Conformidade GDPR: bases legais para coletar dados pessoais

Com o GDPR, os identificadores técnicos, como cookies, passarão a ser considerados dados pessoais. Conheça a base legal para a coleta desses dados.
Atualizado em Janeiro 6, 2021

Por Guillaume Marcerou, Criteo Global Privacy Director

O Regulamento Europeu de Proteção de Dados, o GDPR (General Data Protection Regulation) entrará em vigor em maio de 2018. No que se refere ao setor de marketing digital, um dos assuntos mais discutidos é que os identificadores técnicos, como Cookies e IDs de Publicidade Mobile (IDFA e GAID), agora são considerados dados pessoais. Essa nova determinação talvez pegue de surpresa muitas empresas sediadas nos EUA sujeitas ao regulamento, mas não é novidade para muitos países da União Europeia, incluindo a França. A única diferença é que, agora, todos os países membros da UE deverão tratar os Cookies e outros identificadores técnicos como dados pessoais.

Para saber mais sobre como o GDPR define dados pessoais e consentimento, clique aqui.

O que isso significa e como sua empresa será afetada?

O GDPR estipula seis bases legais para a coleta e o processamento de dados na Europa. Assim, ao coletar dados pessoais, de quaisquer tipos, você deverá apoiar-se em uma base legal:

  1. O interesse vital do indivíduo
  2. O interesse público
  3. Necessidade contratual
  4. Conformidade com obrigações legais
  5. Consentimento inequívoco do indivíduo
  6. Interesse legítimo do controlador de dados

Todas essas seis bases legais têm o mesmo peso, o que significa que todas são autossuficientes e independentes uma em relação a outra. As empresas que atuam no setor de marketing ou de marketing digital, ou aqueles que coletam dados para fins de marketing, poderão estar sujeitos a duas bases legais: (1) consentimento inequívoco do indivíduo e (2) interesse legítimo do controlador de dados.

Qual dessas bases permitiria a uma empresa coletar dados pessoais na forma de identificadores técnicos (Cookies, IDs Mobile, etc.)?

A Criteo entende que o consentimento inequívoco é a base que mais se aplica aos nossos clientes e parceiros que coletam dados pessoais, incluindo identificadores técnicos. 

O que significa ter o “consentimento inequívoco do indivíduo”? Como isso se aplica aos identificadores técnicos de coleta online, como os cookies?

Primeiro, devemos fazer uma distinção entre consentimento inequívoco e consentimento explícito. Consentimento explícito significa que o usuário deve fazer opt-in para dados pessoais sensíveis, como raça, religião, orientação sexual, afiliação política e estado de saúde. Os identificadores online (como os cookies) são categorizados como dados pessoais não sensíveis. Nesse caso, não é necessário o opt-in explícito.

Antecipamos que as regras sobre consentimento inequívoco terão como base posições existentes das Autoridades de Proteção de Dados (APDs) de cada país membro da União Europeia. Por exemplo, a APD da Espanha1., uma das mais rígidas da Europa, recentemente publicou diretrizes sobre o GDPR e declarou que o consentimento pode ser inequívoco quando deduzido da ação do usuário. Para isso, cita o caso específico de um indivíduo que continua a navegar em determinado site mesmo sabendo que esse site usa cookies para monitorar o comportamento do usuário.

Os clientes e publishers parceiros da Criteo não processam dados sensíveis. Pelo contrário, eles trabalham com dados vinculados a identificadores técnicos anônimos, relativos à navegação na web, à intenção de compras e ao histórico do consumidor.

(Saiba mais sobre os tipos de dados que a Criteo coleta e como o GDPR impacta nossos métodos.)

As condições exigidas pelo GDPR para consentimento inequívoco válido são muito semelhantes, senão idênticas, àquelas já detalhadas pelo Grupo de Trabalho do Artigo 29 para a Proteção de Dados da Comissão Europeia em um parecer anterior2:

  • Informações específicas: “Para ser válido, o consentimento deve ser específico e apoiar-se nas informações apropriadas fornecidas ao indivíduo. Em outras palavras, o consentimento geral, sem especificar a finalidade exata do processamento de dados, não é aceitável.”
  • Timing: “Como regra geral, o consentimento deve ser dado antes que o processamento de dados seja iniciado.”
  • Escolha ativa: “O consentimento deve ser inequívoco. Portanto, o procedimento para solicitar e dar consentimento não deve deixar dúvidas quanto à intenção do titular dos dados. Em princípio, não há limites quanto à forma do consentimento. No entanto, para ser válido, o consentimento deve ser uma indicação ativa da vontade do usuário. A expressão mínima de uma indicação pode ser qualquer espécie de sinal, suficientemente claro para indicar a vontade do titular dos dados, e para ser compreendido pelo controlador dos dados.”
  • Livre consentimento: “O consentimento só pode ser válido se o titular dos dados for capaz de exercer uma escolha real e se não houver risco de fraude, intimidação, coerção ou consequências negativas consideráveis se ele não consentir.”

