Buscar
  • KGSA

(Aviso de) Cookies e Consentimento

Atualizado: 11 de Set de 2018

RESUMO | A prática tem demonstrado que o recurso a «cookies» se faz acompanhar de pequenos avisos em que o utilizador é convidado a clicar e a obter mais informações (genéricas) sobre esse mecanismo. Estas advertências (normalmente em pop-up) procuram conseguir o consentimento do utilizador como exige a Lei. Mas chegam para cumprir as exigências legais? Acreditamos que não.


INTRODUÇÃO

Hoje é já muito comum encontrar nos websites pequenos «avisos» de cookies cujo único fim é obter o consentimento do utilizador.


Estes avisos procuram cumprir as exigências da União Europeia em matéria de protecção de dados pessoais: o consentimento prévio e informado do utilizador, tal como vem determinado no artigo 5.º da Lei 41/2004, de 18 de Agosto[1].


Esta Lei procurou transpor para o Direito interno uma Directiva[2] que visava a protecção dos direitos fundamentais dos cidadãos europeus nas redes de comunicação, em especial a protecção da vida privada e familiar e a protecção dos seus dados pessoais (direitos reconhecidos e consagrados na Carta dos Direitos Fundamentais da União Europeia – 7.º e 8.º) na medida em que o uso da rede, dos websites e da internet pode pôr em causa estes direitos. Os riscos para estes bens já estiveram na base de regulamentação pelo legislador da União em 1995[3], no Direito português esta preocupação traduziu-se na criação de um regime legal específico para a protecção de dados pessoais, consagrado na Lei n.º 67/98, de 26 de Outubro (Lei da Protecção de Dados Pessoais – «LPDP»). Não é, ao contrário do que se possa crer, uma preocupação recente, nem tão recente quanto os avisos de cookies.


É neste contexto que nos devemos perguntar sobre o que é, afinal, o consentimento. E, mais importante, como obtê-lo?



COOKIES?


A normas europeias referem-se ao cookies, ilustrativamente, como «testemunho de conexão».


São dados (de qualquer espécie) que são armazenados pelo website visitado no dispositivo do utilizador – telemóvel, computador, tablet e afins – e que, em acessos posteriores através do mesmo equipamento, são recuperados pela entidade que gere o website visitado (ou terceiros que tenham acesso a estes) e utilizados para os mais diversos fins. Estes cookies são, pois, dados que registam em si comportamentos (v.g. a última página visitada num website, a simples visita, o link que utilizou ou o botão em que clicou), circunstâncias (v.g. a localização) ou a identificação (v.g. as credenciais utilizadas para aceder ao website) do utilizador quando navega na internet.


O termo “testemunho de conexão” é assim perfeitamente claro, na medida em que estes oferecem um registo de dados factuais relativos a determinada conexão. Não foi, contudo, adoptado na Lei n.º 41/2002 razão pela qual continuaremos a utilizar a designação comum de «cookies».


Para clarificar a linguagem, do ponto de vista conceptual, os cookies, são o resultado do tratamento automático a que são sujeitos dados armazenados no dispositivo do utilizador.

Os cookies são, assim, um mecanismo de tratamento de dados pessoais automatizado sempre que tratem dados desta natureza.


Quanto aos seus objectivos, os cookies procuram, por um lado, assegurar uma personalização da experiência do utilizador no seu acesso a websites, baseada em características deste ou no seu percurso entre domínios e, por outro lado, permitir uma gestão analítica dos websites que compreenda a utilização concreta dada pelos utilizadores com o fim de melhorar e adaptar o serviço oferecido às necessidades dos seus utilizadores.


A ponte entre a utilização de cookies e a liberdade ou privacidade dos utilizadores dos websites pode parecer, prima facie, algo de abstracto ou até mesmo de relevância reduzida. Mas não deve ser assim. Hoje, grande parte da vida passa pela utilização da internet, desde simples compras à utilização de serviços do Estado e em grande parte destes websites encontramos cookies.



