Consentimento inválido devido ao design ruim

O Tribunal Regional de Munique, na Alemanha, decidiu no finzinho de novembro de 2022 que o site focus.de fez uso ilegal de cookies de rastreamento porque este uso se baseou em consentimento inválido devido ao design ruim do seu CMP – “cookie management platform”.

O Tribunal Regional de Munique proibiu a BurdaForward GmbH de usar cookies de rastreamento para avaliar o comportamento do usuário para fins de publicidade e análise sem o consentimento efetivo dos consumidores. Os juízes, portanto, sustentaram parcialmente uma reclamação apresentada pela Federação das Organizações Alemãs de Consumo (vzbv).

A BurdaForward GmbH, que pertence ao grupo de mídia Burda, opera, entre outras coisas, o site focus.de, que se afirma como o maior portal de notícias da Alemanha. Depois de acessar a página abria-se um banner de cookies, com o qual a empresa queria obter consentimento para o armazenamento de cookies e para a avaliação de dados armazenados nos dispositivos finais dos usuários para fins de publicidade e análise.

A página inicial do banner só dava aos usuários a opção de consentir totalmente com o tratamento de seus dados com base no comportamento de navegação por inúmeras empresas terceirizadas clicando em “Aceitar”, ou de fazer uma seleção separada clicando no botão “Configurações”. Neste último caso era aberta uma janela chamada de “Configurações de privacidade”, que continha mais de 140 páginas de tela de configurações diferenciadas pelo uso de dados para mais de 100 fornecedores terceirizados. Os botões “Aceitar tudo” e “Salvar seleção” eram claramente destacados. A possibilidade de “Rejeitar todos”, por outro lado, era colocada discretamente em letras pálidas no canto superior direito da janela.

Design manipulador do banner de cookies

O Tribunal Regional de Munique aceitou a opinião do vzbv de que o consentimento obtido pelo banner inserido era inválido. O mecanismo de consentimento utilizado viola os requisitos legais, que exigem uma manifestação voluntária, informada e inequívoca da vontade dos usuários para que o consentimento seja efetivo.

O consentimento obtido no focus.de não se baseava em uma decisão voluntária devido ao design do banner de cookies. A recusa de consentimento envolvia mais esforço do que a rápida aceitação do tratamento de dados, e foi dificultada ainda mais pela multiplicidade de opções de configuração no segundo nível do banner. Não houve justificativa objetiva para o tratamento diferente das opções “Dar consentimento” e “Recusar consentimento”.

Outros pedidos da ação rejeitados

O Tribunal, porém, rejeitou os pedidos da vzbv de responsabilizar a empresa também por informações insuficientes sobre o uso pretendido de dados e seus acordos com terceiros. Tais obrigações de informação resultam exclusivamente do Regulamento Geral sobre a Proteção de Dados, mas o vzbv baseou seus pedidos exclusivamente na Lei de Proteção de Proteção de Dados de Telecomunicações e Telemídia da Alemanha [e por isso tais pedidos não foram aceitos].

Para ler a notícia original em alemão, com link para a decisão (202 páginas), clique neste link: https://www.vzbv.de/urteile/einsatz-von-tracking-cookies-auf-focusde-war-rechtswidrig.

A decisão é relevante porque o consentimento na LGPD também tem as características indicadas. Portanto, é necessário que o DPO esteja “sempre de olho” para auxiliar a empresa a evitar obter consentimento inválido devido ao design ruim.

Caso você queira saber mais sobre “padrões obscuros”, veja estes dois textos sobre o tema aqui no site: Um pouco sobre o design enganoso e Precisamos falar sobre os padrões obscuros.

Vamos que vamos e #colanopapai!