A Autoridade Belga de Proteção de Dados emitiu uma multa de 1% do faturamento anual de uma empresa por não agir em conformidade com as regras de cookies, apesar das ações corretivas adotadas pela companhia. O DPA confirmou que, ao emitir essa sanção, queria dar o exemplo, alertando todas as empresas de que a conformidade com os cookies é obrigatória.

PRINCIPAIS LEVANTES

A decisão do DPA é digna de nota por vários motivos:

1. O DPA iniciou esse procedimento por sua própria iniciativa, e não com base em reclamações de um titular de dados.
2. A empresa foi multada apesar de cooperar com o DPA e resolver a maioria dos problemas.
3. Não é necessário um consentimento por cookie individual. Um consentimento por tipo de cookie é suficiente, mas uma opção de consentimento por cookie individual é recomendada.
4. O DPA declara que deve ser tão fácil retirar o consentimento quanto dar o consentimento. Nesse sentido, surgem algumas questões práticas:

• Não está claro se as declarações / políticas de cookies que referem um visitante às configurações do navegador como uma forma de recusa ou retirada do consentimento para a colocação de cookies, atendem a esse "requisito de facilidade".
• Não está claro se o princípio de "navegação adicional" ("navegando mais neste site, você fornece seu consentimento") ainda é considerado um mecanismo de consentimento válido pelo DPA.

1. Os critérios utilizados pelo DPA para o cálculo da multa ainda não foram destilados.

• Por exemplo, não especificou se o fato de ter encontrado várias infrações contribuiu para o cálculo da multa, nem em que medida a cooperação da empresa ou a extensão das atividades de processamento de dados afetaram esse cálculo.
• Os mecanismos e fatores por trás do cálculo da multa permanecem incertos, e ainda é difícil saber se o DPA segue uma fórmula ou metodologia concreta ao calcular essa multa ou se determina multas de maneira arbitrária, caso a caso .

ALGUMAS DICAS PARA INICIAR O ANO NOVO

Vale a pena prestar atenção aos seguintes pontos:

• Seja proativo: não aguarde uma investigação do DPA

• Uma vez que o DPA inicia uma investigação, raramente o deixa ir. Nesse caso, até multou, apesar das medidas corretivas adotadas e da cooperação da empresa.

• Use políticas, avisos e banners adequados e precisos. Estes devem ser:

• Claramente escritos
• No idioma adequado (adaptado ao público do seu site)
• Preciso e correspondente à realidade
• Com referência à lei e autoridade supervisora ??aplicáveis ??corretas
• Adaptado às suas atividades, e não a um modelo padrão encontrado na Internet
• Detalhamento de todas as informações necessárias (incluindo todas as informações necessárias relacionadas a cookies, conforme listado na decisão do TJE da Planet 49)
• Facilmente acessível

• Use um mecanismo de consentimento adequado (especialmente para cookies)

• Caixas pré-marcadas (opt-out) não são permitidas
• Um mecanismo de consentimento granular é recomendado: por tipo de cookie em primeira instância e mesmo com um mecanismo de consentimento por cookie
• A retirada do consentimento deve ser tão fácil quanto dar o consentimento, e os visitantes do site devem ser informados sobre esse procedimento para a retirada do consentimento com antecedência

• Conheça o seu site e atividades de processamento de dados

• Os controladores de dados devem saber quais dados estão sendo processados, quais cookies são colocados em um site etc. (o que pode ser difícil de seguir com cookies de terceiros).
• O software pode ser útil, mas não deve ser utilizado exclusivamente para mapear os cookies colocados em um site.

PS: Este artigo foi traduzido do site DLA Piper. Para utilizar soluções brasileiras de gerenciamento de cookies e conformidade com as leis de proteção de dados, conheça a Privacy Tools.