CONSENTIMENTO: INFORMAÇÃO CLARA E COMPLETA


Como começámos por afirmar, os avisos procuram satisfazer a obrigação imposta pelas orientações europeias. Essas orientações resultaram, em primeiro lugar, do artigo 5.º, ponto 3, da Directiva 2002/58/CE ao ditar que o recurso a cookies só é permitido se o utilizador «tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Directiva 95/46/CE, nomeadamente sobre os objectivos do processamento.». Em tudo surgiu idêntica a Lei n.º 41/2004, impondo também o respeito pela LPDP. O quadro nacional encontra-se hoje idêntico ao europeu.


Deste exercício interpretativo, entre Lei n.º 41/2004 e LPDP, encontramos dois requisitos cumulativos quanto ao necessário consentimento:

1. Que seja prévio – isto é, que o utilizador consinta nesta prática antes de esta ser operada; e

2. Que seja informado – ou seja, não basta que se mencione a possibilidade da prática em si, mas que se ofereçam informações claras e completas sobre o seu funcionamento.


Assim e quanto ao primeiro requisito, a consequência é clara: não pode ser feito o armazenamento de dados nem pode o website aceder aos que já se encontram armazenados, no dispositivo do utilizador, sem que antes este tenha dado consentimento.

Quanto ao segundo requisito, é este uma condição do primeiro: não pode haver apenas um consentimento prévio, é necessário que seja dado em condições de informação.

Quanto a este ponto é-nos, ainda, exigida uma mais profunda interpretação. São utilizados dois conceitos indeterminados – ‘‘informação clara’’ e ‘‘informação completa’’. Resumimos este requisito, da seguinte forma, em três sub-requisitos de informação e transparência:

A clareza da informação – referindo-se à tradução, através de vocabulário de entendimento comum, daquilo que são questões técnicas.

A completude da informação – visando, em primeiro lugar, que sejam conhecidos todos os cookies utilizados e, em segundo, que se declare toda a informação relevante para o utilizador sobre cada cookie até ao limite dessa relevância.


E a delimitação do âmbito da informação a prestar nos termos anteriores – as informações a que o titular dos dados pessoais tem direito (cf. 5.º/1 da Lei n.º 41/2014 e 10.º LPDP).

Assim e tendo em conta estes três planos de exigência, o responsável pelo tratamento de dados deve sempre indicar, quanto ao processamento dos dados[4]:

1. O que é o aproveitamento de dados – bastando uma breve descrição de qual o seu objecto e modo de funcionamento, para que o utilizador tome consciência do que está em causa;

2. Quem beneficia (se a própria entidade se um terceiro identificado);

3. O fim específico (v.g. publicidade, futura alteração do serviço, personalização do serviço, etc.) – este requisito não resulta apenas da DDP, na medida em que seja aplicável a LPDP (veremos como no próximo ponto), esta é uma exigência sua (10.º/1/b) ex vi do 10.º/2 LPDP);

4. O seu âmbito quanto ao utilizador (v.g. identificação, comportamentos, circunstâncias do acesso, etc.).

Do que até aqui se expôs já se compreende a manifesta insuficiência de um mero aviso da existência de cookies. É necessário que o utilizador tenha acesso a esta informação antes do consentimento e que esta seja contextualizada e concretizada.



CONCLUSÃO: AVISOS DE COOKIES E CLÁUSULAS CONTRATUAIS GERAIS


Sem querer pugnar pela inutilidade da Lei 41/2004 e da Directiva 2002/58/CE, em matéria de cookies, a verdade é que o Direito português tem reflectido de tal forma as novidades introduzidas a nível europeu, que se torna obrigatório o cumprimento das prescrições destas apenas pela necessária observância de dois outros diplomas: a LPDP e a Lei das Cláusulas Contratuais Gerais («LCCG»), aprovada pelo Decreto-Lei n.º 446/85, de 25 de Outubro.


