A utilização de cookies nos websites é prática comum na Internet. Desde os websites das entidades públicas e privadas, aos negócios e lojas online, a passar pelos blogues e páginas pessoais, a grande maioria dos websites utiliza cookies.
Mas o que são cookies? As cookies são uma espécie de pequenos ficheiros de software que são armazenados no computador dos utilizadores através do seu browser (navegador), sendo utilizados para reter informações que se relacionam com diversas finalidades, mas que, em grosso modo, registam as preferências de cada utilizador. Neste sentido, as cookies podem ser essencialmente utilizadas para garantir o correcto funcionamento do website (cookies necessárias), para criação e análise de estatísticas (cookies analíticas), para registar as preferências do utilizador (cookies de funcionalidade), para medir a taxa de eficácia de aplicações ou publicidade de terceiros (cookies de terceiros), ou ainda, para direccionar publicidade em função das preferências de cada utilizador (cookies de publicidade).
Certamente não são desconhecidas as janelas de cookies que saltam imediatamente à vista quando se entra num qualquer website, e que forçam o utilizador a aceitar as cookies antes de poder navegar dentro do website. Outras vezes, não impedindo o acesso ao website, estas cookies apresentam caixas de diálogo com opções pré-seleccionadas, dando ao utilizador a opção de rejeitar, uma a uma, essas opções. Num nível ainda maior de desconformidade com a Lei, encontram-se todos aqueles websites que recorrem a uma pequena nota de rodapé que, geralmente, contém uma informação do seguinte género: “Este site usa cookies para garantir que obtenha a melhor experiência no nosso site. Ao continuar aceita ainda a nossa Declaração Consentimento RGPD”.
Efectivamente, a utilização de cookies impõe que sejam observadas, em conjunto, as normas jurídicas contidas no Regulamento Geral de Protecção de Dados (RGPD) e na Directiva E-Privacy (Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002). E se dúvidas não existiam relativamente à desconformidade das “cookies-walls” (caixas de diálogo e banners que obrigam à aceitação forçosa da política de cookies como forma de acesso ao website) e das notas de rodapé da website que se baseiam no “consentimento implícito” dos utilizadores (algo que não é permitido de acordo com o RGPD), já relativamente à utilização de caixas de diálogo e banners com opções pré-seleccionadas havia quem, artificialmente, argumentasse pela sua conformidade (ainda que numa posição claramente minoritária).
Porém, se dúvidas existissem quanto a este último aspecto, o Acórdão do Tribunal de Justiça da União Europeia (TJUE), de 1 de Outubro de 2019, conhecido como “Planet49”, veio agora clarificá-las, estabelecendo que o consentimento do utilizador “não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet, por intermédio de cookies, são autorizados mediante uma opção pré‑validada que esse utilizador deve desmarcar para recusar o seu consentimento”. Tal significa que, os websites que contenham uma caixa de diálogo e/ou banner com opções pré-seleccionadas (exemplo: caixas de diálogo que contenham, de modo pré-seleccionado, a opção de aceitar cookies necessárias, analíticas e de publicidade) estão em desconformidade com o Regulamento e a Directiva anteriormente mencionados. Desde modo, erradas se demonstram as teses daqueles que defendiam o seu contrário. É preciso notar, no entanto, que nem todos os tipos de cookies necessitam do consentimento do utilizador. As cookies necessárias, por exemplo, não carecem do consentimento do utilizador, contrariamente a todos os outros tipos.
É também sobre este aspecto que reside a importância deste acórdão. De forma clara e inequívoca, o TJUE veio estabelecer, por exclusão de partes, aquilo que entende que deva constar na política de cookies dos websites. Para tal, é também fundamental atender à sua consideração de que “o consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, nomeadamente «por via informática ao visitar um sítio na [I]nternet»” (destacado meu). Deste modo, resulta claro, que nem as cookies walls (que bloqueiam a entrada e navegação de um website até que seja aceite a utilização de cookies), nem as cookies pré-seleccionadas, nem o consentimento presumido (que se julga ser válido pelo facto do utilizador continuar a utilizar o website), são abordagens válidas e conformes à Lei.
E se é verdade que há muito que os especialistas em protecção de dados têm vindo a alertar para o facto de que este tipo de abordagens é errado, quer do ponto de vista do Regulamento Geral de Protecção de Dados (RGPD), quer do ponto de vista da Directiva E-Privacy, não menos verdade é que grande parte dos websites continuam a violar as normas destes diplomas. De modo geral, somente se pode afirmar que uma parte residual dos websites está em conformidade com os requisitos legais estabelecidos naquele Regulamento e naquela Directiva.
Tal sucede, a meu ver, por duas razões principais. Em primeiro lugar, porque existe um grande desconhecimento relativo às normas jurídicas que disciplinam a utilização de cookies. Em segundo lugar, verifica-se também a tendência para, aquando da estruturação, criação e desenvolvimento de um website, copiar-se a informação de outros websites. Outras vezes, sucede igualmente que muitas das empresas de consultoria e as próprias sociedades de advogados que actuam âmbito do RGPD, estão elas próprias em desconformidade com o RGPD e com a Directiva E-Privacy. A falta de conhecimento e a falta de verdadeiros profissionais e especialistas justifica, de resto, a razão pela qual este cenário de incumprimento da Lei é transversal.
Contudo, o facto da maioria os websites estarem na mesma situação de desconformidade não constitui um fundamento válido para justificar o incumprimento da Lei, particularmente quando, e se, a Comissão Nacional de Protecção de Dados optar pela aplicação de coimas. Embora se desconheça, até ao momento, que hajam sido aplicadas quaisquer coimas relativas à má e desconforme utilização de cookies, o acórdão do TJUE veio agora abrir portas para que tal aconteça. Importa por isso que as empresas e entidades públicas se adaptem, o quanto antes, às exigências estabelecidas no RGPD e na Directiva E-Privacy.
