*por Henrique Fabretti Moraes

O European Data Protection Board (EDPB), órgão criado pelo Regulamento Europeu de Proteção de Dados (GDPR) com o principal objetivo de garantir a aplicação consistente da norma europeia, atualizou suas diretrizes de consentimento, que vigoravam desde abril de 2018.

A maior parte dos ajustes foi cosmética, sem grande relevância para a interpretação do que seria um consentimento válido perante as regras do GDPR. Porém, no tópico sobre condicionalidade –  prática de exigir do titular de dados consentimento para que este possa acessar um determinado serviço ou produto -, o EDPB trouxe um complemento relevante.

Primeiro, reforçou seu entendimento de que “um prestador de serviço não pode impedir um titular de dados de acessar um serviço em razão de este não ter dado seu consentimento”.

Ainda neste tópico, trouxe uma nova disposição que impacta diretamente a prática de dados pessoais por meio de cookies e tecnologias semelhantes:

“Para que o consentimento dado pelo titular seja considerado livre, o acesso a serviços e funcionalidades não deve estar condicionado ao consentimento de um usuário para armazenar informações ou conceder acesso a informações já armazenadas no terminal deste usuário (os conhecidos cookie walls).”

Em outras palavras, o EDPB firmou seu entendimento de que exigir do usuário o consentimento para uso de cookies para, só então, possibilitar o acesso a um site ou aplicativo infringiria a exigência de que o consentimento seja livre, já que este estaria sendo forçado a clicar em um botão de “aceitar cookies”, o que não seria uma escolha genuína.

Para facilitar o entendimento, a diretriz acrescentou um exemplo sobre esta questão, o qual trazemos abaixo:

“O provedor de um site insere em sua página um script que bloqueia o acesso a todo conteúdo, exceto por um aviso que requer o aceite ao uso de cookies indicando, inclusive, quais cookies seriam utilizados e para qual finalidade os dados seriam tratados. Não há possibilidade de acessar o conteúdo sem clicar no botão ‘aceitar cookies’. Considerando que o titular de dados não possui uma escolha genuína, seu consentimento não foi livremente concedido.”

Vale lembrar que os requerimentos para que o consentimento seja considerado válido aos olhos da nossa Lei Geral de Proteção de Dados são muito semelhantes ao disposto no GDPR, especialmente na exigência de que o titular de dados seja livre para conceder ou não sua autorização para que dados pessoais sejam tratados.

Portanto, apesar de a diretriz ser aplicável apenas a quem está no escopo da norma europeia, este pode ser um forte indicativo de como nossa Autoridade Nacional de Proteção de Dados se posicionará sobre o tema.

*Henrique Fabretti Moraes é coordenador da equipe de Proteção de Dados do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados

Fonte: Portal da Privacidade