Regulamento Alemão de Gestão Central de Consentimento

Mas como funciona este novo regulamento? Quais são as suas vantagens e desvantagens? É prático para os proprietários de websites? E, acima de tudo, vai realmente reduzir a avalanche de banners de cookies que frustra os utilizadores e complica a conformidade das empresas?

Fundamentos: O Que É o Sistema Central de Gestão de Consentimento?

"O sistema central de gestão de consentimento visa reduzir o número de pedidos de consentimento e oferecer uma solução mais simples para os utilizadores finais." (Fonte - Nota: o original está em alemão. Traduzimos o texto.)

O sistema central de gestão de consentimento permite aos utilizadores guardar as suas preferências de cookies num único serviço centralizado. Os websites que integram este serviço podem consultar e aplicar essas preferências sem necessidade de apresentar banners de cookies individuais em cada visita. Em teoria, é um "win-win": menos banners para os utilizadores e conformidade com o RGPD mais fácil para as empresas.

A base legal deste regulamento é o § 25 da Lei de Proteção de Dados de Telecomunicações e Telemedia (TTDSG). De acordo com esta lei, cookies e tecnologias semelhantes só podem ser definidos com o consentimento do utilizador, a menos que sejam tecnicamente necessários. O sistema central de gestão de consentimento foi concebido para padronizar e simplificar este processo, abordando tanto a frustração dos utilizadores como os desafios de conformidade para os proprietários de websites.

Contexto: Porque Está a Alemanha a Introduzir Este Regulamento?

A EinwV faz parte dos esforços da Alemanha para melhorar a conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia e o seu equivalente nacional para telecomunicações, a Lei de Proteção de Dados de Telecomunicações e Telemedia (TTDSG).

Ao abrigo destas leis, os websites devem obter o consentimento explícito do utilizador para cookies e tecnologias de tracking, exceto cookies estritamente necessários para o funcionamento do website. Isto levou à adoção generalizada de banners de cookies, que criaram uma má experiência do utilizador e confusão sobre a gestão do consentimento.

A EinwV introduz um sistema centralizado de gestão de consentimento, permitindo aos utilizadores guardar as suas preferências de cookies num único local. Os websites participantes podem então consultar e aplicar essas preferências automaticamente, sem necessidade de banners de consentimento repetitivos.

Este regulamento aplica-se apenas na Alemanha e é independente de iniciativas mais amplas da UE, como a proposta de Regulamento ePrivacy, que procura unificar as leis de cookies em toda a Europa. Os proprietários de websites internacionais devem ter em conta que este sistema não é obrigatório e que a sua implementação está atualmente limitada a utilizadores e empresas alemães.

A Nossa Experiência e Perspetiva sobre Gestão de Consentimento

Abordamos o tema da gestão de consentimento e da privacidade de dados de uma perspetiva diferente. Enquanto muitas soluções se focam em adicionar mais complexidade — como serviços centralizados de consentimento — nós fizemos uma pergunta simples: Não haverá uma forma mais fácil?

A nossa resposta foi criar uma solução que elimina por completo a necessidade de cookies e banners de consentimento complicados. Em vez de sobrecarregar a experiência do utilizador com mais camadas, optámos por uma abordagem que evita o processamento de dados por completo. É por isso que permanecemos céticos quanto à capacidade dos serviços centralizados de consentimento de resolver verdadeiramente o problema central. A nossa experiência mostra que sistemas de privacidade de dados excessivamente complexos levam frequentemente a maior frustração dos utilizadores e a mais esforço para as empresas.

Em vez de alojares os teus vídeos no YouTube, Vimeo ou Wistia, podes alojá-los connosco — dispensando completamente a necessidade de gestão de consentimento. Não é apenas mais simples; também te dá muito mais flexibilidade no design do teu website. Funcionalidades como vídeos em autoplay? Sem problema nenhum. Explora as funcionalidades que oferecemos e vê como podem transformar a tua experiência de hosting de vídeo.

Quais São as Vantagens da Gestão Central de Consentimento para as Empresas?

