Lei de consentimento de cookies na UE, EUA, Reino Unido e outros países

O não cumprimento das diferentes leis de consentimento de cookies em todo o mundo pode levar a multas e penalidades dispendiosas. De acordo com a Conferência das Nações Unidas sobre Comércio e Desenvolvimento, 137 dos 194 países promulgaram legislação para proteger dados e privacidade.

O guia a seguir ajudará a explicar o uso de cookies, as leis que os regem e as formas de garantir sua conformidade.

Também é importante lembrar que as “leis de cookies” não são apenas para o uso de cookies. As leis de cookies são legislação para proteger dados e privacidade e se aplicam a todos os tipos de tecnologia que podem ser usadas para armazenar e processar informações do usuário.

Os cookies são apenas a técnica mais comum atualmente usada para armazenar informações do usuário em dispositivos pessoais.

Entendendo os diferentes tipos de cookies

Cookies são pequenos arquivos de dados que são armazenados na memória de um dispositivo para coletar informações sobre a atividade do usuário do dispositivo quando o usuário acessa o site. Quando usados ​​para coletar informações pessoais, como na personalização e rastreamento de anúncios, os cookies têm implicações de privacidade.

Uma compreensão básica dos diferentes tipos de cookies é necessária para entender melhor as leis que regulam seu uso e garantir a conformidade com as leis de consentimento de cookies de vários países ao redor do mundo.

A seguir estão as principais distinções para decidir como empregar o uso de cookies:

• Cookies de sessão versus cookies persistentes: os cookies de sessão são excluídos automaticamente quando o dispositivo para de acessar o site, enquanto os cookies persistentes permanecem para visitas subsequentes do usuário do dispositivo.
  
  
• Cookies necessários vs. eletivos: Os cookies necessários são necessários para que o site funcione corretamente. Um excelente exemplo são os cookies que permitem aos usuários colocar itens em um carrinho de compras online e salvá-los para mais tarde. Os cookies eletivos, por outro lado, realizam outra tarefa, como permitir que os usuários personalizem sua experiência ou permitir que os profissionais de marketing rastreiem a atividade do usuário.
  
  
• Cookies primários versus cookies de terceiros: se o cookie está sendo empregado por sua organização ou em nome de um parceiro de marketing ou de alguma organização externa.
  
  

Leis de consentimento de cookies da UE

O aumento repentino no uso de “banners de cookies”, avisos exibidos em sites e aplicativos solicitando o consentimento do usuário para visitar o site, deve-se em grande parte aos requisitos rígidos que a União Europeia (UE) impõe às empresas que coletam informações pessoais de internet usuários nos países da UE.

A UE tornou-se líder mundial em matéria de proteção de dados e legislação sobre privacidade online.

Em 2002, a UE aprovou a Diretiva de Privacidade Eletrônica (alterada em 2008 e entrou em vigor em 2011), que exige que os sites obtenham o consentimento do usuário antes que possam armazenar, usar ou recuperar informações pessoais dos usuários.

Em 2018, a UE aprovou o Regulamento Geral de Proteção de Dados (GDPR), que rege a coleta de informações pessoais e impõe penalidades severas por violações da lei. Em conjunto, a Diretiva de Privacidade Eletrônica e o GDPR caracterizam dados pessoais como quaisquer dados criados por uma pessoa identificável e exigem o consentimento do usuário para coletar esses dados.

As leis de consentimento de cookies do GDPR também concedem aos usuários o direito de acessar, excluir, corrigir e se opor à coleta de seus dados pessoais.

As leis de cookies da UE se aplicam a todos os sites que tenham visitantes de dentro da UE, independentemente de onde a empresa esteja fisicamente localizada. As leis de cookies da UE exigem que as empresas:

• Obtenha o consentimento dos usuários antes de colocar quaisquer rastreadores ou cookies nos navegadores dos usuários;
• Fornecer informações detalhadas sobre todos os rastreadores e cookies usados ​​em seus sites;
• Forneça aos usuários a capacidade de retirar ou recusar o consentimento facilmente.

Nem todos os cookies requerem consentimento, no entanto. A UE reconhece que alguns cookies são essenciais para que um site funcione corretamente. Portanto, eles abrem uma exceção para cookies que são “estritamente necessários” para realizar os serviços solicitados pelos visitantes do site.

O melhor exemplo do uso necessário de cookies são os varejistas online que permitem que os usuários salvem itens em um carrinho de compras online. Embora o escopo do que é “estritamente necessário” não esteja claramente definido, os usuários de sites de compras esperam que o recurso de carrinho de compras funcione, tornando esses cookies necessários.

Por outro lado, os cookies que proporcionam aos usuários uma experiência personalizada ou publicidade personalizada não são necessários para o bom funcionamento de um site, incluindo lojas online. Esses cookies não se enquadram na exceção e é necessário consentimento antes de usá-los.

Outros cookies considerados estritamente necessários incluem aqueles que fornecem recursos de segurança para sites onde os usuários esperam altos níveis de segurança, incluindo sites de bancos online. Qualquer cookie que não seja considerado estritamente necessário requer consentimento antes de poder ser armazenado no dispositivo de um usuário.

Leis de consentimento de cookies nos Estados Unidos

Embora vários estados dos EUA tenham aprovado ou estejam considerando aprovar legislação, as leis federais de privacidade nos Estados Unidos são geralmente fracas em comparação com outros países importantes. Basicamente, os EUA não exigem consentimento para cookies, com exceção do Children's Online Privacy Protection Act (COPPA), que regulamenta a atividade de sites e serviços online destinados a crianças menores de 13 anos.

