A perspetiva da Cyber Academy
A Diretiva ePrivacy (2002/58/CE, alterada em 2009) é a «lei dos cookies» que toda a gente implementa a meias. Rege a confidencialidade das comunicações eletrónicas e as tecnologias de rastreamento em dispositivos de utilizadores. Mais antiga do que o GDPR e ainda em vigor; o Regulamento ePrivacy que deveria substituí-la está bloqueado em negociação desde 2017. As autoridades nacionais de proteção de dados (CNIL, Garante, AEPD) aplicam-na nos respetivos territórios.
O que a Diretiva ePrivacy realmente rege
A Diretiva ePrivacy (2002/58/CE, alterada pela 2009/136/CE) é mais conhecida como a «lei dos cookies», mas reduzi-la aos cookies faz perder a maior parte do seu peso. O seu verdadeiro objeto é a confidencialidade das comunicações eletrónicas e a proteção do equipamento terminal do utilizador. Ela determina que as comunicações e os dados de tráfego associados são confidenciais, que a interceção e a vigilância necessitam de uma base jurídica, e que armazenar ou ler informação no dispositivo de uma pessoa, seja um cookie, um pixel de rastreio, uma impressão digital ou um SDK, exige geralmente consentimento prévio. A parte do consentimento e do rastreio é a que a maioria das equipas implementa; a parte da confidencialidade é a cuja existência a maioria das equipas esquece.
É uma diretiva, não um regulamento. Essa distinção é a origem de metade da confusão na prática. Uma diretiva fixa o objetivo e deixa a cada Estado-Membro transpô-la para o direito nacional, pelo que a redação exata, o limiar de consentimento e o estilo de aplicação diferem de um país para outro. Em França, as disposições pertinentes constam do Code des postes et des communications électroniques, e a CNIL publica as suas próprias orientações e recomendações sobre cookies e rastreadores. Não existe um texto único à escala da União que se possa citar como se cita o GDPR.
ePrivacy a par do GDPR
Os dois instrumentos são complementares, não intercambiáveis. A Diretiva ePrivacy é lex specialis: onde estabelece uma regra específica, essa regra prevalece sobre a disposição mais geral do GDPR. O exemplo mais claro são os cookies e o armazenamento no dispositivo. O GDPR rege a forma como tratas os dados pessoais que recolhes; a ePrivacy rege o ato de aceder a informação no dispositivo ou de a armazenar nele, em primeiro lugar, e aplica-se mesmo quando não há dados pessoais envolvidos. Assim, um rastreador que deposita um identificador puramente técnico continua a recair sob a ePrivacy, mesmo que argumentasses que não é um dado pessoal nos termos do GDPR.
O consentimento ao abrigo da ePrivacy toma a sua definição do GDPR. Quando a ePrivacy exige consentimento, este tem de cumprir o padrão do GDPR: livre, específico, informado, inequívoco e tão fácil de retirar como de dar. É por isso que as caixas pré-assinaladas, os banners do tipo «ao continuar a navegar, aceita» e os muros de cookies que não oferecem uma escolha real continuam a reprovar no controlo das autoridades de supervisão. Os dois textos leem-se em conjunto.
O que os profissionais realmente fazem
No trabalho do dia a dia, a conformidade com a ePrivacy diz respeito sobretudo à camada de consentimento e ao inventário que a sustenta. O programa prático apresenta-se assim:
- Inventariar cada cookie, tag, pixel, SDK e script que lê do dispositivo ou nele escreve, e classificar cada um como estritamente necessário ou não. Apenas os estritamente necessários estão isentos de consentimento.
- Bloquear os rastreadores não essenciais até o utilizador ter dado o seu consentimento, em vez de os disparar no carregamento da página e perguntar depois. Uma plataforma de gestão do consentimento normalmente impõe isto.
- Tornar a recusa tão fluida quanto a aceitação, registar o consentimento e o seu âmbito, e oferecer uma forma simples de o retirar mais tarde.
- Manter também à vista as obrigações de confidencialidade: o marketing direto por correio eletrónico ou SMS necessita geralmente de consentimento prévio (opt-in), com uma exceção estreita para os clientes existentes em produtos semelhantes.
A aplicação é nacional. Como não existe um regulador central da UE para a ePrivacy, cada autoridade de proteção de dados fiscaliza o seu próprio território. A CNIL em França, o Garante em Itália e a AEPD em Espanha emitem cada uma orientações, conduzem auditorias e impõem sanções ao abrigo das suas transposições nacionais. Isso significa que um site pan-europeu não pode presumir que um único banner satisfaz toda a gente; a abordagem segura é cumprir a interpretação mais estrita entre os mercados que serves e documentar as escolhas que fizeste.
Frequently asked questions
01A Diretiva ePrivacy é o mesmo que a lei dos cookies?
É a origem das regras sobre cookies, mas é mais ampla do que os cookies. Protege também a confidencialidade das comunicações eletrónicas e dos dados de tráfego, e rege qualquer armazenamento de informação no dispositivo de um utilizador ou acesso a ela, não apenas os cookies.
02Aos cookies aplica-se a ePrivacy ou o GDPR?
Ambos, em camadas. A ePrivacy é lex specialis e rege o ato de colocar ou ler um cookie no dispositivo, incluindo quando não há dados pessoais envolvidos. O GDPR rege depois a forma como tratas quaisquer dados pessoais que recolhas através dele, e fornece a definição de consentimento válido.
03O Regulamento ePrivacy já substituiu a diretiva?
Não. O Regulamento ePrivacy proposto está em negociação desde 2017 e não foi adotado. A diretiva de 2002, conforme alterada em 2009 e transposta para o direito nacional, continua a ser o texto em vigor.
04Quem faz cumprir a Diretiva ePrivacy?
As autoridades nacionais de proteção de dados fazem-na cumprir no seu próprio território ao abrigo da transposição do respetivo país. Em França é a CNIL; em Itália o Garante; em Espanha a AEPD. Não existe um regulador único à escala da União para tal.
05Que cookies não necessitam de consentimento?
Apenas os estritamente necessários para fornecer um serviço explicitamente solicitado pelo utilizador, como manter um cesto de compras ou conservar uma sessão de início de sessão. Os cookies de análise, publicidade e rastreio por terceiros exigem consentimento prévio.