Entrevista com especialista sobre o Regulamento dos Cookies: "Bem-intencionado, mas mal executado"

MAS ainda tínhamos algumas questões pendentes. Estaremos a ser demasiado críticos porque naturalmente abordamos o tema de um ângulo diferente? Se dependesse de nós, não optaríamos por uma solução exclusivamente alemã; em vez disso, apontaríamos para soluções onde o problema simplesmente não surge. No nosso contexto, isso significa alojamento de vídeo completamente sem necessidade de consentimento e cookies, pensado para a Europa.

Para esclarecer as nossas dúvidas, consultámos o Dr. jur. Thomas Schwenke, LL.M. (UoA). Thomas é um advogado alemão e especialista em proteção de dados que assessora empresas em marketing e utilização de IA. Também apresenta um podcast em Rechtsbelehrung.com e disponibiliza uma ferramenta popular para criar declarações de proteção de dados e diretrizes de IA em Datenschutz-Generator.de.

Teaser: Infelizmente, a nossa opinião sobre a gestão central de consentimento não melhorou, como Thomas conclui:

"[...] O Regulamento dos Cookies é um bom exemplo da abordagem 'bem-intencionada, mas mal executada'. Parece que os autores ignoraram que as regras para o consentimento são impostas pela UE. Portanto, uma simplificação eficiente do consentimento de cookies só pode ter sucesso ao nível da UE.[...]" (Nota: esta citação foi traduzida)

As nossas principais questões focaram-se em:

• o âmbito de aplicação da gestão de consentimento,
• a sua aplicabilidade internacional, dado que poucos websites operam exclusivamente na Alemanha,
• e questões de responsabilidade na prática, especialmente porque um número significativo de websites continua a não cumprir o RGPD até hoje.

Abordámos cada uma destas questões com exemplos práticos. Encontras as respostas na nossa entrevista com Thomas.

Entrevista: Com Thomas Schwenke sobre a Gestão Central de Consentimento

Olá Thomas, vamos diretos à primeira pergunta.

Tema #1: Âmbito Limitado da Gestão de Consentimento

Os críticos argumentam que a gestão central de consentimento abrange apenas o âmbito do § 25 TDDSG. Muitos consentimentos, como os exigidos para o tratamento de dados pessoais ao abrigo do RGPD, não são contemplados.

Exemplo:

• Uso o Google Analytics no meu website. O § 25 TDDSG (relativo à tecnologia) regula que posso armazenar um cookie de tracking no dispositivo do utilizador – para o qual preciso de consentimento.
• No entanto, o que o § 25 TDDSG não regula é o tratamento dos dados recolhidos através desse cookie. Isto inclui o endereço IP e o comportamento de utilização. Estes dados só podem ser tratados de acordo com os requisitos do RGPD (relativo aos dados), o que exige um consentimento separado.

Para as empresas, isto significa que devem continuar a operar sistemas paralelos? Como podem as regulamentações do TDDSG e do RGPD ser combinadas de forma sensata na prática?

"É possível obter múltiplos consentimentos com um único clique, por exemplo, ao clicar no botão 'Aceitar todos os cookies'. Isto já acontece em todos os cookie banners atualmente. Isto significa que um sistema que recolhe consentimentos centrais ao abrigo do TDDSG também pode recolher consentimentos ao abrigo do RGPD. No entanto, é importante que os utilizadores sejam informados sobre o âmbito do seu consentimento e que este serve também outros operadores de websites.

Outra questão, porém, é se é admissível declarar um consentimento que afeta todos os operadores de websites, como a EinwV pretende. Isto raia um consentimento genérico, que por sua vez não é permitido pelo RGPD. Isto significa que não é certo que a EinwV seja legalmente admissível ao abrigo do direito da UE." (Nota: esta citação foi traduzida)

Tema #2: Questões de Responsabilidade com Erros no Serviço Central

Segundo estudos, 54% dos websites (fonte) não estão implementados em conformidade com o RGPD. Quando um operador de website utiliza o serviço central de consentimento alemão, e este falha noutro website, não fica claro quem é responsável.

Exemplo:

1. Outro website armazena um consentimento incorreto do utilizador porque um serviço está erroneamente categorizado como "essencial", e eu, como operador do website, não consigo rastrear nem ver isso.

Quem é legalmente responsável nestes casos? Como podem as empresas proteger-se ao utilizar serviços centrais de consentimento?