Sempre que esteja em causa um tratamento de dados pessoais, através de cookies, a LPDP deve considerar-se aplicável (cf. 4.° LPDP).


Dados pessoais são todos aqueles que, independentemente da forma ou natureza, possam servir para identificar determinada pessoa através do seu uso isolado (v.g. fotografia da sua cara, nome completo, etc.), ou permitam tornar essa pessoa identificável através do cruzamento com outros dados (v.g. número de telemóvel, endereço IP, etc.)[5].

Tratamento de dados e no caso concreto de cookies entenda-se: uma operação (v.g. consulta de dados armazenados no dispositivo), ou conjunto de operações (v.g. armazenamento e consulta de armazenamento), efectuadas com meios automatizados com recurso a cookies tais como a recolha de dados pelo website, o seu registo através de armazenamento, organização e conservação no dispositivo do utilizador, a sua consulta, utilização, a sua colocação à disposição de terceiros (nem sempre neste caso), a sua interconexão[6] (verificável nos casos de cookies com fins publicitários mas não apenas)[7].


Já a LCCG é aplicável a qualquer website na medida em que no acesso e na utilização de um website se forma uma relação jurídica que abrange o recurso a cookies, surgindo, com o utilizador deste (v.g. um destinatário indeterminado), um verdadeiro contrato.


Este contrato é caracterizado (ainda que em abstracto) pela regulação contratual deste acesso e utilização sem prévia negociação individual, que ao utilizador apenas é permitido aceitar ou não aceitar, abandonando o website nesta última hipótese[8]. Mesmo que assim não se entendesse – que não existe um verdadeiro contrato com o utilizador –, sempre se verificará essa relação contratual por imposição da própria LPDP, quando se trate de recurso a dados pessoais, acreditamos, assim, que qualquer tratamento de dados tem natureza contratual.


Sem o propósito de discutir a existência de um verdadeiro contrato pelo mero acesso ou utilização do website, cumpre fazer a seguinte referência:

Apenas não existe contrato (no sentido de negócio jurídico) quando haja um total anonimato por parte do utilizador. Não sendo o sujeito jurídico (utilizador) determinável, não é possível a constituição de obrigações quanto a este, ficando de fora qualquer possibilidade de qualificar a situação como sendo geradora de um contrato, isto é, como constituindo um negócio jurídico. Para o efeito vale a caracterização proposta por Menezes Cordeiro quanto ao conceito de contrato ou negócio jurídico multilateral, na qual o critério é a existência de «efeitos [que] diferenciam duas ou mais pessoas, isto é: [que] fazem surgir, a cargo de cada interveniente, regras próprias, que devem ser cumpridas e possam ser violadas independentemente umas das outras»[9]. Mas não apenas: como defendido em cima, também não existiria sequer necessidade de tutela em matéria de dados pessoais.


Nos termos da LCCG, não bastará a apresentação de uma mera hiperligação que remeta para o clausulado. É necessário que o utilizador reconheça que está a aceitar o conjunto de cláusulas e que pode e deve aceder a estas antes de aceitar. E não se critique esta exigência com a celeridade associada ao tráfego na Internet – esta circunstância apenas exige que o clausulado seja de simples e clara leitura, sem uma redacção prolixa ou ambígua, é neste cuidado de redacção e apresentação de clausulado que se devem minimizar eventuais preocupações.


Como visto, as exigências do novo quadro legal já encontravam acauteladas pela LPDP em conjunto com a LCCG, até em termos mais exigentes do que aqueles que resultam daquele. O atraso na realidade dos websites, face as exigências destes diplomas, justifica-se pela aparentada complexidade dos cookies – um mecanismo de tratamento automático de dados.


Resta então concluir sobre as exigências do regime jurídico português.