Como o “interesse legítimo do controlador de dados” se aplica?

Para o interesse ser legítimo, a finalidade do processamento de dados precisa ser razoavelmente esperada pelos usuários. O processamento de dados pessoais para marketing direto pode ser considerado e executado como um interesse legítimo. Porém, esse interesse legítimo não pode sobrepor-se aos direitos fundamentais de privacidade do usuário. Por isso, medidas de segurança apropriadas devem ser implementadas para reduzir potenciais riscos à privacidade pessoal. Veja a seguir os requisitos básicos que devem ser atendidos antes de tentar reivindicar um interesse legítimo:

  • Uma explicação de quais dados estão sendo coletados, a finalidade específica para a qual os dados estão sendo coletados e como isso afeta a experiência online do navegador.
    • Por exemplo: ”Nosso [site/app] usa cookies/IDs de publicidade para fins publicitários. Isso nos permite mostrar nossos anúncios nos sites e apps parceiros aos visitantes interessados em nossos produtos. As tecnologias de retargeting usam cookies e IDs de publicidade e mostram anúncios com base no seu comportamento de navegação anterior. Para saber mais sobre esses serviços e/ou recusá-los, consulte a política de privacidade listada a seguir.”
  • Oferecer aos usuários uma maneira de controlar a própria experiência, incluindo opt-out, com uma linguagem simples que explique como isso afetará a experiência de publicidade do navegador.
  • Fácil acesso a uma política de privacidade, aos compromissos firmados por sua empresa ou a informações sobre padrões de privacidade do setor.

 

Quais são os padrões para estabelecer um interesse legítimo?

Toda empresa deve saber responder algumas perguntas básicas para estabelecer se há um interesse legítimo:

  • Qual é a finalidade da operação?
  • Ela é necessária para atender a um ou mais objetivos organizacionais?
  • O GDPR ou outra legislação nacional identifica especificamente a atividade de processamento como sendo legítima, sujeita a testes de adequação e necessidade?
  • Há alguma outra forma de alcançar o objetivo?
  • O indivíduo esperaria que a atividade de processamento ocorresse?
  • Qual é a natureza dos dados a serem processados? Dados dessa natureza têm alguma proteção especial sob o GDPR?
  • O processamento limitaria ou reduziria os direitos individuais?
  • O indivíduo recebeu um aviso de processamento justo? Se sim, como? Os avisos são suficientemente claros e mostrados com a devida antecedência em relação às finalidades do processamento?

Enquanto as empresas do setor de marketing digital atualizam suas práticas de conformidade com o GDPR, vale lembrar que os cidadãos da União Europeia estão cientes sobre a publicidade direcionada, entendem os identificadores por trás dela e esperam ver anúncios relevantes. A Criteo, em parceria com a IPSOS, realizou uma pesquisa para entender as expectativas dos usuários da União Europeia e como eles se relacionam com a publicidade direcionada online. Entrevistamos 3.000 usuários de internet, de 16 a 65 anos, na França, no Reino Unido e na Espanha, estabelecendo uma amostra demográfica representativa em termos de sexo, idade, região e faixa de renda. Veja o que descobrimos:

  • 90% dos usuários de internet estão cientes sobre o retargeting comportamental.
  • 68% estão cientes de que os cookies permitem a publicidade direcionada.
  • 75% esperam receber anúncios compatíveis com seus interesses
  • 73% preferem ver anúncios relevantes a pagar uma taxa adicional para evitar ver anúncios.

A entrada em vigor do GDPR se aproxima. Na Criteo, estamos preparados para seguir atentamente todas as diretrizes e orientações publicadas pelas Autoridades de Proteção de Dados locais. Até lá, saiba mais sobre o que a Criteo tem feito para adequar-se ao GDPR e o que você precisa saber sobre as duas categorias de dados pessoais no GDPR.

  1. Guía del Reglamento General de Protección de Datos para responsables de tratamiento https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf
  2. Working Party of the Article 29 – 2013 Guidance on obtaining consent for cookies: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp208_en.pdf