Os banners de biscoitos são ilegais na Europa?

Parte central da faixa dos biscoitos declarada ilegal pela DPA belga.

Cookie banners illegal in Europe.

Toda a gente os conhece, toda a gente os odeia: bandeirolas de bolachas. Numa decisão histórica, a DPA belga declarou parte central do consentimento dado através de banners de biscoitos como ilegal e não compatível com a GDPR. Será que isto acabará finalmente com a irritante tarefa de clicar nos "cookies"?


Módulo central de mira e banner de cookies ilegais

A norma técnica utilizada pelas empresas de publicidade para recolher a autorização da GDPR online é ilegal. As consequências podem ser enormes - para os meios de comunicação, mas também para gigantes da indústria como o Google e a Amazon.

O que decidiu a DPA belga?

A autoridade belga de protecção de dados APD decidiu que um mecanismo central para banners de cookies viola o Regulamento Geral Europeu de Protecção de Dados (GDPR). A decisão foi tomada no chamado procedimento de balcão único. Isto significa que se aplica a toda a UE. O procedimento resulta de uma queixa do Conselho Irlandês para as Liberdades Civis e outras organizações europeias de direitos civis e pode ser potencialmente um enorme golpe para a indústria publicitária europeia.

Leia mais sobre a decisão aqui.

Golpe duro para a indústria de dados

”Esta tem sido uma longa batalha”, disse o Dr. Johnny Ryan do Conselho Irlandês para as Liberdades Civis. “A decisão de hoje liberta centenas de milhões de europeus do consentimento de spam, e o perigo mais profundo de as suas actividades mais íntimas em linha serem passadas por milhares de empresas”.

Como funciona o consentimento de cookies e a publicidade dirigida?

Consentimento dos cookies

A publicidade dirigida na Internet funciona desta forma (explicação simplificada): Cada visita a um sítio web utilizando o rastreio de cookies para publicidade direccionada desencadeia um leilão entre os fornecedores de publicidade. É tomada uma decisão em milissegundos sobre quais os anúncios que o utilizador verá com base no perfil do utilizador e alguns outros factores (= licitação em tempo real).

Licitações em tempo real

Para que este concurso em tempo real (RTB) funcione, as empresas de publicidade querem saber muito sobre a pessoa que actualmente navega no seu website: Idade, sexo, interesses, websites visitados, local de residência, poder de compra e muito mais. Estes dados são utilizados para mostrar o anúncio mais adequado, aquele em que o utilizador mais provavelmente irá clicar.

Leia aqui por que razão apelamos à proibição de anúncios direccionados.

Rastreamento sem consentimento?

No entanto, segundo a GDPR, tal rastreio só é permitido se o utilizador der o seu consentimento. O Quadro de Transparência e Consentimento (TCF) da Associação de Publicidade IAB Europa pede supostamente este consentimento: Se os utilizadores clicarem em “aceitarem cookies” ou não se opuserem a que a utilização dos seus dados seja do interesse legítimo do fornecedor, o TCF gera uma cadeia chamada TCF. Este identificador constitui a base para a criação de perfis individuais. Depois os perfis são utilizados para os comparar com os anúncios a serem exibidos. Ao fazê-lo, a cadeia de TC é enviada para centenas e centenas de parceiros no sistema OpenRTB.

Toda a indústria de anúncios (quando se fala de anúncios direccionados) é baseada na cadeia TC, o que a torna o padrão mais importante no ecossistema de publicidade online.

Como é que a decisão influencia a indústria publicitária?

Agora a APD belga decidiu que a partilha da cadeia de TC com centenas de parceiros viola o Regulamento Geral de Protecção de Dados. Segundo a autoridade supervisora, o sistema utilizado pelos anunciantes para recolher o consentimento para publicidade direccionada na Internet não respeita os princípios de legalidade e equidade.

No seu acórdão, a APD belga emitiu uma multa de 250.000 euros contra a associação publicitária IAB Europe, que desenvolve e opera o mecanismo TCF. Além disso, o IAB deve agora apagar os dados pessoais já recolhidos. Muito mais significativas, porém, são as condições que a APD está a impor à indústria publicitária para continuar a utilizar o Quadro de Transparência e Consentimento.