Em primeiro lugar, a LPDP é sempre aplicável a cookies. Cobrindo totalmente o requisito de consentimento prévio informado. Salvo, à partida, nos casos em que exista anonimato total do utilizador[10] – caso em que apenas o cookie é identificável, sem nunca haver registo do dispositivo, da ligação de rede ou do utilizador em si. Nestes casos, inexistiria necessidade de tutela (já que não se trataria de dados pessoais), inexistindo também a necessidade de qualquer consentimento. Mas ainda assim quis o legislador sujeitar os cookies às exigências da LPDP (5.º/1 da Lei n.º 41/2004) o que sempre obriga a respeitar também as disposições da LCCG. Assim o regime passou a ser só um: mesmo sem se tratarem de dados pessoais, as exigências aplicam-se de igual forma[11].


Não é demais relembrar que o actual quadro prevê um regime de responsabilidade civil específico e graves sanções contra-ordenacionais e criminais para o incumprimento (ainda que parcial) dos diplomas em causa. Sendo que no próximo ano as sanções se demonstram vir a ser superiores com a entrada em vigor de nova regulamentação europeia directamente aplicável em Portugal[12].


Os actuais avisos de cookies, com links e uma frase simples, não são, assim, suficientes.

Para que se ultrapasse esta insuficiência deve substituir-se a generalizada prática de avisos pela inserção de clausulado a apresentar de forma adequada ao utilizador, como é o caso dos chamados Termos e Condições. Cumprindo, naturalmente, os requisitos e exigências anteriores (v. ponto anterior «Consentimento: informação clara e completa»).


Gonçalo Simões de Almeida

Advogado


[1] Que transpôs a Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas, conforme alterada pela Directiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de Novembro de 2009. Aí já se previa o consentimento com estas exigências (cf. artigo 5º, ponto 3).


[2] A transposição das directivas foi especialmente forte no Reino Unido, com as designadas PECR (Privacy and Electronic Communications Regulations) de 2003. Prevendo sanções não negligenciáveis para os operadores, a atenção virou-se sobre a regulamentação europeia e assistiu-se ao nascimento do fenómeno dos avisos de cookies.


[3] Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.


[4] Indicamos apenas os principais no actual quadro. A partir de 25 de Maio de 2018, o elenco de informações a prestar (obrigatoriamente) aumenta, com a entrada em vigor do «novo» Regulamento Geral sobre a Protecção de Dados («RGPD»), aprovado pelo Regulamento (EU) n.º 2016/679 do Parlamento Europeu e do Conselho, de 27 de Abril de 2016, relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Directiva 95/46/CE.


[5] Noção adaptada da alínea a) do artigo 3.º da LPDP à situação dos cookies.


[6] Noção adaptada da alínea b) do artigo 3.º da LPDP à situação dos cookies.


[7] Noção extraída da alínea i) do artigo 3.º da LPDP.


[8] Para efeitos de aplicação do diploma à situação dos cookies tal como configurada aqui, cf. art.º 1.º da LCCG.


[9] Menezes Cordeiro, António; Tratado de Direito Civil Português; I: Parte Geral; Tomo I; 3.ª Edição, 2007; ponto 139.


[10] O anonimato total só existe na medida em que não se vislumbrar um único dado pessoal no conjunto dos cookies utilizados.


[11] Qualquer outro raciocínio – p.ex. que o legislador se repetiu ou que foi mais longe do que o que verdadeiramente queria – equivaleria a considerar que se expressou mal, o que não nos é permitido à luz do n.º 3 do art.º 9.º do CC. Mas não nos impede de considerar que não consagrou a melhor solução; em nossa opinião, teria sido preferível – por falta de necessidade de tutela e de intervenção legal – o silêncio.


[12] Com o RGPD, v. nota 5.

VISEU

Rua Alexandre Lobo, 35, 2.º Dto., 3500-071

Tlf: 232 413 615 | Fax: 232 431 348

Krusse Gomes, Simões de Almeida & Associados, Sociedade de Advogados, S.P. R.L.

LISBOA

Rua do Pólo Norte, 14, E. 0.1, 1990-266

Tlf: 218 474 475 | Fax: 217 975 385