1. Redução do Esforço Técnico Ao recorrer a um serviço central de consentimento, as empresas podem minimizar os recursos necessários para implementar e manter banners de cookies individuais. Isto é especialmente benéfico para pequenas e médias empresas que podem não ter capacidade para soluções complexas de privacidade de dados.
2. Melhoria da Experiência do Utilizador (UX) Menos banners de cookies intrusivos resultam numa experiência mais fluida, o que pode ter um impacto positivo nas métricas de tempo no site e nas taxas de conversão. Uma navegação mais fluida ajuda a reter utilizadores e melhora o engagement geral.
3. Padrões Unificados A gestão central de consentimento introduz um enquadramento padronizado para obter o consentimento dos utilizadores. Isto simplifica a conformidade com o RGPD e reduz o risco de problemas legais associados a mecanismos de consentimento inconsistentes ou não conformes. Esta abordagem unificada não só beneficia as empresas como também reforça a confiança dos utilizadores, oferecendo práticas de privacidade claras e consistentes.

Como Funciona na Prática?

O sistema central de gestão de consentimento permite aos utilizadores guardar as suas preferências de cookies num serviço centralizado, que partilha esses dados com os websites participantes. Na prática, este processo é semelhante à integração de um banner de cookies utilizando uma Consent Management Platform (CMP). As empresas selecionam um fornecedor central de consentimento, integram-no no seu site e deixam o sistema gerir as preferências de cookies. Eis como o processo funciona passo a passo:

1. Integração de um "Serviço Central de Consentimento" Certificado

• Seleciona um serviço central de consentimento certificado ao abrigo do novo regulamento.
• Integra o serviço no teu website através de um Software Development Kit (SDK) ou plugin.
• A implementação é semelhante às CMPs existentes, com o serviço incorporado no script do header do teu site para controlar todos os cookies e scripts.

2. Consulta dos Dados do Utilizador pelo Serviço

Quando um utilizador visita o website, o serviço central de consentimento verifica, utilizando um Browser ID ou outro identificador único, se as preferências já foram guardadas.

• Se as preferências existirem:
  • O serviço informa o website sobre quais cookies e scripts são permitidos.
  • Apenas os scripts aprovados (p. ex., Google Analytics ou YouTube) são ativados.
• Se as preferências não existirem:
  • O website solicita ao utilizador que defina as suas preferências através do serviço central de consentimento.
  • Uma vez guardadas, estas preferências são aplicadas automaticamente em visitas futuras.

3. Ajuste do Conteúdo do Website

Com base nas preferências guardadas:

• Conteúdo Permitido: Cookies e scripts aprovados (p. ex., vídeos ou ferramentas de tracking) são ativados automaticamente.
• Conteúdo Bloqueado: Os utilizadores veem mensagens alternativas, como: "Este vídeo está bloqueado porque os cookies não foram ativados."

Os utilizadores podem modificar as suas preferências diretamente através do serviço central ou de uma interface integrada no teu site.

4. Documentação e Rastreabilidade

O serviço central regista toda a atividade de consentimento, incluindo:

• Timestamp do consentimento.
• Origem do consentimento (p. ex., o website inicial onde as preferências foram definidas).
• Duração da validade do consentimento.

As empresas podem aceder a estes dados através de um dashboard para demonstrar conformidade. No entanto, para manter a privacidade dos utilizadores, as empresas não podem ver detalhes sobre outros websites onde as preferências do utilizador foram registadas.

Que requisitos deve cumprir um serviço central de consentimento?

Para que um serviço central de consentimento seja certificado ao abrigo da nova regulamentação, tem de cumprir critérios específicos em três áreas-chave: conformidade legal, normas técnicas e funcionalidade. Estes requisitos garantem que o serviço protege os direitos dos utilizadores, proporciona segurança de dados fiável e se integra facilmente com as tecnologias existentes.

1. Requisitos legais

O serviço deve cumprir normas legais rigorosas para garantir os direitos dos utilizadores e a conformidade com os princípios do RGPD.

Requisitos principais:

• Consentimento voluntário e informado:
  • O consentimento deve ser dado de forma livre, específica e informada.
  • Os utilizadores não podem ser influenciados através de design manipulador (p. ex., nudging) ou coerção.
• Direito de revogação e transparência:
  • Os utilizadores devem poder revogar ou modificar o seu consentimento a qualquer momento.
  • O serviço deve tornar estas opções claras e facilmente acessíveis.

