Quais são as diretrizes de cookies da ICO?

O que é ICO?

O ICO é sigla para  Information Commissioner’s Office, o Gabinete do Comissário de Informação do Reino Unido. Esta é a autoridade pública do Reino Unido que aplica as leis de proteção de dados no país. Entre outras coisas, publica diretrizes que ajudam as empresas a cumprir as leis de privacidade (UK Data Privacy Act 2018, GDPR) facilmente.

Aqui, explicaremos em linguagem simples os aspectos mais importantes de suas diretrizes de cookies. Se seguir essas diretrizes, terá facilidade em garantir a conformidade com a proteção de dados.

Leia mais sobre o GDPR do Reino Unido e como se tornar compatível com o GDPR do Reino Unido aqui.

O que é PECR?

PECR é sigla para Privacy and Electronic Communications Regulations, ou seja, Regulamentos de Privacidade e Comunicações Eletrônicas do Reino Unido. Dentre outras coisas, cobre o uso de cookies e tecnologias semelhantes para armazenar e acessar as informações dos usuários.

O que são cookies e que tipos de cookies existem?

Cookies são pequenos arquivos de texto que são injetados no seu dispositivo para coletar alguns dados. Leia mais sobre o que os cookies estão aqui.

O que são as “tecnologias semelhantes”?

Os cookies não são a única tecnologia usada para rastrear usuários na Internet. As chamadas “tecnologias semelhantes” são tecnologias de rastreamento que fornecem aos proprietários de sites informações sobre os usuários, às vezes incluindo seus dados pessoais. Como resultado, essas tecnologias também estão sujeitas a regras de proteção de dados.

Alguns exemplos de tecnologias semelhantes são:

• Informações de cabeçalho HTTP
• Plug-ins instalados
• Impressões digitais do dispositivo
• Informações de CSS, etc.
  

Quais são os requisitos legais para cookies e tecnologias semelhantes?

Você pode usar cookies essenciais livremente, mas deve obter o consentimento explícito do usuário para o uso de cookies não essenciais e tecnologias semelhantes.

Além disso, você deve obter o consentimento da maneira certa, o que significa:

• Solicitar consentimento para cada finalidade específica. Se você usar cookies diferentes para finalidades diferentes (preferências, análises, publicidade), peça consentimento para cada finalidade específica. Obter um consentimento para cookies analíticos não significa que você está livre para usar os cookies de publicidade.
• Informe os usuários sobre os cookies. Diga a eles quais cookies você usa para qual propósito. Faça isso em uma linguagem simples que não os engane.
• Você precisa de ação afirmativa. O usuário deve clicar em “ACEITAR” ou botão semelhante para aceitar os cookies. A permanência do usuário no seu site não significa que ele deu consentimento. Além disso, caixas pré-selecionadas não são permitidas - o usuário é quem deve selecioná-las.
• O consentimento deve ser dado livremente. Você não deve impedir que o usuário acesse o site se não consentir no uso de cookies.

Como o PECR e o GDPR se relacionam?

Embora nenhum deles mencione explicitamente os cookies, tanto o PECR quanto o GDPR são muito semelhantes no que diz respeito aos requisitos sobre a coleta de dados pessoais.

O PECR regula a privacidade das comunicações eletrônicas no Reino Unido e de cidadãos do Reino Unido. Quando aplicável, tem precedência sobre a Lei de Proteção de Dados do Reino Unido de 2018 e o GDPR da UE.

No entanto, essas leis se complementam.

Em geral, o PECR se aplica à coleta de dados pessoais (acesso e armazenamento). Qualquer outra coisa que você fizer com os dados coletados de acordo com o PECR está sob o escrutínio do GDPR.

O que é “isenção de comunicação”?

Isenção de comunicação significa que você pode usar cookies sem consentimento para permitir a comunicação em uma rede de comunicações eletrônicas.

Os cookies devem ser necessários para:

• Identificar os usuários que precisam comunicar
• As mensagens de transferência na ordem pretendida, ou 
• Identificar erros de transmissão de dados e perdas de dados.

Como o PECR e o GDPR diferem nos requisitos de cookies?

Em geral, se o PECR se aplica à sua empresa, você deve verificar os requisitos do PECR antes de examinar os requisitos do GDPR. Essas diferenças são mínimas, mas importantes.

O GDPR lista seis bases legais para coleta de dados, das quais apenas uma é o consentimento. Nenhum é mais importante do que os outros.

O PECR, por outro lado, tem o consentimento como a única base legal na maioria dos casos. Somente se o consentimento não for exigido, você pode contar com as bases listadas no GDPR.

Portanto, você precisa obter consentimento explícito, a menos que esteja claramente isento com PECR (Regulamento 6).

