O consentimento que você nunca deu: pop-ups de cookies são consideradas ilegais na UE

Um tribunal de apelações da União Europeia confirmou em uma decisão que um mecanismo chamado Transparency and Consent Framework (TCF), que permite o rastreamento e, consequentemente, a publicidade online baseada em rastreamento, não é compatível com o principal pilar da lei de proteção de dados da Europa, o GDPR (Regulamento Geral sobre a Proteção de Dados).

Ao emitir a decisão, o tribunal reafirmou a posição tomada pela Autoridade de Proteção de Dados da Bélgica, que já havia chegado à mesma conclusão sobre a legalidade do TCF em 2022.

Pelo menos no papel, isso parece uma grande vitória para a privacidade, para os defensores da causa, os usuários e para serviços focados em proteção de dados, como o AdGuard. E embora a decisão se aplique apenas à UE, é um avanço positivo.

Ainda não está claro como isso afetará as grandes empresas de tecnologia como Google, Amazon, Microsoft, Adobe e Meta, as responsáveis pela maior parte desse tipo de rastreamento. O Interactive Advertising Bureau (IAB), que criou o TCF, terá que pagar uma multa e fazer alterações no sistema. Os reguladores europeus supervisionarão essas mudanças.

Por que isso importa

Pode parecer apenas um monte de juridiquês distante da realidade, mas não é. Isso afeta as pessoas comuns, porque elas interagem com esse sistema diariamente, mesmo sem saber. Esse sistema é o que alimenta aquelas irritantes popups de consentimento de cookies que (de forma velada) pedem permissão para rastrear o usuário. A nova decisão significa, na prática, que esse modelo não é mais aceitável.

Será que o aviso de consentimento de cookies vai desaparecer e ser substituído por outra coisa? O sistema vai passar por mudanças fundamentais ou só vão mudar o texto? Descobriremos à medida que a decisão começar a ser aplicada. Enquanto isso, continuaremos bloqueando popups de cookies para os usuários do AdGuard sempre que isso não quebre o funcionamento do site. E se bloquear o aviso causar problemas, implementaremos técnicas alternativas para garantir que o rastreamento relacionado ao processo de consentimento seja minimizado.

Como o AdGuard lida com as popups de cookies

No AdGuard, temos um filtro especial para avisos de cookies já há bastante tempo, e temos bloqueado diálogos de cookies de várias Plataformas de Gerenciamento de Consentimento (CMPs), ferramentas que ajudam os sites a coletar e gerenciar o consentimento do usuário, de acordo com nossa política de filtros.

Esse filtro é projetado para bloquear tanto as popups de cookies quanto as requisições feitas pelas CMPs. Na maioria dos casos, basta bloquear ou ocultar os scripts relevantes. Mas em situações mais complexas, como quando um site não exibe conteúdo a menos que uma decisão de consentimento seja tomada, usamos técnicas mais avançadas:

• Utilizamos scriptlets para contornar a requisição;
• Definimos cookies ou chaves no localStorage para simular uma escolha;
• Simulamos a interação do usuário, como clicar no botão Rejeitar (nossa opção preferida) ou Aceitar (apenas como último recurso).

Sempre que simulamos uma escolha, especialmente Aceitar, garantimos que qualquer script de análise carregado como resultado seja bloqueado, usando nosso filtro de proteção contra rastreamento.

Veja como nosso CTO e cofundador do AdGuard, Andrey Meshkov, enxerga a decisão e suas implicações:

Nosso ponto sempre foi o seguinte: mesmo que um aviso de cookies apareça, os usuários do AdGuard estão claramente escolhendo se proteger contra o rastreamento, por exemplo, ao ativar o filtro de proteção contra rastreamento. Então, mesmo quando permitimos que um diálogo seja carregado, não deixamos o rastreamento acontecer. Ou negamos automaticamente o consentimento, ou bloqueamos os rastreadores diretamente. Do nosso ponto de vista, essa abordagem sempre foi tecnicamente sólida e compatível com as normas. Dito isso, há tempos nos preocupa o fato de que plataformas de CMP frequentemente rastreiam o comportamento do usuário durante o processo de consentimento, mesmo antes de o consentimento ser dado. Agora que foi confirmado que o TCF atual não atende aos padrões do GDPR, acreditamos que os sites devem começar a tratar o bloqueio de uma CMP como um sinal válido e claro de que o usuário está recusando o consentimento. Esperamos que essa decisão torne mais fácil e seguro para os usuários gerenciar seu consentimento sem ter que lidar com pop-ups confusos ou manipulativos toda vez que acessarem a internet.