Referência regulamentar: "Os serviços centrais de consentimento [...] são obrigados a proteger os direitos dos utilizadores finais de forma transparente e a permitir-lhes tomar uma decisão livre." (BT-Drs. 20/12718, p. 4 - Nota: o original está em alemão. Traduzimos o texto.)

2. Requisitos técnicos

Os serviços de consentimento certificados devem manter os mais elevados padrões de segurança de dados e fiabilidade técnica.

Requisitos principais:

• Segurança de dados:
  • Os dados dos utilizadores devem ser encriptados e protegidos contra acessos não autorizados.
  • O serviço deve cumprir os princípios de privacy-by-design, minimizando a quantidade de dados recolhidos.

• Alta disponibilidade:
  • O serviço deve ser fiável e oferecer respostas de baixa latência, uma vez que os websites consultam o serviço em cada visita.

• Capacidades de integração:
  • O serviço deve suportar todas as principais plataformas e ferramentas de terceiros (p. ex., Google Analytics, YouTube) para garantir ampla compatibilidade.

Referência regulamentar: "Os serviços certificados devem garantir que os dados são protegidos contra acessos não autorizados e que a conformidade com as regulamentações de proteção de dados é permanentemente assegurada." (BT-Drs. 20/12718, p. 6 - Nota: o original está em alemão. Traduzimos o texto.)

3. Requisitos funcionais

Para além da conformidade legal e técnica, os serviços centrais de consentimento devem satisfazer necessidades funcionais para simplificar a implementação para as empresas e a usabilidade para os utilizadores finais.

Funcionalidades principais:

• Interoperabilidade: O serviço deve integrar-se perfeitamente com os sistemas de gestão de consentimento e arquiteturas de websites existentes.
• Acessibilidade para o utilizador: As interfaces devem ser intuitivas, permitindo aos utilizadores gerir as suas preferências facilmente.

• Registo abrangente: O serviço deve documentar a atividade de consentimento (p. ex., timestamp, origem do consentimento e validade) para rastreabilidade e auditoria de conformidade.

Teste à realidade: quantos banners a menos são realisticamente possíveis?

O objetivo principal da Regulamentação Central de Gestão de Consentimento (EinwV) é reduzir o número de banners de cookies intrusivos. No entanto, a implementação prática levanta questões significativas sobre a sua eficácia. Embora a intenção seja clara, uma análise mais atenta das realidades revela por que a redução de banners poderá continuar a ser limitada.

1. Cookies tecnicamente necessários já estão isentos

Websites que utilizam apenas cookies tecnicamente necessários já não precisam de banners de cookies. Exemplos incluem:

• Websites corporativos sem tracking baseado no utilizador ou ferramentas de marketing.
• Sites de e-commerce que utilizam cookies apenas para carrinhos de compras ou gestão de sessão.

Para estes casos, o sistema central de gestão de consentimento não oferece qualquer valor acrescentado, uma vez que nenhum banner é necessário à partida. O nosso website, por exemplo, demonstra este princípio: viste um banner de cookies ao aceder a este artigo? Provavelmente não. Para empresas que levam a privacidade dos utilizadores a sério, a nova regulamentação não é uma necessidade.

2. A participação é voluntária

De acordo com a regulamentação, os websites não são obrigados a implementar um sistema central de gestão de consentimento:

"A integração de serviços de gestão de consentimento pelos operadores de websites é voluntária (§ 18 para. 1 EinwV)." (Fonte: Autoridade de Proteção de Dados da Baixa Saxónia - Nota: o original está em alemão, traduzimos a citação)

Esta natureza voluntária cria vários desafios:

• Controlo estratégico dos dados: Algumas empresas podem preferir os seus próprios banners de consentimento para manter o controlo sobre os dados dos utilizadores.
• Preocupações com custos: Implementar um sistema central envolve ajustes técnicos e despesas adicionais.
• Requisitos internacionais: Empresas com alcance global podem necessitar de alternativas para conformidade em diferentes jurisdições.

Sem uma adoção generalizada, o impacto do sistema permanecerá provavelmente limitado a um pequeno círculo de participantes.

3. Serviços de terceiros complicam a implementação

A maioria dos websites depende de múltiplas ferramentas de terceiros, como YouTube, Google Analytics ou HubSpot. Estas ferramentas frequentemente requerem configurações de consentimento individuais.