Como informar os usuários sobre cookies?

Você deve informar aos usuários sobre os cookies no momento em que eles entram no site.

Uma boa prática é mostrar a eles um banner de cookie onde eles podem escolher suas preferências de privacidade e ler sua política de privacidade e declaração de cookies.

Você pode incluir informações sobre cookies em sua política de privacidade, mas também pode ter uma declaração/política de cookies separada para melhor visibilidade e simplicidade.

O ICO recomenda aumentar a visibilidade de sua política/declaração de cookies ou de sua política de privacidade por meio de:

• Formatação de texto que chama a atenção
• Posicionamento do link em um local onde possa ser facilmente encontrado ou visto
• Use texto explicativo que informe ao usuário que o link fornece informações sobre cookies (tais como: “Verifique nossa declaração de cookies para saber mais sobre como e por que usamos cookies”).

O que significa “ação afirmativa”?

Ação afirmativa significa que o usuário deve aceitar os cookies por sua própria ação. Isso significa duas coisas:

• O usuário deve clicar no botão “ACEITAR” ou algo semelhante e mostrar explicitamente que concorda com os cookies.
• O usuário deve marcar as caixas de seleção para cada finalidade de coleta/processamento. Caixas pré-selecionadas não são permitidas.

Podemos marcar previamente as caixas de seleção de consentimento de cookies?

Não. Como mencionamos acima, as caixas de seleção pré-marcadas não são compatíveis com a Lei de Privacidade de Dados e o GDPR.

Podemos usar Cookie Walls?

Não, os Cookie Walls não são permitidos para obter o consentimento dos usuários. Se o usuário não tem permissão para acessar o site sem dar consentimento para o uso de cookies, esse consentimento não é dado livremente, portanto, o consentimento não é obtido legalmente.

Podemos obter consentimento aceitando os termos de uso?

Não, essa não é uma forma legal de obter consentimento. A aceitação dos Termos de Uso não significa consentimento de cookies, mesmo que sejam mencionados nos Termos de Uso e o usuário os aceite. É apenas um consentimento implícito, mas você precisa de um explícito.

O consentimento para cookies deve ser obtido separadamente de qualquer outro consentimento.

Permanecer no site significa consentimento para o uso de cookies?

Não, permanecer ou navegar no site não significa aceitar cookies e outras tecnologias de rastreamento. Se você disparar cookies para o dispositivo do usuário apenas porque eles navegam em seu site, você está violando as leis de proteção de dados.

Podemos confiar em configurações, configurações de recursos ou em configurações do navegador para obter consentimento?

Consentimento baseado em configurações e configurações de recursos. Você pode contar com esses cookies, desde que sejam explicados ao usuário. Se eles sabem que o uso de cookies é necessário para lembrar as configurações pelas quais optaram, não há problema em confiar neles.

Consentimento baseado configurações do navegador. Você não deve presumir que todo usuário sabe definir as configurações do navegador, mas pode confiar que eles obterão o consentimento, desde que possam indicar que o usuário consente com o uso de cookies. Por exemplo, se um usuário configurar o navegador para aceitar certos tipos de cookies, isso significa que também deu consentimento para os seus cookies.

E se quisermos usar seus dados para outra finalidade?

Lembre-se de que você precisa obter consentimento para a coleta de dados para um propósito específico. Se você precisar usar os mesmos dados para outra finalidade, será necessário obter consentimento para a nova finalidade.

Por exemplo, se você obteve consentimento para usar cookies analíticos, pode coletar e processar dados apenas para fins analíticos. Você não deve usar esses dados para marketing. Se você quiser fazer isso, precisará obter o consentimento do usuário.

Com que frequência devemos obter consentimento?

Em geral, você não precisa obter consentimento para a mesma finalidade e os mesmos dados repetidamente.

No entanto, se você introduzir um novo cookie que não obteve anteriormente, certifique-se de pedir consentimento para tal.

E se os usuários mudarem de ideia sobre o consentimento?

Você deve permitir que os usuários retirem o consentimento com a mesma facilidade com que o deram a você. Isso significa que você não deve ocultar o botão de retirada de consentimento deles. Certifique-se de tê-lo disponível em seu centro de privacidade.

Se eles não deram seu consentimento inicialmente, mas agora querem aceitar seus cookies, você pode obtê-lo respeitando as regras descritas acima - informe-os sobre os cookies e obtenha o consentimento dado livremente para cada finalidade separadamente por sua própria ação afirmativa.

O que acontece se não cumprirmos?

Se você coletar e/ou processar dados pessoais sem obter consentimento de forma legal, você estará violando as leis de proteção de dados. Se isso acontecer, você corre o risco de ser multado pelo ICO.