Milhares de operadores de websites, quase todos os meios de comunicação em linha e também grandes empresas de publicidade como a Google e a Amazon utilizam o mecanismo para transmitir o suposto consentimento dos utilizadores para o processamento dos seus dados pessoais para fins publicitários.

Hielke Hijmans, Presidente da Câmara de Litígios da APD belga, afirma:

“As pessoas são convidadas a dar o seu consentimento, enquanto a maioria delas não sabe que os seus perfis estão a ser vendidos um grande número de vezes por dia a fim de os expor a anúncios personalizados. Embora diga respeito ao TCF, e não a todo o sistema de licitação em tempo real, a nossa decisão de hoje terá um grande impacto na protecção dos dados pessoais dos utilizadores da Internet. A encomenda deve ser restaurada no sistema TCF, para que os utilizadores possam recuperar o controlo sobre os seus dados”.

Mesmo que a decisão não afecte directamente todo o sistema de publicidade na Internet, terá um grande impacto na protecção dos dados pessoais dos utilizadores da web, diz Hijmans.

Porque é que a decisão é significativa?

As autoridades belgas de protecção de dados argumentam que não só os perfis publicitários são dados pessoais, mas também a cadeia TC - que é utilizada para anúncios direccionados - deve ser considerada dados pessoais. Esta cadeia de caracteres pode ser combinada com o endereço IP e, assim, tornar qualquer utilizador identificável.

Como consequência, o IAB Europa viola a GDPR com o protocolo TCF utilizado para gerar cordas TC. Além disso, o consentimento dado pelos utilizadores ao rastreio de dados (cookies) é ineficaz, uma vez que não existe um interesse legítimo suficiente por parte do proprietário do website para pedir tal consentimento em primeiro lugar.

As autoridades argumentam que o interesse legítimo dos utilizadores prevalece sobre o interesse legítimo das empresas de publicidade devido ao elevado risco associado à publicidade de licitação em tempo real baseada na localização.

Além disso, a informação fornecida aos utilizadores ao darem o seu consentimento era demasiado geral e vaga para que compreendessem a natureza e o âmbito do processamento dos seus dados, especialmente dada a complexidade da publicidade baseada no rastreio.

O que acontece a seguir?

A decisão não afecta imediatamente os editores ou empresas de marketing que utilizam publicidade baseada no rastreio.

Por enquanto, a decisão apenas afecta a associação publicitária IAB Europe como fornecedora do protocolo TCF.

Dois grandes desenvolvimentos podem ser esperados agora:

  1. Mais informações: A informação fornecida aos utilizadores antes de dar o consentimento será mais específica e menos vaga no futuro.
  2. Outra consequência desta decisão poderia ser que no futuro seria difícil para as empresas invocar um “interesse legítimo” como base jurídica para o processamento de dados. A única base jurídica possível seria então o consentimento do utilizador.

Primeira consequência? O novo botão “Rejeitar tudo” do Google

Um primeiro sinal de que as autoridades europeias estão a aplicar os direitos dos clientes de uma forma mais rigorosa é que o Google está finalmente a adicionar um botão “Rejeitar tudo” aos seus banners de cookies.

ist das alte Google Cookie Banner illegal in Europa? Google fügt nun einen 'Alles ablehnen' Button hinzu. ist das alte Google Cookie Banner illegal in Europa? Google fügt nun einen 'Alles ablehnen' Button hinzu.

Até Abril de 2022 era muito complicado limitar o rastreio de cookies pelo Google devido a um botão ‘Rejeitar tudo’ que faltava.

Boas notícias para os fãs da privacidade

Para os utilizadores da Internet que valorizam a protecção de dados, a decisão da DPA belga de declarar ilegais os banners de cookies é muito boa notícia.

Em primeiro lugar, porque as empresas de tecnologia de publicidade terão de apagar os dados dos utilizadores que recolheram através do mecanismo TCF.

Em segundo lugar - e mais importante - a decisão das autoridades belgas de protecção de dados poderá levar a que todo o sistema de anúncios personalizados seja anulado.

Isto poderia finalmente pôr fim à publicidade direccionada.