O Conselho Europeu para a Proteção de Dados (EDPB) finalmente se pronunciou. E a resposta deles é muito clara: tem que haver uma alternativa além de pagar ou aceitar cookies. Apoiando-se no GDPR e no “interesse legítimo” de utilização de dados pessoais, grandes plataformas digitais como a Meta implementaram o modelo ‘Pay or Okay’.
Ou você aceita os cookies que analisam o comportamento do usuário ou paga uma assinatura. Um tudo ou nada que se espalhou pela internet mas que gerou muitas dúvidas e foi agora rejeitado pelo mais alto órgão europeu em matéria de protecção de dados.
Deve haver outra alternativa além de pagar. Anu Talus, presidente da EDPB, explica que “como consequência desta estratégia, a maioria dos utilizadores consente no tratamento e não compreende todas as implicações das suas escolhas”. O Comité Europeu salienta que os utilizadores estão a ser forçados a aceitar cookies sem os fazer compreender ou explicar as consequências.
Perante esta situação, a organização conclui que “oferecer apenas uma alternativa de pagamento não deve ser o caminho padrão”. Por este motivo, afirma que devem “considerar oferecer aos utilizadores uma “alternativa equivalente” que não implique o pagamento de taxas”.
E essa opção gratuita deve ser isenta de publicidade comportamental. A terceira via exigida pelo EDPB não pode basear-se na publicidade comportamental, que se baseia em cookies e na utilização de cada utilizador para oferecer anúncios personalizados. E alertam: “é um fator importante para obter consentimento válido no âmbito do GDPR”.
O debate subjacente: quando a cobrança é justificada? Os factores colocados em cima da mesa para justificar o consentimento são os da “condicionalidade, prejuízo, desequilíbrio de poder e granularidade”. Como isso se traduz no debate sobre pagar ou aceitar cookies? Principalmente o EDPB defende que se o utilizador quiser ser cobrado, deve ser justificado. E deixa a cargo das agências de cada país avaliar se é adequado em cada caso.
A organização afirma que grandes plataformas online como a Meta devem analisar se a opção de pagamento é uma forma de exclusão e pode levar o usuário a ser excluído ou sofrer consequências negativas. Ou seja: se o usuário está sendo obrigado a pagar para evitar aspectos negativos ao invés de convencê-lo dos benefícios da versão paga.
De onde viemos. O caso vem de longe. O Regulamento Geral de Proteção de Dados é de 2018 e empresas como a Meta basearam-se no artigo 6.º, n.º 1, para processar os dados dos utilizadores. Esta utilização foi declarada ilegal pelo Tribunal de Justiça Europeu em 2023, o que levou a que fosse apoiado o interesse legítimo de utilização de publicidade personalizada.
Uma justificação em que nem a própria Meta se convenceu, pois ao mesmo tempo a política de privacidade foi alterada para contar com este “consentimento dado gratuitamente” e para apresentar a alternativa de pedir 21,99 euros mensais pela utilização do Facebook e Instagram.
As agências de proteção de dados da Noruega, dos Países Baixos e da Alemanha não foram claras sobre esta utilização e solicitaram ao CEPD que comentasse. Que é exatamente o que ele fez agora.
As opções para Meta estão se esgotando. “A Meta está a ficar sem opções na UE. Agora você deve oferecer aos usuários uma verdadeira opção de sim ou não para publicidade personalizada. Você ainda pode cobrar dos sites pelo alcance, envolver-se em publicidade contextual e coisas do gênero, mas rastrear pessoas para obter anúncios precisa de um claro ‘sim’ dos usuários”, explica Max Schrems, ativista da organização de defesa da privacidade Noyb.
Segundo Noyb: “uma vez conhecidos todos os dados, estamos convencidos de que a estratégia ‘Pay or Okay’ será declarada ilegal na Europa. Este “consentimento livre” está tão longe de ser livre como a Coreia do Norte está de uma democracia”. .
O EDPB não comentou a comunicação social. O pedido de alternativa no pagamento ou aceitação de cookies refere-se às “grandes plataformas online”. O caso surge em decorrência da denúncia da Meta. Em nenhum momento o Comité Europeu afirma que o caso é equivalente ao do cookiewall que foi implementado em muitos meios de comunicação e websites, incluindo Xataka.
O Guia de Uso de Cookies da AEPD publicado em 2023 inclui o uso legal de pagamento para rejeitar cookies. Neste momento os critérios do CEPD não modificam estas recomendações e a AEPD não anunciou alterações, mas pode ser visto como um avanço.
Não é uma questão teórica, mas prática. Segundo Jorge García Herrero, delegado de Proteção de Dados, o parecer do CEPD é vinculativo e reiterativo, embora o perito afirme que “quase não se encontra nada de novo” e se “limita a sistematizar novamente os requisitos”. Ou seja, o Comitê destaca os requisitos que se aplicam ao Meta, mas está em linha com o que já havia dito anteriormente.
O problema, segundo García Herrero, é que “o que precisamos do EDPB é fazer cumprir as suas anteriores decisões vinculativas, pôr em marcha – com consequências exemplares para todos – uma plataforma que, depois de quase seis anos de vigência do RGPD , não cumpriu nem pretende cumprir a regulamentação”.
Imagem | Erik Mclean | Glenn Carstens-Peters
Em Xataka | Alguns meios de comunicação já oferecem pagamento para remover cookies. A Internet seria proibitiva se outros seguissem seu caminho