Os banners de biscoitos são ilegais na Europa?
Parte central da faixa dos biscoitos declarada ilegal pela DPA belga.
Módulo central de mira e banner de cookies ilegais
A norma técnica utilizada pelas empresas de publicidade para recolher a autorização da GDPR online é ilegal. As consequências podem ser enormes - para os meios de comunicação, mas também para gigantes da indústria como o Google e a Amazon.
O que decidiu a DPA belga?
A autoridade belga de protecção de dados APD decidiu que um mecanismo central para banners de cookies viola o Regulamento Geral Europeu de Protecção de Dados (GDPR). A decisão foi tomada no chamado procedimento de balcão único. Isto significa que se aplica a toda a UE. O procedimento resulta de uma queixa do Conselho Irlandês para as Liberdades Civis e outras organizações europeias de direitos civis e pode ser potencialmente um enorme golpe para a indústria publicitária europeia.
Leia mais sobre a decisão aqui.
Golpe duro para a indústria de dados
”Esta tem sido uma longa batalha”, disse o Dr. Johnny Ryan do Conselho Irlandês para as Liberdades Civis. “A decisão de hoje liberta centenas de milhões de europeus do consentimento de spam, e o perigo mais profundo de as suas actividades mais íntimas em linha serem passadas por milhares de empresas”.
Como funciona o consentimento de cookies e a publicidade dirigida?
Consentimento dos cookies
A publicidade dirigida na Internet funciona desta forma (explicação simplificada): Cada visita a um sítio web utilizando o rastreio de cookies para publicidade direccionada desencadeia um leilão entre os fornecedores de publicidade. É tomada uma decisão em milissegundos sobre quais os anúncios que o utilizador verá com base no perfil do utilizador e alguns outros factores (= licitação em tempo real).
Licitações em tempo real
Para que este concurso em tempo real (RTB) funcione, as empresas de publicidade querem saber muito sobre a pessoa que actualmente navega no seu website: Idade, sexo, interesses, websites visitados, local de residência, poder de compra e muito mais. Estes dados são utilizados para mostrar o anúncio mais adequado, aquele em que o utilizador mais provavelmente irá clicar.
Leia aqui por que razão apelamos à proibição de anúncios direccionados.
Rastreamento sem consentimento?
No entanto, segundo a GDPR, tal rastreio só é permitido se o utilizador der o seu consentimento. O Quadro de Transparência e Consentimento (TCF) da Associação de Publicidade IAB Europa pede supostamente este consentimento: Se os utilizadores clicarem em “aceitarem cookies” ou não se opuserem a que a utilização dos seus dados seja do interesse legítimo do fornecedor, o TCF gera uma cadeia chamada TCF. Este identificador constitui a base para a criação de perfis individuais. Depois os perfis são utilizados para os comparar com os anúncios a serem exibidos. Ao fazê-lo, a cadeia de TC é enviada para centenas e centenas de parceiros no sistema OpenRTB.
Toda a indústria de anúncios (quando se fala de anúncios direccionados) é baseada na cadeia TC, o que a torna o padrão mais importante no ecossistema de publicidade online.
Como é que a decisão influencia a indústria publicitária?
Agora a APD belga decidiu que a partilha da cadeia de TC com centenas de parceiros viola o Regulamento Geral de Protecção de Dados. Segundo a autoridade supervisora, o sistema utilizado pelos anunciantes para recolher o consentimento para publicidade direccionada na Internet não respeita os princípios de legalidade e equidade.
No seu acórdão, a APD belga emitiu uma multa de 250.000 euros contra a associação publicitária IAB Europe, que desenvolve e opera o mecanismo TCF. Além disso, o IAB deve agora apagar os dados pessoais já recolhidos. Muito mais significativas, porém, são as condições que a APD está a impor à indústria publicitária para continuar a utilizar o Quadro de Transparência e Consentimento.
Milhares de operadores de websites, quase todos os meios de comunicação em linha e também grandes empresas de publicidade como a Google e a Amazon utilizam o mecanismo para transmitir o suposto consentimento dos utilizadores para o processamento dos seus dados pessoais para fins publicitários.
Hielke Hijmans, Presidente da Câmara de Litígios da APD belga, afirma:
“As pessoas são convidadas a dar o seu consentimento, enquanto a maioria delas não sabe que os seus perfis estão a ser vendidos um grande número de vezes por dia a fim de os expor a anúncios personalizados. Embora diga respeito ao TCF, e não a todo o sistema de licitação em tempo real, a nossa decisão de hoje terá um grande impacto na protecção dos dados pessoais dos utilizadores da Internet. A encomenda deve ser restaurada no sistema TCF, para que os utilizadores possam recuperar o controlo sobre os seus dados”.
Mesmo que a decisão não afecte directamente todo o sistema de publicidade na Internet, terá um grande impacto na protecção dos dados pessoais dos utilizadores da web, diz Hijmans.
Porque é que a decisão é significativa?
As autoridades belgas de protecção de dados argumentam que não só os perfis publicitários são dados pessoais, mas também a cadeia TC - que é utilizada para anúncios direccionados - deve ser considerada dados pessoais. Esta cadeia de caracteres pode ser combinada com o endereço IP e, assim, tornar qualquer utilizador identificável.
Como consequência, o IAB Europa viola a GDPR com o protocolo TCF utilizado para gerar cordas TC. Além disso, o consentimento dado pelos utilizadores ao rastreio de dados (cookies) é ineficaz, uma vez que não existe um interesse legítimo suficiente por parte do proprietário do website para pedir tal consentimento em primeiro lugar.
As autoridades argumentam que o interesse legítimo dos utilizadores prevalece sobre o interesse legítimo das empresas de publicidade devido ao elevado risco associado à publicidade de licitação em tempo real baseada na localização.
Além disso, a informação fornecida aos utilizadores ao darem o seu consentimento era demasiado geral e vaga para que compreendessem a natureza e o âmbito do processamento dos seus dados, especialmente dada a complexidade da publicidade baseada no rastreio.
O que acontece a seguir?
A decisão não afecta imediatamente os editores ou empresas de marketing que utilizam publicidade baseada no rastreio.
Por enquanto, a decisão apenas afecta a associação publicitária IAB Europe como fornecedora do protocolo TCF.
Dois grandes desenvolvimentos podem ser esperados agora:
- Mais informações: A informação fornecida aos utilizadores antes de dar o consentimento será mais específica e menos vaga no futuro.
- Outra consequência desta decisão poderia ser que no futuro seria difícil para as empresas invocar um “interesse legítimo” como base jurídica para o processamento de dados. A única base jurídica possível seria então o consentimento do utilizador.
Primeira consequência? O novo botão “Rejeitar tudo” do Google
Um primeiro sinal de que as autoridades europeias estão a aplicar os direitos dos clientes de uma forma mais rigorosa é que o Google está finalmente a adicionar um botão “Rejeitar tudo” aos seus banners de cookies.
Até Abril de 2022 era muito complicado limitar o rastreio de cookies pelo Google devido a um botão ‘Rejeitar tudo’ que faltava.
Boas notícias para os fãs da privacidade
Para os utilizadores da Internet que valorizam a protecção de dados, a decisão da DPA belga de declarar ilegais os banners de cookies é muito boa notícia.
Em primeiro lugar, porque as empresas de tecnologia de publicidade terão de apagar os dados dos utilizadores que recolheram através do mecanismo TCF.
Em segundo lugar - e mais importante - a decisão das autoridades belgas de protecção de dados poderá levar a que todo o sistema de anúncios personalizados seja anulado.
Isto poderia finalmente pôr fim à publicidade direccionada.