Mesmo que os utilizadores aceitem o sistema central, estas preferências têm de corresponder com precisão às ferramentas utilizadas pelo website.

Exemplo:

• Um utilizador consente o Google Analytics mas recusa o HubSpot.
• Os websites frequentemente têm combinações únicas de 30–50 serviços de terceiros, tornando improvável que as preferências pré-definidas estejam perfeitamente alinhadas.

Como resultado, as empresas podem continuar a precisar de banners de cookies para lidar com serviços que não se enquadram no sistema central.

4. Comportamento do utilizador: um desafio fundamental

Para que o sistema funcione, os utilizadores devem guardar ativamente as suas preferências. No entanto, os padrões de comportamento sugerem desafios:

• Comportamento "Aceitar tudo":
  • Isto pode ser conveniente para as empresas, mas contradiz o objetivo do RGPD de consentimento informado.
  • Muitos utilizadores clicam em "Aceitar tudo" para contornar os banners sem compreender as definições.
• Atualizações raras de preferências:
  • Os utilizadores raramente revisitam e atualizam as suas definições, o que significa que as preferências guardadas podem ficar desatualizadas.
  • Quando isso acontece, os banners podem reaparecer, anulando os benefícios do consentimento central.

5. Diferenças nacionais na regulamentação

O sistema central de consentimento aplica-se apenas na Alemanha, criando desafios para websites internacionais:

"Quando os utilizadores atravessam a 'fronteira' virtual na internet, as regulamentações existentes aplicam-se. Para websites com orientação internacional, isto significa que seriam necessários ajustes diferenciados." (Fonte: IITR - Nota: o original está em alemão, traduzimos a citação)

Problemas principais:

• Em países como a França, onde a CNIL aplica regras mais rigorosas de consentimento de cookies, os banners continuam a ser obrigatórios.
• Os websites internacionais devem optar por uma de duas vias:

Na prática, a maioria das empresas poderá optar pelas últimas opções, limitando ainda mais o impacto da regulamentação.

6. Âmbito limitado: TTDSG vs. RGPD

Uma crítica significativa é o âmbito restrito da regulamentação:

"Os serviços de gestão de consentimento abrangem apenas consentimentos ao abrigo do § 25 TTDSG, não consentimentos exigidos pelo RGPD. Como resultado, os serviços não simplificam a gestão de consentimentos." (Fonte: Autoridade de Proteção de Dados da Baixa Saxónia - Nota: o original está em alemão, traduzimos a citação)

O TTDSG regula consentimentos específicos da tecnologia (p. ex., definir cookies), enquanto o RGPD regula consentimentos específicos dos dados (p. ex., processamento dos dados recolhidos).

Exemplo:

Usas o Google Analytics no teu site.

• Requisito TTDSG: É necessário consentimento para armazenar um cookie de tracking no dispositivo do utilizador
• Requisito RGPD: É necessário consentimento para processar os dados (p. ex., endereço IP, comportamento) recolhidos pelo cookie.

O sistema central aborda o requisito do TTDSG mas deixa o requisito do RGPD intocado, obrigando as empresas a gerir dois sistemas separados.

7. E agora? O RGPD já é mal implementado...

Vejamos um dos pontos mais importantes da regulamentação:

"Os serviços centrais de gestão de consentimento [...] são obrigados a proteger os direitos dos utilizadores finais de forma transparente e a permitir-lhes tomar uma decisão livre." (Fonte: BT-Drs. 20/12718, p. 4 - Nota: o original está em alemão, traduzimos a citação)

Olhando para o estado atual, vários anos após a introdução do RGPD, a situação pode ser descrita como uma confusão mais ou menos generalizada. Por um lado, há websites que fazem tudo corretamente. Por outro, estudos mostram que muitos websites ainda não estão conformes com o RGPD (Fonte: arXiv.org).

