Cookies, sem pepitas de questões
Por Catarina Castanheira Lopes, advogada associada na área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas, e Tiago Sérgio Cabral, advogado associado na área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas
A existência de cookies já se instalou na vida de todos os utilizadores e responsáveis de websites, sendo, contudo, uma matéria cuja aplicação prática é ainda hoje difícil de entender, nomeadamente, no que diz respeito ao impacto que estes pequenos ficheiros podem ter na vida dos utilizadores, no negócio das empresas que detêm os sítios da internet e na actividade das empresas de marketing.
Classificamos, no presente âmbito, os cookies como pequenos ficheiros de informação armazenados por um website no equipamento do utilizador (computador, portátil, smartphone, tablet, etc.), entendendo as regras que lhes são aplicáveis, nomeadamente no que se refere ao consentimento, como sendo também aplicáveis a outras tecnologias de rastreio semelhantes como sejam os web beacons, local storage e session storage.
Existem diferentes tipos de cookies?
Apesar de não existir qualquer definição legal para categorizar os cookies, não poucas vezes, encontram-se classificações similares nos websites, nomeadamente (i) cookies estritamente necessários ao funcionamento do website, (ii) cookies de personalização (iii) cookies analíticos, e (iv) cookies de publicidade.
Relativamente à classificação que acima se expõe, importa ter em atenção que na sequência do Acórdão do Tribunal de Justiça da União Europeia “Planet 49”, o qual é seguido pelas autoridades de controlo para a protecção de dados da União Europeia, bem como tendo em consideração a legislação aplicável à presente matéria, a colocação de cookies que não sejam estritamente necessários depende sempre do consentimento do utilizador do website, mesmo quando os cookies não recolham dados pessoais.
Neste sentido, incumbe aos responsáveis pelos websites garantirem a implementação dos procedimentos necessários ao integral cumprimento dos requisitos referentes à recolha de um consentimento, nos termos do previsto no Regulamento Geral sobre a Protecção de Dados, por remissão da Lei da Privacidade nas Comunicações Electrónicas.
(Algumas) consequências para as empresas de marketing
A utilização de cookies e o tratamento subsequente dos dados recolhidos através destes é muitas vezes essencial no contexto das campanhas de marketing, nomeadamente para medir audiências, criar novos leads e para permitir a criação e apresentação de publicidade personalizada.
Por regra, as empresas de marketing vão actuar como subcontratantes (em nome e por conta) de determinada empresa que as contrata para actividades como construir um website ou desenhar/implementar uma campanha. Neste contexto, a empresa de marketing irá, frequentemente, propor a utilização de cookies analíticos ou de publicidade que, como referido acima, carecem de consentimento do utilizador. É importante que se trate efectivamente de uma proposta e que a empresa de marketing não instale cookies sem disso dar conta ao seu cliente porque, neste caso, estará a exceder as suas competências enquanto subcontratante e a assumir directamente a responsabilidade (ainda que, eventualmente, conjunta) pela colocação potencialmente ilícita de cookies (e pelo tratamento de dados que daí advenha).
Quando a empresa de marketing optar por empregar prestadores de serviços externos que lhe permitam oferecer com melhor qualidade determinadas funcionalidades devem assegurar que têm autorização para sub-subcontratar. Exemplos paradigmáticos onde tal é necessário são o uso das ferramentas para construção de audiências personalizadas da Google e Facebook.
Por fim, quando o objectivo for oferecer um serviço “chave na mão” é essencial que a empresa de marketing tenha construído o mesmo de forma a que exista, pelo menos, uma opção que garanta a estrita conformidade com as regras elencadas acima. Naturalmente, a empresa de marketing deve explicar ao seu cliente quais as vantagens e desvantagens de uma interpretação estrita da lei, permitindo-lhes gerir o seu “apetite de risco” em conformidade.
As sanções por incumprimento destas regras são particularmente pesadas: a simples violação das regras relativas à colocação de cookies pode dar origem a coimas com um valor que poderá ascender aos €5.000.000. No entanto, muito frequentemente a violação das regras relativamente à colocação de cookies vai dar também origem a uma violação das regras que se aplicam ao tratamento dos dados pessoais recolhidos através destas cookies e que pode ser sancionada com coima até €20.000.000 ou 4% do volume de negócios anual a nível mundial da empresa.