A COPPA se aplica exclusivamente à coleta de informações pessoais de crianças menores de 13 anos. Você deve estar em conformidade com a COPPA se alguma das seguintes condições se aplicar:

• O conteúdo do seu site ou aplicativo é destinado a crianças menores de 13 anos e você coleta suas informações pessoais;
• O conteúdo do seu site ou aplicativo é destinado a crianças menores de 13 anos e você permite que terceiros coletem suas informações pessoais;
• Seu site ou aplicativo é voltado para um público geral, mas você sabe que crianças menores de 13 anos usam seu site e você coleta informações pessoais deles.

A Federal Trade Commission (FTC) define “site ou serviço online” em sua Regra de Proteção à Privacidade Online para Crianças: Um Plano de Conformidade em Seis Etapas para sua Empresa e inclui todos os itens a seguir:

• Aplicativos móveis que enviam ou recebem informações online
• Plataformas de jogos habilitadas para Internet
• Plug-ins
• Redes de publicidade
• Serviços baseados em localização habilitados para Internet
• Serviços de voz sobre protocolo de Internet

De acordo com a FTC, a COPPA não se aplica às escolas porque não se aplica às informações coletadas por organizações sem fins lucrativos que servem para fins educacionais ou às informações coletadas pelos governos estaduais.

A COPPA se aplica, no entanto, a entidades comerciais terceirizadas que fornecem sites e aplicativos para escolas e alunos. Nesses casos, o terceiro pode obter o consentimento diretamente da escola e não dos pais.

Leis de consentimento de cookies no Canadá

As leis de privacidade do Canadá são muito mais rígidas do que nos EUA, mas ainda não tão rígidas quanto na UE. O Canadá regula o uso de cookies por meio de suas leis antispam e de privacidade:

• Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA)
• Legislação Anti-Spam do Canadá (CASL)

A PIPEDA reconhece o consentimento “expresso” e “implícito”. O consentimento expresso ou consentimento “opt-in” é dado explicitamente por meio de uma ação específica. O consentimento implícito ou consentimento “opt-out” pode ser inferido através da inação de uma pessoa.

A CASL exige que os operadores de sites e aplicativos obtenham consentimento expresso antes de instalar determinados programas de computador, incluindo cookies. Sob o CASL, os operadores do site podem presumir que um usuário deu consentimento expresso para cookies se “a conduta da pessoa for tal que seja razoável acreditar que ele consente com a instalação do programa”.

Isso pode soar mais como consentimento implícito do que consentimento expresso. Independentemente disso, a lei canadense não exige o consentimento expresso do visitante para cookies, desde que os sites e aplicativos forneçam as informações adequadas e uma opção de exclusão para os usuários.

A CASL é semelhante à Lei de Proteção à Privacidade Online da Califórnia (CalOPPA) porque ambas as leis se aplicam essencialmente a qualquer pessoa e a todos. Com a natureza global da internet, é provável que uma empresa chegue a um residente da Califórnia ou do Canadá e, portanto, deve cumprir os requisitos da CalOPPA e da CASL.

Consentimento de cookies no Reino Unido

No Reino Unido, a Lei de Proteção de Dados de 2018 rege a privacidade e o consentimento de dados. A Lei de Proteção de Dados exige que você obtenha o consentimento expresso dos usuários antes de coletar seus dados pessoais. A Lei é a implementação do Reino Unido de uma diretiva do GDPR para todos os países membros.

Notavelmente, no entanto, o governo britânico propôs recentemente um afastamento das leis de proteção de dados da UE. Em um esforço para reduzir a enxurrada de banners de consentimento de cookies, o Reino Unido está considerando mudar para uma estrutura opt-out em vez de opt-in.

Leis de consentimento de cookies na Austrália e Nova Zelândia

Nem a Austrália nem a Nova Zelândia exigem consentimento para cookies. Ambos os países promulgaram leis de privacidade, mas essas leis não fazem referência especificamente a cookies nem implicam que os dados coletados por cookies devam ser tratados como informações pessoais.

No entanto, é aconselhável divulgar o uso de cookies em uma política de privacidade porque o governo australiano, em seus Princípios de Privacidade Australianos, sugere que as informações coletadas por cookies constituem informações pessoais se uma pessoa puder ser "razoavelmente identificada" por elas.

Leis de consentimento de cookies na China

A China aprovou a Lei de Proteção de Informações Pessoais (PIPL) em 2021 e impõe alguns dos requisitos mais rigorosos para a coleta de dados pessoais. Sob o PIPL, são necessárias condições muito específicas para remover dados pessoais de dentro das fronteiras da China.

As violações da lei podem resultar em grandes multas tanto para sua empresa quanto para funcionários individuais.

Saiba como a Admiral pode ajudá-lo a gerenciar o consentimento de privacidade

À medida que novas leis de privacidade são aprovadas e as já em vigor são atualizadas, tornou-se uma prática recomendada para as empresas implementar sistemas de gerenciamento de cookies e gerenciamento de consentimento como parte de sua política interna de cookies.

A Plataforma de Gerenciamento de Consentimento de Privacidade da Admiral foi projetada para cumprir o GDPR de consentimento de cookies e as leis estaduais atuais dos EUA, e é simples de instalar e fácil de usar.

A Admiral oferece uma Plataforma de Gerenciamento de Consentimento (CMP) que funciona para GDPR e a estrutura IAB TCF. Para saber mais, agende um horário para discutir suas opções de conformidade hoje.