"O principal problema é que os fornecedores de serviços digitais não são obrigados a aceitar as decisões dos utilizadores tomadas através de serviços de gestão de consentimento (§ 19 EinwV). Se os utilizadores recusarem o consentimento, os fornecedores podem solicitá-lo repetidamente quantas vezes quiserem. Isto pressiona os utilizadores a darem o seu consentimento. Isto é inaceitável, contradiz os requisitos do RGPD e remove o incentivo para os utilizadores usarem serviços de gestão de consentimento. A regulamentação deve estipular que os fornecedores de serviços digitais respeitem as decisões dos utilizadores." (Fonte: DATEV Magazin - Nota: o original está em alemão, traduzimos a citação)

Os maiores problemas da gestão de consentimento atualmente

• Serviços mal classificados Repetidamente, por ignorância ou deliberadamente, serviços são colocados na categoria de "cookies necessários" e não podem ser rejeitados. Nestes casos, o consentimento obtido é inválido. Por exemplo, o Google Analytics exige claramente consentimento, tal como o YouTube, Vimeo e outros serviços de hosting de vídeo (mesmo nas suas variantes "NoCookie"), bem como o Google reCAPTCHA.

• Dark Patterns – Banners de cookies enganadores Muitos websites desenham os seus banners de cookies de forma a destacar o botão "aceitar" enquanto escondem ou dificultam a localização da opção "rejeitar". Estes "dark patterns" têm como objetivo manipular os utilizadores para darem consentimento e foram considerados ilegais pelas autoridades de proteção de dados.

"Examinámos os 100 websites mais visitados do país à procura de dark patterns e descobrimos que quatro em cada cinco utilizam banners de cookies manipuladores." (Fonte: Netzpolitik.org - Nota: o original está em alemão, traduzimos a citação)

• Nudging Algumas empresas bombardeiam os seus visitantes com banners de cookies tão frequente e persistentemente que os utilizadores acabam por ceder e dar consentimento. Isto acontece, por exemplo, quando websites ou apps pedem novamente o consentimento em cada nova visita e não guardam as rejeições.

• Modelos "Pay or OK" Alguns portais de notícias, como o SPIEGEL, utilizam modelos em que os utilizadores têm de consentir o processamento de dados ou comprar uma subscrição. Esta abordagem tem sido criticada por organizações de privacidade como a noyb e é atualmente objeto de disputas legais. (Fonte: noyb)
• Consentimento automático por scrolling Certos websites interpretam ações como fazer scroll ou simplesmente permanecer na página como consentimento do utilizador para o processamento de dados, sem o obter explicitamente. Esta prática viola os requisitos do RGPD relativamente a consentimento informado e voluntário. (Fonte: Usercentrics)

8. Ok, e porque é que isto me interessa?

Porque tu, e não o serviço central de consentimento, serás responsabilizado. Se a tua implementação não estiver em conformidade, é o teu negócio que enfrenta os riscos legais e financeiros.

Conclusão: Bom...

O Comissário para a Proteção de Dados da Baixa Saxónia resume a situação na perfeição:

"O LfD Niedersachsen assume que as práticas atuais relativas ao consentimento em websites infelizmente mudarão muito pouco, e os utilizadores continuarão a ser incomodados pelos pedidos de consentimento apresentados." (Fonte: Autoridade de Proteção de Dados da Baixa Saxónia Nota: o original está em alemão, traduzimos a citação)

A nova regulamentação sobre gestão central de consentimento é bem-intencionada, mas levanta sérias preocupações quanto à sua eficácia e implementação prática.

"Aliás, a questão dos banners de consentimento incómodos poderia ser facilmente resolvida sem introduzir serviços de gestão de consentimento. Os operadores de websites simplesmente teriam de conceber os seus websites de forma consistentemente amiga da privacidade — por exemplo, evitando serviços de terceiros e cookies, especialmente para marketing digital excessivo e imprevisível. Além disso, muitos banners de consentimento são tão intrusivos porque os utilizadores não conseguem simplesmente 'fechá-los'." (Fonte: Autoridade de Proteção de Dados da Baixa Saxónia Nota: o original está em alemão, traduzimos a citação)

A nossa perspetiva

Em vez de desenvolver mais uma solução alemã complexa que deixa tantas questões sem resposta na prática, porque não focar em eliminar o problema por completo?

É precisamente por isso que reinventámos o hosting de vídeo com uma mentalidade Privacy First:

• Hosting de última geração sem requisitos de consentimento e sem tracking de utilizadores.
• Vídeos que reproduzem para todos os visitantes — sem gestão de consentimento, sem overlays e sem dados enviados para os EUA.

Vamos resolver o problema na raiz em vez de construir ainda mais frameworks complicadas à volta dele.