"A responsabilidade pela proteção de dados dos serviços integrados no website é do fornecedor do website. A regulamentação alemã não prevê qualquer alívio que isente o operador do website de responsabilidade. Isto significa que, se opera um sistema externo, o fornecedor do website só pode reclamar garantias ao fornecedor do serviço. Uma vez que a "EinwV" estipula que os fornecedores de 'serviços de gestão de consentimento reconhecidos' não devem ter interesse económico nos dados dos utilizadores, estes teriam de desenvolver um modelo de negócio diferente para oferecer tal garantia.

Alternativamente, a responsabilidade teria de ser excluída, o que é juridicamente problemático e dificilmente aumentará a confiança dos operadores de websites num tal sistema." (Nota: esta citação foi traduzida)

Tema #3: Complexidade da Conformidade com o RGPD

O RGPD exige que os consentimentos sejam "voluntários, específicos e informados". Assegurar isto é igualmente crucial ao utilizar um serviço central. Na prática, existe uma grande variedade de banners de consentimento, alguns dos quais são juridicamente controversos. Até à data, não existe uma solução universal.

Exemplo: Imaginemos que o consentimento é obtido através de um banner "Pay-or-Okay" juridicamente controverso, como muitos meios de comunicação utilizam, resultando em taxas de consentimento quase universais. Eu uso o mesmo serviço no meu website B2B ...

Quais são os maiores desafios que vês na ponte entre os requisitos legais e a implementação prática? Deverão continuar a existir diferentes versões destes banners de consentimento?

"O principal desafio reside na adoção do consentimento centralizado. Dado que se trata de uma lei local alemã, é improvável que os fornecedores de browsers a integrem voluntariamente. Além disso, aplicam-se os desincentivos para fornecedores comerciais mencionados na Pergunta 2. Uma complicação adicional é que o consentimento deve ser aplicável a cada serviço específico, à sua versão correta e às configurações escolhidas. Esta complexidade torna-o arriscado para os operadores de websites, que podem ser responsabilizados por quaisquer consentimentos inválidos.

No entanto, relativamente ao exemplo mencionado, um banner 'Consent-or-Pay' não é inerentemente ilegal. A sua legalidade depende significativamente de como é concebido."

Tema #4: Desafios Internacionais

A regulamentação é aplicável apenas na Alemanha, enquanto outros países da UE podem ter as suas próprias regras, muitas vezes mais rigorosas, para cookie banners. Isto coloca desafios às empresas com operações internacionais que tentam criar soluções uniformes.

Exemplo:

• Tenho um website em alemão e francês. Em França, não existe um sistema de recolha central.

Como podem as empresas gerir estas diferenças regionais?

"As empresas têm a opção de cumprir as regulamentações mais rigorosas dentro da UE ou desenvolver soluções de cookies adaptadas para diferentes países. A maioria das empresas opta pela primeira abordagem. Embora o consentimento para a utilização de cookies seja regulado de forma uniforme em toda a UE, há pouca margem para os Estados-Membros divergirem em termos de facilitar ou dificultar o processo de obtenção deste consentimento. A EinwV alemã é um exemplo paradigmático das dificuldades em divergir das regras da UE." (Nota: esta citação foi traduzida)

Tema #4: Quão Realista é a Regulamentação?

Com base nas tuas respostas anteriores e nas críticas gerais, a tua conclusão não parece muito positiva. O que nos leva à pergunta final:

O objetivo da regulamentação é realista, ou conduz a mais complexidade para empresas e utilizadores?

"O Regulamento dos Cookies é um bom exemplo da abordagem 'bem-intencionada, mas mal executada'. Parece que os autores ignoraram que as regras para o consentimento são impostas pela UE. Portanto, uma simplificação eficiente do consentimento de cookies só pode ter sucesso ao nível da UE.

O Regulamento dos Cookies alemão poderia, na melhor das hipóteses, servir como proposta para o que tal simplificação poderia parecer ao nível da UE. Na prática, a implementação do Regulamento dos Cookies alemão apenas proporcionaria alívio aos utilizadores que estão geralmente dispostos a dar consentimento de forma generosa. Os utilizadores que recusam poderiam, por outro lado, enfrentar ainda mais confusão devido a diferentes procedimentos de cookies. Por frustração, isto poderia levá-los a eventualmente clicar em 'Aceitar Todos'.

Existe um risco significativo de que a EinwV, do ponto de vista da proteção do consumidor, possa acabar por causar mais mal do que bem." (Nota: esta citação foi traduzida)

Obrigado pelas tuas respostas às nossas perguntas, Thomas!

Para quem tiver interesse, podes consultar a nossa apresentação geral da EinwV. Mais sobre o Dr. jur. Thomas Schwenke encontras aqui: