho, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas, para destacar a nova redação dada ao artigo 22.2, para exigir o consentimento do usuário sobre os arquivos ou programas de computador (como os chamados «cookies») que armazenam informações no equipamento do usuário e permitem o seu acesso; dispositivos susceptíveis de facilitar a navegação web mas cujo uso pode revelar aspectos da vida privada dos utilizadores, por isso é importante que os usuários estejam bem informados e tenham mecanismos que lhes permitam proteger a sua privacidade.
Assim, o artigo 22.2 (página 26947) da lei 34/2002 de Serviços da Sociedade da Informação e Comércio Eletrónico (ou LSSI-CE) do 11 de julho tornou-se:
Os prestadores de serviços poderão usar dispositivos de armazenamento e recuperação de dados nos equipamentos terminais dos destinatários, desde que eles tenham dado o seu consentimento após terem recebido informações claras e completas da sua utilização, em particular, nos objetivos do processamento de dados, de acordo com a lei orgânica 15/1999 do 13 de dezembro sobre a proteção de dados pessoais.

Sempre que for tecnicamente possível e eficaz, o consentimento do destinatário para aceitar o processamento de dados poderá ser facilitado utilizando as configurações apropriadas do navegador ou doutras aplicações, desde que tenha de fazer a sua configuração ao instalar ou atualizar este por uma ação explícita para esta finalidade.

Isto não impedirá o armazenamento ou o acesso possível de caráter técnico com o único propósito de levar a cabo a transmissão de uma comunicação por uma rede de comunicações eletrónicas ou, na medida em que for estritamente necessário, para fornecer um serviço da sociedade da informação explicitamente solicitado pelo destinatário.
Com a nova legislação, cada site deve informar os seus utilizadores do uso que será feito com as informações coletadas por cookies, dando-lhes a oportunidade de os aceitar ou não. Ao consentimento implícito (opt out) da lei anterior substitui-se o consentimento informado (opt in).

Porém, a modificação da lei não resultou na adição de uma penalidade: a falha da obtenção do consentimento para o uso de cookies não pode ser sancionada (pelo menos por agora, fonte, em espanhol).

Portugal: a lei dos cookies


Publicado no Diário da República (pdf), em 29 de agosto de 2012, o Artigo 5° diz que:
O armazenamento de informações e a possibilidade de acesso à informação armazenada no equipamento terminal de um assinante ou utilizador apenas são permitidos se estes tiverem dado o seu consentimento prévio, com base em informações claras e completas nos termos da Lei de Proteção de Dados Pessoais, nomeadamente quanto aos objetivos do processamento.
Assim, em Portugal também, a directiva dos cookies insiste no consentimento prévio do utilizador.

Conclusão

Como já vimos, a maioria dos países europeus já transpuseram a diretiva 2009/136/EC, e o resto seguirá logo. Contudo, algumas perguntas permanecem a respeito das soluções técnicas para implementar, ou das penalidades no caso de incumprimento com a lei.

Também temos de responder à pergunta dos sites hospedados fora da União Europeia. Um país ou mesmo a totalidade da União poderia proibir Google AdSense ou Facebook por não cumprir com a legislação local quando a maioria dos sites governamentais ainda estão longe disso?

Num post futuro, vamos ver as soluções que podem ser implementadas para dar cumprimento à diretiva dos cookies.

Fonte da ilustração: Veggieburgerfan via Wikimedia Commons


La loi européenne sur les cookies (em francês)
The European cookies law (em inglês)
La ley europea de las cookies (em espanhol)

Sem comentários:

Enviar um comentário